本文将介绍如何创建加密策略。
前提条件
已 购买开通 CASB 实例。
说明:
当元数据为从节点时,策略会自动同步主节点,无需创建。
关系型数据库
1. 登录 控制台,在左侧导航栏中,单击数据加密 > 策略管理。
2. 在策略管理页面,选择所需的地域、CASB 实例。
3. 在关系型数据库页面,选择需要创建加密策略的元数据。
4. 在策略管理页面,将会展示所选的实例与元数据对应的数据库名和策略总数。
5. 在策略管理页面中,单击数据库名,将会展示该数据库下数据表的详情。
说明:
选择数据表后,当其对应策略类型是主分表或次分表时,配置的加解密策略会同步到其他分表。
6. 找到所需配置的数据表,在其右侧操作栏中,单击策略配置。
7. 在配置页面中,找到所需的字段,在其右侧单击配置策略。
8. 在配置策略窗口中,配置所需参数,单击确定,即可完成策略的创建。
参数说明:
全量加解密:支持开启、关闭或仿真测试(旁路实时模拟策略执行,支持批量加密任务模拟执行策略,可在正式启用前充分验证策略)。
加密算法:目前支持国密 SM4 和 AES 算法。
模糊查询:目前适用于 utf8mb3和 utf8mb4两种不同字符集数据的密文模糊检索算法。为支持模糊查询,密文需要存储额外的索引信息,会一定程度降低密文的安全性,请根据业务需求评估选择。
适用于 utf8mb3字符集的模糊查询:仅支持加密和模糊查询 utf8mb3字符集(即1~3字节的 utf8字符)的字符串,密文长度将额外增加原始明文长度的7倍。
适用于 utf8mb4字符集的模糊查询:支持加密和模糊查询 utf8mb4字符集(即所有 utf8字符)的字符串,密文长度将额外增加原始明文长度的21倍。
加密密钥:根据步骤2选择的元数据,系统会自动拉取对应的密钥,供您选择。如未创建加密密钥,请参见 创建密钥。
注意:
配置了模糊查询策略的字段写入数据时,明文数据长度必须等于0(空)或大于等于 2,否则将写入失败。
9. 如需还对其他表或字段设置策略,重复上述操作即可。(可选)
说明:
策略配置完成后,实时加解密状态将会开启,默认是关闭。
工作模式:模式共有三种。工作模式仅当使用 Proxy 连接进行实时加解密操作时有效。
读解密,写加密。
读解密,写不解密。
读不解密,写不加密。
MongoDB
1. 登录 控制台,在左侧导航栏中,单击数据加密 > 策略管理。
2. 在策略管理页面,选择所需的地域、CASB 实例。
3. 单击 Tab 栏中的 mongoDB,选择需要创建加密策略的元数据。
4. 在策略管理页面,单击新建策略。
5. 在新建策略弹窗中,配置所需参数,单击确定,即可完成策略的创建。
参数说明:
数据库:目标策略的具体数据库名称。
集合:目标策略的具体集合名称。
字段:目标策略的具体字段名称
字段类型:目标策略的具体字段类型。
加密算法:目前支持国密 SM4 和 AES 算法。
模糊查询:目前适用于 utf8mb3和 utf8mb4两种不同字符集数据的密文模糊检索算法。为支持模糊查询,密文需要存储额外的索引信息,会一定程度降低密文的安全性,请根据业务需求评估选择。
说明:
字段目前只支持$.test,$.test.sub,$.test[*].sub; 例如:{'info':{'name':'XXX', 'phone':'XXX'}} 需要对phone加密 $.info.phone。
