Percona Database Performance Blog
·
在数据安全之前,您的数据并不安全——这是如何实现TDE安全的
内容提要
在管理PostgreSQL数据库时,处理敏感数据需要静态加密。虽然社区版PostgreSQL没有原生透明数据加密(TDE),但pg_tde Beta扩展提供了解决方案,支持索引加密,兼容现有复制,且性能影响较小。它与密钥管理系统(KMS)集成,简化了密钥管理,并已开源,用户可轻松创建加密表。
关键要点
-
管理PostgreSQL数据库时,处理敏感数据需要静态加密。
-
社区版PostgreSQL没有原生透明数据加密(TDE)。
-
pg_tde Beta扩展提供了解决方案,支持索引加密。
-
pg_tde与密钥管理系统(KMS)集成,简化了密钥管理。
-
pg_tde的初始版本通过在数据进入PostgreSQL共享缓冲区之前进行加密来实现。
-
pg_tde的性能影响较小,初步测试报告约10%的性能开销。
-
pg_tde采用信封加密模型,生成特定于表的加密密钥。
-
主密钥应存储在密钥管理系统(KMS)中,而不是本地存储。
-
pg_tde是开源的,用户可以轻松创建加密表。
-
pg_tde目前处于测试阶段,期待未来的全面可用性。
延伸问答
pg_tde Beta扩展的主要功能是什么?
pg_tde Beta扩展提供了对PostgreSQL的透明数据加密(TDE)解决方案,支持索引加密,并与密钥管理系统(KMS)集成。
为什么PostgreSQL社区版没有原生的透明数据加密(TDE)?
PostgreSQL社区版目前没有原生的透明数据加密(TDE),但pg_tde扩展正在提供解决方案。
pg_tde的性能影响如何?
pg_tde在初步测试中报告约10%的性能开销,影响较小。
如何在PostgreSQL中使用pg_tde进行数据加密?
可以通过创建表时使用`USING tde_heap`或通过`ALTER TABLE`命令设置现有表的访问方法为`tde_heap`来实现数据加密。
pg_tde如何处理密钥管理?
pg_tde采用信封加密模型,主密钥应存储在密钥管理系统(KMS)中,以简化密钥管理和提高安全性。
pg_tde的未来发展方向是什么?
pg_tde目前处于测试阶段,未来计划实现全面可用性,成为PostgreSQL的内置功能。
