Percona Database Performance Blog
·
使用 KMIP 密钥状态轮询提升 Percona Server for MongoDB 部署的安全性
💡
原文英文,约2200词,阅读约需8分钟。
📝
内容提要
Percona Server for MongoDB 引入了 KMIP 密钥状态轮询功能,以增强静态数据加密。此功能通过定位受影响的节点并避免不必要的密钥轮换,减少了解决加密密钥泄露事件的时间。即将发布的 Percona Server for MongoDB 版本将包含此功能。
🎯
关键要点
- Percona Server for MongoDB 引入 KMIP 密钥状态轮询功能,以增强静态数据加密。
- 该功能通过定位受影响的节点,减少了解决加密密钥泄露事件的时间。
- 每个数据库使用单独的随机生成的加密密钥,所有密钥存储在密钥数据库中,并用主加密密钥加密。
- 主加密密钥必须定期更换,以减少泄露风险。
- KMIP 密钥状态轮询功能可以识别受影响的节点,避免不必要的主密钥轮换。
- Percona Server for MongoDB 仅在主加密密钥存储在 KMIP 服务器时支持密钥状态轮询。
- 主密钥的状态分为三组:预激活、激活和其他状态(如已停用、已泄露等)。
- 通过 KMIP 的注册和激活操作,主密钥可以从预激活状态转为激活状态。
- 在发现主密钥泄露后,可以通过将受影响的密钥转为已泄露状态来快速识别受影响的节点。
- 即将发布的版本 8.0.0 和补丁版本将包含密钥状态轮询功能。
- 升级到版本 8.0.0 前,必须先进行主密钥轮换,以确保密钥处于激活状态。
- 在较旧的补丁版本中,密钥状态轮询的行为与 8.0.0 略有不同,但仍需注意密钥状态。
- 建议尽快升级到版本 5.0.28、6.0.17、7.0.13 和 8.0.0,以减少加密密钥泄露事件的解决时间。
❓
延伸问答
KMIP 密钥状态轮询功能如何增强 Percona Server for MongoDB 的安全性?
KMIP 密钥状态轮询功能通过定位受影响的节点,避免不必要的主密钥轮换,从而减少了解决加密密钥泄露事件的时间。
如何在 Percona Server for MongoDB 中进行主密钥轮换?
在升级到版本 8.0.0 前,必须先进行主密钥轮换,以确保密钥处于激活状态,具体步骤包括停止 mongod、安装新版本、轮换主密钥等。
Percona Server for MongoDB 支持哪些版本的 KMIP 密钥状态轮询?
KMIP 密钥状态轮询功能将在即将发布的版本 8.0.0 和补丁版本 5.0.28、6.0.17、7.0.13 中支持。
如果发现主密钥泄露,如何快速识别受影响的节点?
可以通过将受影响的密钥转为已泄露状态,受影响的节点会在 15 分钟内自动识别并关闭。
KMIP 密钥的状态分为哪几组?
KMIP 密钥的状态分为三组:预激活、激活和其他状态(如已停用、已泄露等)。
升级到版本 8.0.0 前需要注意什么?
在升级到版本 8.0.0 前,必须先进行主密钥轮换,以确保主密钥处于激活状态。
➡️
