PostgreSQL透明數據加密

Cybertec為PG提供了一個透明數據加密（TDE）的補丁。是目前唯一支持透明加密數據（集群）級的實現，獨立于操作系統或文件系統加密。

透明數據加密如何工作

補丁背后的思想是：以加密格式（靜態加密）安全存儲組成PG集群的所有文件到磁盤上，從磁盤讀取時解密數據塊。數據在內存中未加密。只需要數據庫初始化時加密，啟動時服務器可以訪問初始化數據庫使用的密鑰。通過一個指定的配置參數提供加密密鑰，該參數指定一個自定義密鑰設置命令來實現特殊的安全要求。

任何有興趣使用次功能的人都應該考慮以下特征：

1）從應用程序的角度來看，加密是透明的。

2）使用單一密鑰對整個集群進行加密

細節

由于數據存儲在磁盤上，我們的方法自然基于“磁盤加密理論”。對于每種類型的文件，在適當操作模式下使用AES密碼。AES密碼本身以最有效的方式加密／解密單個塊（加密塊）。數據在磁盤上是安全的。

幸運的是，英特爾和AMD為AES加密提供了卓越的硬件支持。這確保了PG TDE對性能影響最小。我們可以看到，系統在現代服務器上每秒加密和解碼千兆字節的數據。給定一個典型的工作負載，TDE對性能的影響基本上是無關緊要的。

加密整個數據庫生態系統

安全不是一個孤立的問題。要真正保護系統，必須考慮許多層，并且必須確保覆蓋所有組件。因此，PG TDE是您基礎架構的理想解決方案。

PG TDE不僅提供靜態數據加密，還確保整個生態系統的加密，包括：

通過SSL傳輸加密（客戶端／服務器）、加密復制、完全安全的副本

PG TDE完美的整合到了SELinux中，為您整個基礎架構提供了堅實的基礎。此外，標準PG的所有功能都可以用。