Descripción

Cifrado de bases de datos GaussDB(DWS)

En GaussDB(DWS), puede habilitar el cifrado de bases de datos para que un clúster proteja los datos estáticos. Después de habilitar el cifrado, los datos del clúster y sus instantáneas se cifran. El cifrado es una configuración opcional e inmutable que se puede configurar durante la creación del clúster. Para cifrar un clúster no cifrado (o al revés), debe exportar todos los datos del clúster no cifrado e importarlos a un nuevo clúster que haya habilitado el cifrado de la base de datos. El cifrado de la base de datos se realiza cuando los datos se escriben en GaussDB(DWS). Es decir, GaussDB(DWS) cifra los datos cuando los datos se escriben en GaussDB(DWS). Es decir, GaussDB(DWS) cifra los datos cuando los datos se escriben en GaussDB(DWS).

Si se requiere cifrado, habilítelo durante la creación del clúster. Aunque el cifrado es una configuración opcional de GaussDB(DWS), se recomienda activar esta configuración para que los clústeres protejan los datos.

• El clúster GaussDB(DWS) 3.0 no admite la encriptación de la base de datos.
• La función de encriptación de base de datos sólo se puede activar o desactivar cuando se crea un clúster. No se puede habilitar después de crear un clúster. Una vez habilitado, no se puede deshabilitar. Para obtener más información, consulte Encriptación de base de datos.
• Una vez que Encrypt DataStore está habilitado, la clave no se puede deshabilitar, eliminar o congelar cuando se utiliza. De lo contrario, el clúster se vuelve anormal y la base de datos no está disponible.
• Las instantáneas creadas después de activar la función de cifrado de la base de datos no se pueden restaurar mediante las API abiertas.

Consulta de información de cifrado de base de datos

1. Inicie sesión en la consola de gestión de GaussDB(DWS).
2. Seleccione Clusters en el panel de navegación de la izquierda.
3. Haga clic en el nombre de un clúster. Se muestra la página Cluster Information.
4. En el área Data Encryption Information de la página de información del clúster, vea la información de encriptación de la base de datos, como se muestra en Información de encriptación de datos.

   Tabla 1 Información de encriptación de datos

   Parámetro	Descripción
   Key Name	Indica la clave de cifrado de la base de datos del clúster cuando Encrypt DataStore está habilitado.
   Last Key Rotation Time	Indica la hora a la que se gira la última clave de cifrado cuando Encrypt DataStore está habilitado.

   

   Si la encriptación de la base de datos está deshabilitado de forma predeterminada durante la creación del clúster, el módulo de encriptación no se muestra en la página de detalles del clúster.

Cifrado de bases de datos GaussDB(DWS) mediante KMS

Cuando elige KMS para gestionar las claves GaussDB(DWS), se adopta una estructura de gestión de claves de tres capas, que incluye la clave maestra de clúster (CMK), la clave de cifrado de clúster (CEK) y la clave de cifrado de base de datos (DEK).

• El CMK se utiliza para cifrar el CEK y se almacena en KMS.
• El CEK se utiliza para cifrar el DEK. El texto sin formato CEK se almacena en la memoria del clúster del almacén de datos, y el texto cifrado se almacena en GaussDB(DWS).
• El DEK se utiliza para cifrar los datos de la base de datos. El texto sin formato DEK se almacena en la memoria del clúster del almacén de datos, y el texto cifrado se almacena en GaussDB(DWS).

El procedimiento de uso de las claves es el siguiente:

1. Usted elige un CMK.
2. GaussDB(DWS) genera aleatoriamente el texto plano CEK y DEK.
3. KMS utiliza el CMK que elija para cifrar el texto sin formato CEK e importa el texto cifrado CEK encriptado a GaussDB(DWS).
4. GaussDB(DWS) utiliza el texto sin formato CEK para cifrar el texto sin formato DEK y guarda el texto cifrado DEK.
5. GaussDB(DWS) transfiere el texto sin formato DEK al clúster y lo carga a la memoria del clúster.

Cuando se reinicia el clúster, solicita automáticamente el texto sin formato DEK de GaussDB(DWS) a través de una API. GaussDB(DWS) carga el texto cifrado CEK y DEK en la memoria del clúster, invoca KMS para descifrar el CEK usando el CMK, carga el CEK en la memoria, descifra el DEK utilizando el texto sin formato CEK, carga el DEK en la memoria y lo devuelve al clúster.

Rotación de claves de cifrado

La rotación de la clave de cifrado se utiliza para actualizar el texto cifrado almacenado en GaussDB(DWS). En GaussDB(DWS), puede rotar el CEK cifrado de un clúster cifrado.

El procedimiento de rotación de las claves es el siguiente:

1. El clúster GaussDB(DWS) inicia la rotación de claves.
2. GaussDB(DWS) descifra el texto cifrado CEK almacenado en GaussDB(DWS) basado en el CMK para obtener el texto sin formato CEK.
3. Utilice el texto sin formato CEK obtenido para descifrar el texto cifrado DEK en GaussDB(DWS) para obtener el texto sin formato DEK.
4. GaussDB(DWS) genera aleatoriamente nuevo texto sin formato CEK.
5. GaussDB(DWS) utiliza el nuevo texto sin formato CEK para cifrar el DEK y guarda el texto cifrado DEK cifrado.
6. Utilice el CMK para cifrar el nuevo texto sin formato CEK e importar el texto cifrado CEK encriptado a GaussDB(DWS).

Puede planificar el intervalo de rotación de clave en función de los requisitos de servicio y los tipos de datos. Para mejorar la seguridad de los datos, se recomienda rotar periódicamente las claves para evitar que puedan ser descifradas. Si descubre que sus claves pueden haber sido reveladas, rótelas a tiempo.

• Cuando GaussDB(DWS) gira el CEK del clúster, las instantáneas del clúster no necesitan rotación del CEK, porque el CEK no se almacena en instantáneas. El texto sin formato CEK se almacena en la memoria de clúster GaussDB(DWS), y el texto cifrado se almacena en GaussDB(DWS).
• El DEK no se actualiza durante la rotación de la clave, por lo que el cifrado y el descifrado de datos no se ven afectados.