可以理解,yugabyte-db既保护传输中的数据,又保护来自https://docs.yugabyte.com/v1.1/secure/tls-encryption/和https://docs.yugabyte.com/latest/secure/encryption-at-rest/的静态数据。
观察到:
a)所示的最大密钥长度选项为48位。是否可以配置为使用128位密钥或256位密钥或更高位?如何最大程度地降低其对性能的影响?
b)每当旋转密钥或完成密钥操作时,是否所有平板电脑都使用旧密钥解密并使用新密钥加密?旋转钥匙时如何影响性能?如何最大程度地降低其对性能的影响?
c)如何配置yugabyte-db以使用HSM中的密钥,而不是使用磁盘中的密钥来处理有线数据和静态数据?
答案 0 :(得分:1)
a)这是不正确的,可以将其配置为使用128/256位密钥。文档应尽快更新以反映这一点。
b)通常,运行rotate_universe_key_in_memory yb-admin命令时,只有新写入的数据文件才使用旋转到的Universe密钥(无论是第一次启用静态加密,还是随后的任何后续加密)关键旋转)。写入文件时,所有以前存在的数据文件仍然引用作为当前密钥的Universe密钥,并且文件将继续使用其各自的Universe密钥,直到刷新或压缩它们时才重新写入新写入的文件。将使用当前的Universe键。因此,不会,每次密钥旋转都不会发生平板电脑范围的解密,所有数据文件使用当前Universe密钥所花费的时间取决于给定Universe上的写入工作量。
c)目前,Yugabyte yb-admin命令仅支持从磁盘上文件的内容中读取Universe密钥以进行静态加密。重要的是要注意,密钥只需要保留在磁盘上,直到用add_universe_key_to_all_masters将密钥加载到内存中为止。之后,可以将密钥文件从主节点移出并远程存储在其他位置。如果所有母版同时关闭,则仅在其他时间才需要此密钥文件将密钥重新上传到内存中。 Yugabyte平台(https://www.yugabyte.com/platform/)提供对使用CMK生成Universe密钥的AWS KMS的集成支持(您可以将AWS CloudHSM用作AWS KMS CMK的HSM自定义密钥存储),以及对Equinix SmartKey;所以这可能适合您的用例?