Percona Database Performance Blog
·
使用 KMIP 密钥状态轮询提升 Percona Server for MongoDB 部署的安全性
💡
原文英文,约2200词,阅读约需8分钟。
📝
内容提要
Percona Server for MongoDB 引入了 KMIP 密钥状态轮询功能,以增强静态数据加密。此功能通过定位受影响的节点并避免不必要的密钥轮换,减少了解决加密密钥泄露事件的时间。即将发布的 Percona Server for MongoDB 版本将包含此功能。
🎯
关键要点
- Percona Server for MongoDB 引入 KMIP 密钥状态轮询功能,以增强静态数据加密。
- 该功能通过定位受影响的节点,减少了解决加密密钥泄露事件的时间。
- 每个数据库使用单独的随机生成的加密密钥,所有密钥存储在密钥数据库中,并用主加密密钥加密。
- 主加密密钥必须定期更换,以减少泄露风险。
- KMIP 密钥状态轮询功能可以识别受影响的节点,避免不必要的主密钥轮换。
- Percona Server for MongoDB 仅在主加密密钥存储在 KMIP 服务器时支持密钥状态轮询。
- 主密钥的状态分为三组:预激活、激活和其他状态(如已停用、已泄露等)。
- 通过 KMIP 的注册和激活操作,主密钥可以从预激活状态转为激活状态。
- 在发现主密钥泄露后,可以通过将受影响的密钥转为已泄露状态来快速识别受影响的节点。
- 即将发布的版本 8.0.0 和补丁版本将包含密钥状态轮询功能。
- 升级到版本 8.0.0 前,必须先进行主密钥轮换,以确保密钥处于激活状态。
- 在较旧的补丁版本中,密钥状态轮询的行为与 8.0.0 略有不同,但仍需注意密钥状态。
- 建议尽快升级到版本 5.0.28、6.0.17、7.0.13 和 8.0.0,以减少加密密钥泄露事件的解决时间。
➡️
