今天為大家介紹的是基于下一代Greenplum數(shù)據(jù)庫的數(shù)據(jù)安全組件的一個重要組成部分——數(shù)據(jù)透明加密。數(shù)據(jù)加密已經(jīng)成為保證數(shù)據(jù)庫安全必不可少的一項要求。傳統(tǒng)Greenplum使用外部的UDF在實現(xiàn)數(shù)據(jù)加密，在易用性和性能方面都有所欠缺。為了滿足客戶對于數(shù)據(jù)加密的易用性和性能方面的要求，Greenplum實現(xiàn)了基于擴展組件模式（內(nèi)核原生）的透明數(shù)據(jù)加密。該功能可實現(xiàn)原生用戶數(shù)據(jù)自動加解密，無需修改查詢語句且性能損失小。

Greenplum的數(shù)據(jù)安全運行模式主要分為三個層次：

• 用戶層

這一層中，包含了主要普通用戶的操作，比如連接數(shù)據(jù)庫，運行業(yè)務相關等操作。

• DBA層

在這一層中，包含了DBA用戶的操作，主要進行的是管理數(shù)據(jù)庫和業(yè)務審計等操作。

• System Admin（運維層）

這一層中，包含了系統(tǒng)管理員（運維工程師）的操作。主要進行的運維相關的比如管理集群和數(shù)據(jù)備份恢復等操作。

在數(shù)據(jù)安全上，Greenplum對用戶層與DBA層已經(jīng)做到可以完全保證數(shù)據(jù)的安全性。但對于System Admin這一層，傳統(tǒng)的Greenplum還存在一些風險。Greenplum作為一個單獨數(shù)據(jù)庫軟件，缺乏對硬件和系統(tǒng)的控制。此外，數(shù)據(jù)庫運維需要登錄到系統(tǒng)來進行，使得運維人員具有了訪問數(shù)據(jù)庫二進制文件、數(shù)據(jù)文件和預寫日志文件的權(quán)限。作為一個大型的分布式數(shù)據(jù)庫，用戶常使用原廠服務、主機廠或第三方來進行運維。運維人員可以輕易的接觸數(shù)據(jù)庫文件，而數(shù)據(jù)文件為明文二進制文件，運維人員可以直接通過Linux自帶工具（strings，hexdump）訪問。pg_waldump也可以直接讀取并顯示預寫日志中的用戶數(shù)據(jù)。

由于數(shù)據(jù)庫可能會有非部門或外部員工運維（原廠、主機廠、或者合作伙伴），導致用戶數(shù)據(jù)存在直接暴露的風險。而此類操作往往也是運維正常操作，事后審計難度也很大。此外，如果用戶的服務器是被托管或者經(jīng)由云部署等情況，也導致了數(shù)據(jù)被盜以后泄露的風險。

基于這樣的背景，用戶便有了對于數(shù)據(jù)加密的需求，來確保機密數(shù)據(jù)的安全，進行知識產(chǎn)權(quán)的保護或者是滿足審計的要求。 Greenplum研發(fā)團隊正在為Greenplum數(shù)據(jù)庫設計和密集開發(fā)數(shù)據(jù)透明加密功能 ，在不改變用戶業(yè)務模式和行為的前提下，來保證用戶的數(shù)據(jù)安全，具體發(fā)布日期請關注官方信息。

本視頻內(nèi)容主要分為四個部分，Greenplum原廠工程師王淏舟會先為大家介紹Greenplum團隊如何站在用戶需求端來進行討論，以及做數(shù)據(jù)透明加密的相關背景。接著會為大家詳細介紹Greenplum當前基于pgcypto的數(shù)據(jù)加密方案，并針對Greenplum數(shù)據(jù)透明加密設計和加密流程進行詳細的解說。

歡迎大家戳鏈接觀看視頻，相關PPT可以前往Greenplum中文社區(qū)下載頁面 https://cn.greenplum.org/download 自行獲取。

視頻鏈接：https://www.bilibili.com/video/BV12A411w7fZ/

總結(jié)

以上是生活随笔為你收集整理的深度揭秘Greenplum数据库透明加密的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。