据了解,yugabyte-db 保护来自https://docs.yugabyte.com/v1.1/secure/tls-encryption/和https://docs.yugabyte.com/latest/的传输数据和静态数据安全/静态加密/。
据观察:
a) 显示的最大密钥长度选项为 48 位。是否可以配置为使用 128 位密钥或 256 位密钥或更高位?如何将其对性能的影响降到最低?
b) 每当密钥轮换时,是否所有平板电脑都使用旧密钥解密并使用新密钥加密或如何完成?旋转密钥时如何影响性能?如何将其对性能的影响降到最低?
c) 如何配置 yugabyte-db 以使用来自 HSM 的密钥,而不是使用来自磁盘的密钥来处理在线数据和静态数据?
a) 这是不正确的,它可以配置为使用 128/256 位密钥。文档应尽快更新以反映这一点。
b) 通常,当rotate_universe_key_in_memory运行 yb-admin 命令时,只有新写入的数据文件使用轮换到的全域密钥(无论是首次启用静态加密,还是任何后续密钥轮换)。所有先前存在的数据文件仍然具有对已写入文件时作为当前键的 Universe 键的引用,并且文件继续使用它们各自的 Universe 键,直到它们被刷新或压缩,此时新写入的文件将使用当前的 Universe 键。所以不,每次发生密钥轮换时都不会发生平板电脑范围的解密,所有数据文件使用当前 Universe 密钥所需的时间取决于给定 Universe 上的写入工作负载。
c) 目前 Yugabyte yb-admin 命令仅支持从磁盘上的文件内容中读取 Universe 密钥以进行静态加密。需要注意的是,密钥只需要保存在磁盘上,直到它被加载到内存中add_universe_key_to_all_masters。在此之后,密钥文件可以从主节点移动并远程存储在其他地方。只有在其他时候,如果所有主机同时关闭,则需要此密钥文件将密钥重新上传到内存中。Yugabyte 平台 ( https://www.yugabyte.com/platform/ ) 为使用 CMK 生成 Universe 密钥的 AWS KMS 提供集成支持(您可以使用 AWS CloudHSM 作为您的 AWS KMS CMK 的 HSM 自定义密钥存储) 以及对 Equinix SmartKey 的集成支持;所以这可能适合您的用例?