佛系随性笔记,记录最好的自己!
前面写了一篇数据库加密相关的,回头看了一下,问题挺多的,要重写下。
01
—
什么是数据库加密?
02
—
数据库加密的功能
数据库加密功能-图1
数据库加密,这一块功能相对来说比较单一,大致就四个,其余什么公共模块"系统管理、角色人员设置、备份恢复等",这一块说了也意义不大,大家都知道,加密方法策略:这块常用的是“列加密、表空间加密、全盘加密(就不说了字面意思)等等”。
列加密:
如下图2,在库表里,列加密是专门保护表格中的某些列,比如密码。当这些数据被存入数据库后,它们会被加密处理,就像加了个密码锁,即使有人试图查看,他们看到的也只是乱码,就像密码锁保护下的物品,无法轻易被获取。
列加密示意-图2
列加密原理-图3
1、识别数据:表中有多列数据,其中某些列为敏感数据(比如密码等)。
2、没加密前:以明文形式存储在数据库表中,都能看到。
3、加密过程:加密工具在数据写入或更新时动态对敏感列数据进行实时加密。
4、加密后:加密算法将敏感数据变成密文,存储在库表中。
5、使用过程:当你要读取加密列数据,解密工具会自动解密数据,然后你收到解密后的数据。
列加密原理-图4
举个栗子:把数据库比作成一个花园,里面种着各种各样的植物,而表空间就像是花园里的一个个独立区域,每个区域都有其独特的植物(数据)。为了保护这些珍贵的植物不受外来者(未授权的人)的破坏,你决定在每个区域(表空间)周围建造一堵"透明的"墙,这堵墙就是"表空间加密"。
表空间加密示意-图6
03
—
数据库加密的工作原理
现在对数据加密一般都是三种方案,不熟悉的还望指导,写下网关加解密,其他的就不说了,差不多,就是位置换了。
数据库加密方案-图7
网关加密:
举个栗子:你想给远方的朋友写封信或者礼物,为了保证信件礼物(数据)内容的安全,你会选择一个可靠的平台来帮你邮寄(邮政京东顺丰),(邮政京东顺丰)就是"网关加密"
网关加密-图8
网关加密原理图详解:
1、邮寄人:我要邮寄一封信(发送到服务器的明文数据。)
2、快递方:位于邮寄人和接收人之间,负责处理收发快递(加解密)工作。
3、打包(加密)过程:邮寄人将信件给到快递方,快递方使用包装盒(加密密钥)对信件打包(进行加密)。
4、运送(加密后)过程:快递发往目的地(接收方)。
5、送货(解密)过程:接收方收到快递后,签字验收(对其进行解密)。
04
—
数据库加密的部署模式
这一块各大厂商所支持部署模式功能,各不相同,功能和性能上也有较大的区别。选择自己最合适的部署模式,才是最重要的。
网关代理部署-图9
网关代理:旁路部署在网络中,库和数据库加密网络可达即可,数据库加密代理数据库,影响现有数据库访问方式(可以简单理解为旁路部署、逻辑串联)。
插件部署-图10
插件部署:数据库加密插件部署,需要在数据库侧安装插件,不改变现有访问方式(影响数据库的性能)。
05
—
数据库加密的应用场景和价值
应用场景-图11
价值-图12
06
—
题外话-怎么挑选数据库加密
重点(库的兼容性):确认现有需要防护的数据库,确认所支持库的版本类型、版本号(很多厂商都是支持某一个或几个版本,就忽悠,后期再定开,哈哈哈),这一块很重要,至于后面会详细调研一些库运行模式、字符集、集群节点、是不是加密数据库、是否修改过源码等等。
重点(功能):不同的数据库加密具有不同的功能和特点,常规厂商都有的功能我就不说了,说一些少有的功能:"国密浏览器、量子密钥、加密卡、拥有几级密钥"?对库、表、列、行的加密能做到什么程度?加密算法支持有哪些?根据自己的需求和安全要求,选择具备所需要的功能和特点。
重点(性能):对数据库加密进行相应的场景性能测试,看看加解密效果,是否能接受。
注释:如有失误,望批评指正!
后面会写下Windows和liunx的应急响应技巧、容器、还有一些网络安全、数据安全。
后台输入“Windows应急响应手册、linux应急响应手册、数据安全政策、数据安全治理、电力、工业、金融”有相关资料可供下载!