全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网
云数据库 RDS 版

数据加密

更新时间:2017-06-07 13:26:11

SSL

RDS提供MySQL和SQL Server的安全套接层协议。用户可以使用RDS提供的服务器端根证书来验证目标地址和端口的数据库服务是否为RDS提供,从而有效避免中间人攻击。除此之外,RDS还提供了服务器端SSL证书的启用和更新能力,以便用户按需更替SSL 证书以保障安全有效性。

需要注意的是,虽然RDS提供了应用到数据库之间的连接加密功能,但是SSL需要应用开启服务器端验证才能正常运转。另外SSL也会带来额外的CPU开销,RDS实例的吞吐量和响应时间都会受到一定程度的影响,具体影响视用户的连接次数和数据传输频度而定。

TDE

RDS提供MySQL和SQL Server的透明数据加密功能。RDS for MySQL的TDE由阿里云自研,RDS for SQL Server的TDE基于SQL Server企业版的功能改造而来。

在开启了透明数据加密功能的RDS实例上,用户可以指定参与加密的数据库或者表。这些数据库或者表中的数据在写入到任何设备(磁盘、SSD、PCIE 卡)或者服务(OSS、OAS)前都会进行加密,因此实例对应的数据文件、备份都是以密文形式存在。

TDE加密采用国际流行的AES算法,秘钥长度为128比特。秘钥由KMS服务加密保存,RDS只在启动实例和迁移实例的动态读取一次秘钥。用户可自行通过KMS控制台对秘钥进行更替。

本文导读目录