云原生多模数据库 Lindorm支持透明数据加密TDE(Transparent Data Encryption)功能。启用TDE功能后,Lindorm通过密钥层级结构对数据文件进行加密,所有存储在文件系统中的数据都以密文形式存在。为提高数据安全性,您可以通过控制台启用TDE功能,对实例数据进行加密。本文介绍启用TDE功能的具体步骤。
背景信息
TDE功能通过在数据库层执行静态数据加密,阻止可能的攻击者绕过数据库直接从存储中读取敏感信息。而尝试读取表空间文件中的敏感数据的OS用户以及尝试读取磁盘或备份信息的未知用户将不允许访问明文数据。当客户端通过数据库系统访问数据时,加密密钥会自动用于存储数据的实时解密。由于解密过程由数据库管理系统在后台自动完成,客户端会始终接收到明文数据。
前提条件
注意事项
开通TDE的过程中,实例的底层存储会进行重启,该过程不会导致数据丢失且对业务无影响,用户侧无感知。
TDE功能开启后无法关闭,会对所有引擎的数据做加密。
TDE功能与备份功能暂时不兼容,开通TDE功能后可能会导致全量备份任务失败,请根据业务需求评估后再开通。
通常情况下,开启TDE功能可能导致的性能损失在5%以内。
操作步骤
实例部署方案不同,开通TDE功能的方式不同,请根据实际情况选择对应的开通方式。
非多可用区高可用版实例
登录Lindorm管理控制台。
在页面左上角,选择实例所属的地域。
在实例列表页,单击目标实例ID或者目标实例所在行操作列的管理。
在配置信息区域,底层存储的操作列,单击开启TDE存储。
重要如果配置信息未显示底层存储,请联系Lindorm技术支持(钉钉号:s0s3eg3)。
多可用区高可用版实例
登录Lindorm管理控制台。
在页面左上角,选择实例所属的地域。
在实例列表页,单击目标实例ID或者目标实例所在行操作列的管理。
在左侧导航栏,单击数据安全。
单击存储加密TDE,打开服务开关。
常见问题
多可用区高可用版实例:在左侧导航栏,单击数据安全。在存储加密TDE页签下查看是否已开通。
非多可用区高可用版实例:在实例详情页配置信息区域,底层存储的操作列查看是否已开通。
