数据安全是任何基础软件都不可回避的重点问题,本合集收罗了 TiDB 关于安全加固的几项重要措施,以供参考。
启用 TLS 加密
TiDB 支持的 TLS/SSL 协议版本为 TLSv1.2 和 TLSv1.3。
- 为 TiDB 客户端服务端间通信开启加密传输
https://docs.pingcap.com/zh/tidb/stable/enable-tls-between-clients-and-servers
- 为 TiDB 组件间通信开启加密传输
https://docs.pingcap.com/zh/tidb/stable/enable-tls-between-components
- TiProxy 的安全设定
https://docs.pingcap.com/zh/tidb/stable/tiproxy-overview#安全
- 为 TiDB Dashboard 的反向代理开启 TLS
https://docs.pingcap.com/zh/tidb/stable/dashboard-ops-security#为反向代理开启-tls
- 为 HAProxy 设定 SSL 认证
https://docs.haproxy.org/3.0/intro.html#3.3.2
用户认证
- TiDB 密码管理
https://docs.pingcap.com/zh/tidb/stable/password-management
安全审计
- TiUP 对所有集群执行了什么命令
https://docs.pingcap.com/zh/tidb/stable/tiup-component-cluster-audit
安全配置
- tidb-server
https://docs.pingcap.com/zh/tidb/stable/tidb-configuration-file#security
- tikv
https://docs.pingcap.com/zh/tidb/stable/tikv-configuration-file#security
- pd
https://docs.pingcap.com/zh/tidb/stable/pd-configuration-file#security
- tiflash
https://docs.pingcap.com/zh/tidb/stable/tiflash-configuration#配置文件-tiflashtoml
- tispark
https://docs.pingcap.com/zh/tidb/stable/tispark-overview#tls-配置
漏洞扫描、修复
https://docs.pingcap.com/zh/tidb/stable/high-reliability-faq
企业级安全组件
平凯数据库(TiDB 企业版)
- 支持 安全审计
- 支持 IP 白名单
- 支持 三/四权分立
- 支持 显示拒绝访问
- 支持 增强标记安全访问
- 支持 表/列级别的静态加密
- 支持 国密加密