PostgreSQL透明数据加密

Cybertec为PG提供了一个透明数据加密（TDE）的补丁。是目前唯一支持透明加密数据（集群）级的实现，独立于操作系统或文件系统加密。

透明数据加密如何工作

补丁背后的思想是：以加密格式（静态加密）安全存储组成PG集群的所有文件到磁盘上，从磁盘读取时解密数据块。数据在内存中未加密。只需要数据库初始化时加密，启动时服务器可以访问初始化数据库使用的密钥。通过一个指定的配置参数提供加密密钥，该参数指定一个自定义密钥设置命令来实现特殊的安全要求。

任何有兴趣使用次功能的人都应该考虑以下特征：

1）从应用程序的角度来看，加密是透明的。

2）使用单一密钥对整个集群进行加密

细节

由于数据存储在磁盘上，我们的方法自然基于“磁盘加密理论”。对于每种类型的文件，在适当操作模式下使用AES密码。AES密码本身以最有效的方式加密／解密单个块（加密块）。数据在磁盘上是安全的。

幸运的是，英特尔和AMD为AES加密提供了卓越的硬件支持。这确保了PG TDE对性能影响最小。我们可以看到，系统在现代服务器上每秒加密和解码千兆字节的数据。给定一个典型的工作负载，TDE对性能的影响基本上是无关紧要的。

加密整个数据库生态系统

安全不是一个孤立的问题。要真正保护系统，必须考虑许多层，并且必须确保覆盖所有组件。因此，PG TDE是您基础架构的理想解决方案。

PG TDE不仅提供静态数据加密，还确保整个生态系统的加密，包括：

通过SSL传输加密（客户端／服务器）、加密复制、完全安全的副本

PG TDE完美的整合到了SELinux中，为您整个基础架构提供了坚实的基础。此外，标准PG的所有功能都可以用。