云访问安全代理中的密钥如何管理?
云访问安全代理的密钥由 密钥管理系统 管理,采用三级密钥管理机制,根密钥由硬件加密机生成和存储,由跟密钥生成 用户主密钥 (CMK),最终基于用户主密钥生成数据加密密钥 DEK,对应用数据进行加解密。
云访问安全代理何时会调用 KMS?
在控制台上创建工作密钥时会调用 KMS。
在实时加解密、全量加解密等使用工作密钥的场景会调用 KMS,代理节点会在内存中缓存工作密钥,同一代理节点同一工作密钥在缓存有效期内只会调用一次。
加密后的密文字段长度怎么计算?
明文数据加密时,密文需要保存数据内容、校验数据等信息,明文加密后的密文长度会有较大的增长,若数据库字段长度不足,可能导致明文无法加密、密文数据被截断、密文无法解密等问题,在实施数据加密前需要着重考虑字段长度的扩展,并为字段设置不小于最大密文大小的长度。
加密后密文数据长度可使用 密文长度计算 工具计算。
加解密失败、脱敏失败、数据截断等事件可前往 监控日志 页面查看。
加解密失败、脱敏失败、数据截断等事件可参见 事件告警规则 配置告警。
注意:
工具中待输入明文长度为字符串 utf8编码的字节数,而非字符数。
数据库支持加密哪些字段类型?
MySQL 支持的字段类型详情,请参见 MySQL。
PostgreSQL 支持的字段类型详情,请参见 PostgreSQL。
MongoDB 支持的字段类型详情,请参见 MongoDB。
数据库中的存量数据,在数据库中明文存储,应该如何处理?
已配置加密策略的字段中存在明文会有什么影响?
数据库里会明文存储数据,存在数据泄漏风险。
若字段配置了加密策略,且字段作为查询条件,通过代理无法匹配到未加密的明文数据,导致查询结果不全。
表结构变更后,加解密策略没有同步更新?
应用读取加密字段时失败或返回密文?全量解密任务无法解密字段?
现象:无法解密已加密的数据字段。
原因:已加密数据的加密策略被删除,加解密使用非同一个密钥、算法。
操作步骤:
1.1 为被删除策略的数据表设置新的策略:当数据修复完成后,系统会根据新的策略进行数据的加密,然后可通过 Proxy 连接获取明文。
1.2 策略设置完成后,再进行创建数据修复类型的全量任务。
如何统计数据库中存在的明文数据数量?
现象:已配置加密策略的数据库中,某字段存在明文数据。
原因:①配置了加密策略,但字段未加密成功; ②通过非代理情况连接数据库,写入了明文数据。
操作步骤:
1.1 为存在明文数据的数据库配置原有的策略。
1.2 任务完成后,查看任务执行详情 > 执行结果,其中:
结果展示的格式为:db.table.column: num(数据库名:表名:字段名: 明文数量)。
例如:d1.t1.c1: 10(说明数据库 d1,表 t1 的字段 c1 有10条明文记录)。