Halaman ini mendokumentasikan AlloyDB Omni versi 18.1.0 menggunakan opsi deployment containers. Pilih opsi deployment lain.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Transparent Data Encryption (TDE) untuk AlloyDB Omni

Pilih versi dokumentasi:

Enkripsi Data Transparan (TDE) memungkinkan Anda mengamankan semua data dalam penyimpanan di cluster AlloyDB Omni tanpa mengubah kode aplikasi. Dengan mengaktifkan fitur ini, Anda memastikan tabel, indeks, dan log tulis-sebelum-tulis (WAL) dienkripsi secara otomatis sebelum ditulis ke disk. Hal ini membantu Anda memenuhi persyaratan kepatuhan dan melindungi informasi sensitif.

Enkripsi bersifat transparan karena kueri SQL, DDL, dan operasi DML berfungsi normal tanpa memerlukan perubahan aplikasi. Data dienkripsi secara otomatis sebelum ditulis ke disk dan didekripsi saat dibaca ke dalam memori.

Hierarki kunci

AlloyDB Omni menerapkan hierarki kunci dua tingkat yang mempertahankan pemisahan tugas yang ketat antara database dan infrastruktur keamanan yang dikelola pengguna.

Kunci Enkripsi Data (DEK): dibuat dan dimiliki oleh AlloyDB Omni. Kunci ini mengenkripsi file data, WAL, dan file sementara yang sebenarnya. AlloyDB Omni menyimpan DEK di disk, tetapi menggabungkannya dengan KEK Anda.
Kunci Enkripsi Kunci (KEK): kunci utama yang Anda kelola di Key Management Service (KMS) eksternal. AlloyDB Omni menggunakan KEK Anda untuk mengenkripsi DEK. AlloyDB Omni hanya mengakses kunci ini saat startup untuk membuka DEK. KEK Anda tidak pernah disimpan secara persisten di disk database.
- Parameter lokasi dan akses KEK diberikan melalui variabel lingkungan dan flag inisialisasi .--tde-kek-url

Cara TDE berfungsi dengan AlloyDB Omni

Saat TDE diaktifkan, AlloyDB Omni mengamankan data Anda menggunakan model enkripsi berlapis yang terintegrasi dengan KMS eksternal.

Inisialisasi dan pengambilan kunci: selama fase startup atau inisialisasi cluster, mesin AlloyDB Omni membuat koneksi yang aman ke KMS Anda. Mesin ini melakukan autentikasi menggunakan JSON Web Token (JWT) dan mengambil KEK.
Membuka DEK: AlloyDB Omni menggunakan KEK Anda untuk membuka DEK, yang disimpan di penyimpanan lokal dalam status gabungan. Kemudian, DEK ini dimuat ke dalam memori.
Operasi data transparan:
- Menulis ke disk: saat database menulis blok data, catatan WAL, atau file sementara ke disk fisik, database akan otomatis mengenkripsi data menggunakan algoritma AES-256 sebelum menulis ke disk fisik.
- Membaca dari disk: saat database perlu membaca data ke dalam memori, database akan otomatis mendekripsi blok menggunakan DEK yang disimpan dalam memori.
Batas keamanan: KEK Anda tidak pernah disimpan di disk database lokal, sehingga meskipun media penyimpanan fisik terganggu, data tetap tidak dapat dibaca tanpa akses yang diotorisasi ke vault eksternal.

Cakupan dan spesifikasi enkripsi

AlloyDB Omni menggunakan algoritma AES-256 standar industri untuk mengamankan data Anda.

File data (tabel dan indeks): AES-256-XTS.
Log tulis-sebelum-tulis (WAL): AES-256-CTR.
File sementara: AES-256-XTS atau AES-256-CTR, bergantung pada jenis data sementara.
Penggabungan kunci: AES-256-KWP.

Pencadangan dan ketersediaan tinggi

Saat TDE diaktifkan, cadangan yang dibuat menggunakan pgBackRest mewarisi konfigurasi enkripsi cluster sumber. Hal ini memastikan data cadangan Anda tetap terlindungi dengan tingkat keamanan yang sama seperti database utama Anda.

Cadangan hanya dapat dipulihkan ke cluster tempat KEK yang sama tersedia.

Untuk penyiapan HA, lingkungan pemulihan harus diinisialisasi dengan variabel lingkungan vault yang sama. Variabel lingkungan vault harus tersedia di semua host yang berpartisipasi.

KMS dan autentikasi yang didukung

AlloyDB Omni mendukung HashiCorp Vault sebagai penyedia KMS eksternal. AlloyDB Omni hanya mendukung mesin rahasia KV-V2, dan satu-satunya metode autentikasi yang didukung adalah JWT.

Kompatibilitas alat PostgreSQL

Cluster yang mengaktifkan TDE mendukung semua alat PostgreSQL bawaan, kecuali initdb, secara transparan melalui variabel lingkungan. Jika Anda menggunakan initdb, pastikan Anda meneruskan URL KEK secara eksplisit. Untuk mengetahui informasi selengkapnya, lihat Membuat cluster yang mengaktifkan TDE.

Batasan

Anda tidak dapat mengaktifkan TDE di cluster yang sudah ada.
Setelah diaktifkan, Anda tidak dapat menonaktifkan TDE.
Upgrade versi utama tidak didukung untuk cluster yang mengaktifkan TDE.
Anda tidak dapat memulihkan cadangan terenkripsi ke server yang tidak terenkripsi atau cadangan yang tidak terenkripsi ke server terenkripsi.
Rotasi DEK tidak didukung.
Rotasi KEK didukung selama jalur URL KEK tetap sama.
Anda tidak dapat CREATE DATABASE menggunakan strategi FILE_COPY.
Di cluster yang mengaktifkan TDE, cadangan Barman hanya mendukung mode rsync. Metode pencadangan postgres tidak didukung.

Langkah berikutnya

Pelajari cara Membuat cluster yang mengaktifkan TDE.