课程名称:(301)3.8.2 TLS and TDE(TLS 和 TDE)
学习时长:20min
课程收获:掌握 TLS 和 TDE 的原理和使用。
课程内容:TLS;TDE
TLS(传输层加密)
TLS:Transport Layer Security
TLS连接特性:安全的网络连接;网络认证机制;可靠网络连接
证书
由可信证书授权机构(CA)颁发
生成证书的两种方法:通过CA;自签名证书
强制使用加密连接:使用tidb-server参数 --require-secure-transport;使用require ssl为每个用户配置
server/client之间使用加密连接:TiDB打开TLS,mysql client >=5.7时使用加密连接;认证TiDB服务器;认证客户端;对客户端和TiDB服务器同时进行认证
在线更换证书:替换"/path/to/tidb-cert.pem"
对连接实行更多限制:禁止客户端直接连接TiKV;使用CN
TDE(静态加密):加密存储在磁盘上的数据;不加密内存中数据和网络交换数据;只支持全部数据加密,不支持加密列数据;为TiKV打开TDE加密选项;使用AWS KMS CMK作为主密钥;信封加密
包含两种密钥:主密钥;数据密钥
密钥滚动:在密钥泄露情况下降低数据泄漏:默认7天
主密钥手工滚动方法
当前静态加密的不足:Core dump 有泄漏的风险;PD,TIFLASH 不支持静态加密;与数据相关的配置使用绝对路径,且不能修改
学习过程中遇到的问题或延伸思考:
- 问题 1:
- 问题 2:
- 延伸思考 1:
- 延伸思考 2:
学习过程中参考的其他资料
无