MySQL Keyring使用Hashicorp Vault

作者：Ivan Švaljek 译：徐轶韬

在一次表演的介绍中，一个“老派”的表演者Victor Borge曾经问观众一个著名的问题:“你喜欢钢琴音乐吗?”这句话受到了人群的热烈欢迎，但紧接着一句自我讽刺的妙语便脱口而出:“太糟糕了”。

安全主题具有与其相似的概念，一旦你开始关心它们，就会面临一系列几乎无法管理的约束，问题和艰难的选择。值得庆幸的是，MySQL会为你提供一些工具，以帮助弥补当前设置与公认的安全标准之间的差距。接下来让我们考虑一下安全性的入门知识——保管你的加密密钥。

隐藏秘密？

用户的大多数数据都是存储在某种数据库中，可能存储在云中，也可以存储在内部的基础设施中。人们采取许多方法来保护它– TLS客户端连接，密码复杂性/轮换，设置权限，审核日志记录…还可以使表数据加密–例如，在MySQL中，用户可以使用InnoDB静态数据加密。这将确保需要通过密钥来访问数据库存储文件中的数据。

接下来，我们只需要将密钥存储在某个地方。MySQL的密钥存储/管理的角色已移交给MySQL Keyring工具，该工具支持多个密钥存储后端（从简单的文件存储到与KMIP兼容的后端）的唯一接口。现在我们在企业套件中添加了对Hashicorp Vault服务器的初始支持。

初识keyring_hashicorp插件！

作者口中的Hashicorp Vault是“安全获取秘密的工具”。除了存储和检索秘密(例如密钥和/或类似的敏感数据)外，它还支持一系列安全特性，例如动态秘密、数据加密、撤销等。

从MySQL 8.0.18开始，在众多功能中，我们添加了keyring_hashicorp插件，该插件使用Hashicorp Vault作为后端。该插件功能的简短概述如下：

• 实现用于密钥管理的MySQL Keyring接口
• 使InnoDB可以使用它来存储表加密密钥
• 支持采用文件后端的 Hashicorp Vault KV引擎
• 使用Hashicorp Vault AppRole身份验证样式
• 通过可选的CA验证支持与保管库的HTTPS链接
• 提供可选的内存中密钥缓存功能
• 支持与其他现有后端之间的迁移

感谢关注MySQL！