【安当产品应用案例100集】016-如何实现人大金仓数据库的透明加密及访问控制

数据库加密技术从诞生至今，已经历多个阶段，采用过多种实现方式，并一直处于持续发展之中。常见的加密技术有应用层的前置代理加密技术、操作系统层的文件系统加密技术等。在这篇文章中，我将分享安当TDE透明加密产品，采用存储硬件层的磁盘加密技术，如何实现人大金仓数据库的透明加密存储以及对操作系统用户权限的访问控制。

一、何为磁盘加密技术？

磁盘加密技术，相信大家已经接触过不少类似产品。该技术是对数据库文件所在的磁盘扇区进行加密，并在数据库访问这些扇区时进行解密。这种加密方式对数据库自身是透明的，数据库管理系统不会感知到加密或解密过程的存在。这种加密方式在存储层工作，常见的只能防止在磁盘丢失时敏感数据的泄漏。但是所有具有访问磁盘权限的用户都可以访问到真实的数据库文件，因此对于控制了操作系统的攻击者来说，这种加密方式并没有提供防护能力。

二、安当TDE如何实现？

安当TDE，采用磁盘加密技术，为数据库提供了全面的数据保护。具体来说：

1. 加密存储：

TDE在数据写入磁盘前对其进行加密，在读取时自动解密，对应用程序和数据库用户透明

2. 权限控制：

保护静态数据不受未经授权的访问，即使磁盘被盗或备份文件泄漏

3. 密钥管理：

主密钥和加密密钥的管理由安当KSP密钥管理系统负责，配置加密机，提升整个系统根密钥的安全性

总之，安当TDE不仅实现了对数据库磁盘文件的透明加密，还进一步扩展到了操作系统层面的用户权限控制，确保数据在存储和访问过程中的安全性和可控性。这种技术很好地弥补了常规磁盘加密技术无法控制访问磁盘用户权限的问题。

三、需要哪些步骤？

在实现对人大金仓数据库的透明加密中，主要涉及以下几个步骤：

1. 部署TDE客户端

在数据库服务器上安装TDE客户端软件，通常只需简单的安装步骤即可完成。

2. 注册TDE客户端

安装完毕后，需要配置KSP服务地址及注册令牌以建立通信。注册成功后，TDE客户端便能够与KSP进行通信。

客户端注册成功：

3. 确定需加密数据表的存储ID

此处我们只加密表emloyess。

4. 配置加密策略

在KSP端创建自定义加密策略，包括定义资源集、用户集、进程集、安全规则以及密钥规则等元素。

资源集：需加密的数据资源
用户集：与计算机系统进行交互的用户的集合
进程集：指定用于加密和解密操作的系统进程
安全规则：控制用户访问权限
密钥规则：用于文件加解密的密钥

在示例策略中，策略通过配置实现资源集，即我们指定的数据表的加密存储。配置操作系统用户Operator拥有所有操作权限，Backup用户只拥有读取数据密文权限，其余所有用户（包括Admin），都不允许对加密数据文件做任何操作。

5. 下发保护点

创建并下发保护点，即指定要加密的文件或目录集合。通过合理配置保护点，可以确保关键数据在客户端上获得全面的加密保护。

保护点下发成功后，加密策略会自动推送到TDE客户端。随后，TDE客户端将策略转发至底层驱动程序进行解析，并根据策略对指定的资源集和本地应用进程实施加密和权限控制操作。至此，人大金仓数据库透明加密所需的五个步骤均已完成。接下来，我们将展示策略下发后的实际效果。

四、加密效果验证

使用具有全部操作权限的Operator用户访问加密文件，能正常访问

使用只拥有读取数据密文的Backup用户访问加密文件，能访问但无法查看明文

使用没有任何权限的Admin用户访问加密文件，被拒绝访问

4.打开数据库开发工具操作已加密数据表，服务正常运行，操作未受任何影响

五、数据完整性校验

通过TDE的透明加密机制，数据库实例文件在存储过程中始终处于加密状态，即便是在静止状态下也能有效抵御未授权访问的风险。更重要的是，TDE内置了数据完整性校验功能，可以在每次读取或写入数据时自动进行校验，确保数据在传输和存储过程中未被篡改。

六、数据库性能影响评估

在启用安当TDE加密后，我们进行了大量测试，结果显示加密后对人大金仓的性能损耗较小，具体损耗如下：

至此，关于安当TDE（透明数据加密）技术如何应用于人大金仓数据库加密的讲解已全部呈现。通过详述的加密流程以及加密后效果的验证，我们能够清晰地了解到，安当TDE不仅仅提供了一套全面的数据保护方案，而且通过对操作系统层面的用户权限管理机制，极大地提升了数据在存储与访问期间的安全性和可控性。此外，其内置的数据完整性校验功能进一步保障了数据在传输过程中的完整性和安全性，同时该技术的设计也充分考虑到了对数据库性能的影响，确保了在提供高强度加密的同时，依然保持较低的性能开销。

文章作者：久洋 ©本文章解释权归安当西安研发中心所有