今天為大家介紹的是基于下一代Greenplum數據庫的數據安全組件的一個重要組成部分——數據透明加密。數據加密已經成為保證數據庫安全必不可少的一項要求。傳統Greenplum使用外部的UDF在實現數據加密，在易用性和性能方面都有所欠缺。為了滿足客戶對于數據加密的易用性和性能方面的要求，Greenplum實現了基于擴展組件模式（內核原生）的透明數據加密。該功能可實現原生用戶數據自動加解密，無需修改查詢語句且性能損失小。

Greenplum的數據安全運行模式主要分為三個層次：

• 用戶層

這一層中，包含了主要普通用戶的操作，比如連接數據庫，運行業務相關等操作。

• DBA層

在這一層中，包含了DBA用戶的操作，主要進行的是管理數據庫和業務審計等操作。

• System Admin（運維層）

這一層中，包含了系統管理員（運維工程師）的操作。主要進行的運維相關的比如管理集群和數據備份恢復等操作。

在數據安全上，Greenplum對用戶層與DBA層已經做到可以完全保證數據的安全性。但對于System Admin這一層，傳統的Greenplum還存在一些風險。Greenplum作為一個單獨數據庫軟件，缺乏對硬件和系統的控制。此外，數據庫運維需要登錄到系統來進行，使得運維人員具有了訪問數據庫二進制文件、數據文件和預寫日志文件的權限。作為一個大型的分布式數據庫，用戶常使用原廠服務、主機廠或第三方來進行運維。運維人員可以輕易的接觸數據庫文件，而數據文件為明文二進制文件，運維人員可以直接通過Linux自帶工具（strings，hexdump）訪問。pg_waldump也可以直接讀取并顯示預寫日志中的用戶數據。

由于數據庫可能會有非部門或外部員工運維（原廠、主機廠、或者合作伙伴），導致用戶數據存在直接暴露的風險。而此類操作往往也是運維正常操作，事后審計難度也很大。此外，如果用戶的服務器是被托管或者經由云部署等情況，也導致了數據被盜以后泄露的風險。

基于這樣的背景，用戶便有了對于數據加密的需求，來確保機密數據的安全，進行知識產權的保護或者是滿足審計的要求。 Greenplum研發團隊正在為Greenplum數據庫設計和密集開發數據透明加密功能 ，在不改變用戶業務模式和行為的前提下，來保證用戶的數據安全，具體發布日期請關注官方信息。

本視頻內容主要分為四個部分，Greenplum原廠工程師王淏舟會先為大家介紹Greenplum團隊如何站在用戶需求端來進行討論，以及做數據透明加密的相關背景。接著會為大家詳細介紹Greenplum當前基于pgcypto的數據加密方案，并針對Greenplum數據透明加密設計和加密流程進行詳細的解說。

歡迎大家戳鏈接觀看視頻，相關PPT可以前往Greenplum中文社區下載頁面 https://cn.greenplum.org/download 自行獲取。

視頻鏈接：https://www.bilibili.com/video/BV12A411w7fZ/

總結

以上是生活随笔為你收集整理的深度揭秘Greenplum数据库透明加密的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。