Funkcja przejrzystego szyfrowania danych (Transparent Data Encryption – TDE) jest patchem szyfrującym od CYBERTEC dla PostgreSQL.

transparent data encryption (TDE)

Jest to obecnie jedyna implementacja, która obsługuje przejrzyste i bezpieczne kryptograficznie szyfrowanie danych (klastrów), niezależnie od systemu operacyjnego lub szyfrowania systemu plików.

Jak działa Transparent Data Encryption?

Ideą patchu jest bezpieczne przechowywanie wszystkich plików tworzących klaster PostgreSQL na dysku w zaszyfrowanym formacie (szyfrowanie danych w spoczynku). Następnie odszyfrowuje bloki podczas ich odczytywania z dysku. Jednak dane pozostają niezaszyfrowane w pamięci. Wymaga to jedynie, aby baza danych była inicjowana z szyfrowaniem i aby klucz używany do inicjowania bazy danych był dostępny dla serwera podczas uruchamiania. Specjalny parametr konfiguracyjny zapewnia klucz szyfrowania poprzez określenie niestandardowego polecenia konfiguracji klucza w celu wdrożenia specjalnych wymagań bezpieczeństwa.

Każdy kto jest zainteresowany włączeniem tej funkcji powinien wziąć pod uwagę następujące cechy:

1. Szyfrowanie jest przejrzyste z punktu widzenia aplikacji.

2. Używa jednego klucza do zaszyfrowania całego klastra.

 

Szczegóły

Ponieważ dane są przechowywane na dysku, naturalnie opieramy nasze podejście na „teorii szyfrowania dysków”. Dla każdego typu pliku używamy szyfr AES w odpowiednim trybie pracy. Sam szyfr AES szyfruje/odszyfrowuje poszczególne bloki (bloki szyfrujące) w najbardziej efektywny sposób. Twoje dane będą bezpieczne na dysku.

Wpływ na wydajność

Na szczęście Intel i AMD oferują doskonałą obsługę sprzętową szyfrowania AES. Dzięki temu PostgreSQL TDE ma minimalny wpływ na wydajność. Widzieliśmy systemy szyfrujące i deszyfrujące gigabajty danych na sekundę na nowoczesnych serwerach. Biorąc pod uwagę typowe obciążenie pracą, wpływ TDE na wydajność jest zasadniczo pomijalny.

Szyfrowanie całego ekosystemu bazy danych

Bezpieczeństwo nie jest odosobnionym problemem. Aby naprawdę zabezpieczyć system, należy wziąć pod uwagę wiele warstw i upewnić się, że wszystkie komponenty są objęte ochroną. PostgreSQL TDE jest zatem idealnym rozwiązaniem dla Twojej infrastruktury.

PostgreSQL TDE nie tylko zapewnia szyfrowanie danych w stanie spoczynku, ale zapewnia również szyfrowanie całego ekosystemu, w tym…

  • Szyfrowanie transportowania (klient/serwer) przez SSL
  • Szyfrowana replikacja
  • W pełni zabezpieczone repliki

Integracja z Linuksem

PostgreSQL TDE doskonale integruje się z SELinux i zapewnia solidne podstawy dla całej infrastruktury. Ponadto zawiera wszystkie funkcje standardowego PostgreSQL.

Licencja na Transparent Data Encryption

PostgreSQL License

Jak pobrać szyfrowanie PostgreSQL na poziomie instancji?

Starsze wersje PostgreSQL TDE można pobrać bezpłatnie z naszej strony internetowej. W przypadku najnowszych wersji nasz zespół sprzedaży z przyjemnością przedstawi Państwu niewiążącą ofertę!

Pobierz 12.3 Skontaktuj się z nami

 

Jak zainstalować PostgreSQL Transparent Data Encryption (TDE)

Przeczytaj pełną instrukcję instalacji lub pobierz bezpośrednio w formacie PDF:

Przeczytaj instrukcję instalacji

Report any bugs to bugs-tde@cybertec.at.

Wydajność PostgreSQL TDE

Zapoznaj się z analizą wydajności, która porównuje PostgreSQL v13 z PostgreSQL Transparent Data Encryption.

Wydajność PostgreSQL: zaszyfrowane vs. niezaszyfrowane

FAQ

Q: Co właściwie szyfruje TDE?

A: Wszystko oprócz danych rozszerzenia pg_stat_statements i metadanych transakcji.

Q: Jaka jest metoda szyfrowania?

A: Standard branżowy 128-bitowy szyfr AES-CTR.

Q: Czy mogę użyć innej metody szyfrowania?

A: Nie, ale możemy zbudować dla niego wsparcie.

Q: Jakiego spadku wydajności powinienem się spodziewać?

A: Instrukcje sprzętowe przyspieszają szyfrowanie, jeśli jest to możliwe. TDE stosuje szyfrowanie tylko na wejściach/wyjściach. Typowe prędkości szyfrowania i odszyfrowywania wynoszą 5 GB/s na rdzeń procesora na nowoczesnym sprzęcie, czyli są wyższe niż prędkość we/wy najlepszych dostępnych dysków SSD. Przy normalnych obciążeniach narzut związany z szyfrowaniem nie jest mierzalny.

Q: Czy mogę uaktualnić do zaszyfrowanej bazy danych?

A: Obecnie nie obsługujemy szyfrowania w miejscu istniejących klastrów. Będziesz musiał wykonać zrzut i ponownie załadować do zaszyfrowanej instancji lub użyć replikacji logicznej, aby przeprowadzić migrację online.

Q: Czy można zaszyfrować tylko niektóre tabele/obszary tabel, aby wygrać na wydajności?

A: Obecnie nie. Ponieważ dziennik transakcji musi być w każdym przypadku w pełni zaszyfrowany, a wszystkie zmiany normalnie tam przechodzą, prawdopodobnie nie byłoby srebrną kulą, aby to zmienić w przyszłości.

Q: Czy można zmienić klucz szyfrowania w przypadkach, gdy klucz szyfrowania zostanie naruszony?

A: Obecnie należy ponownie zainicjować nowy klaster i zrzucić/przywrócić. Możesz jednak użyć polecenia konfiguracji klucza, aby zaimplementować zaszyfrowany magazyn kluczy i rotację haseł dla klucza głównego.

Q: Czy integruje się z moim HSM?

A: Nie, ale w razie potrzeby możemy zbudować dla niego wsparcie.

Q: Znalazłem błąd. Gdzie mam zgłosić ten błąd?

A: Proszę bezpośrednio zgłaszać wszelkie błędy lub problemy z TDE do bugs-tde@cybertec.at.

Q: Czy TDE jest dostępne dla wersji PostgreSQL 12, 13 i 14?

A: Tak, TDE jest teraz dostępne również dla wersji PostgreSQL 12-14! Nasz zespół sprzedaży z przyjemnością przedstawi Państwu niezobowiązującą ofertę! Skontaktuj się z nami za pomocą przycisku poniżej, aby uzyskać więcej informacji.

Skontaktuj się z nami