メインコンテンツまでスキップ

Transparent Data Encryption

CelerData は、Transparent Data Encryption (TDE) を使用して、弾力性のあるクラスター内のデータを保護します。

Overview

Transparent Data Encryption (TDE) は、データベースデータを保護するために設計された技術です。データベースエンジン層で保存されたデータを暗号化および復号化し、ユーザーやアプリケーションに対してプロセスを透明にします。TDE はデータをオブジェクトストレージに書き込む際に暗号化し、すべての保存データを安全に保ち、アプリケーションによってアクセスされた際に自動的に復号化するため、アプリケーションに変更を加える必要がありません。

TDE の主な利点は次のとおりです:

  • コンプライアンス要件: TDE は、保存された機密データが暗号化されていることを保証することで、GDPR や HIPAA などの規制要件を満たすのに役立ちます。
  • データ漏洩のリスク軽減: データベースファイルが不正にアクセスされたり盗まれたりしても、許可されていないユーザーはデータを読むことができません。
  • 使いやすさ: TDE はアプリケーションに対して透明であり、アプリケーションを修正する必要がなく、効率的な暗号化保護を提供します。

TDE が有効化されると、すべてのユーザーデータはオブジェクトストレージ上で暗号化されます。暗号化キーは AWS KMS によって管理されます。

暗号化と復号化のプロセスは次のとおりです:

  1. ユーザーはクラスターを作成する際にマスターキー(AWS KMS キー)を指定します。
  2. CelerData はマスターキーを使用して、キー暗号化キー(KEK)を生成し、定期的にローテーションします。
  3. 新しいデータファイルごとに、KEK を使用して新しいデータ暗号化キー(DEK)が生成されます。DEK は平文部分と暗号文部分で構成されます。データファイルは平文部分を使用して暗号化され、暗号文部分はメタデータに保存されます。
  4. ユーザーがデータにアクセスすると、CelerData はメタデータから DEK の暗号文部分を取得し、KEK を使用して復号化し、DEK の平文部分を取得してデータファイルを復号化します。

Usage

弾力性のあるクラスターに対して Transparent Data Encryption を有効にすることができますが、クラスターをデプロイする際にのみ可能です。詳細については、Deployment on AWS を参照してください。

Transparent Data Encryption を有効にするには、AWS KMS キーのリージョンと ARN を指定する必要があります。また、AWS へのアクセスにインスタンスプロファイルではなく Assumed Role を使用する場合は、KMS に保存されているキーに CelerData がアクセスできるようにするための IAM ロール ARN も提供する必要があります。2 つの認証方法の比較については、Comparison between authentication methods を参照してください。

KMS はマスターキーを管理し、GenerateDataKey API を使用して KEK を生成します。CelerData は暗号化キーを保存またはキャッシュしません。

KMS キーの作成方法についての詳細な手順は、Create a KMS key を参照してください。

Observability

CelerData は、Transparent Data Encryption 機能を監視するためのさまざまなメトリクスを提供します。

encryption_keys_created

  • 単位: -
  • タイプ: 累積
  • 説明: ファイル暗号化のために作成されたファイル暗号化キーの数。

encryption_keys_unwrapped

  • 単位: -
  • タイプ: 累積
  • 説明: 復号化操作の総数を記録するメトリクス。

encryption_keys_in_cache

  • 単位: -
  • タイプ: 瞬時
  • 説明: 現在キーキャッシュにある暗号化キーの数。

encryption_bytes

  • 単位: バイト
  • タイプ: 累積
  • 説明: 暗号化されたバイトの総数。

decryption_bytes

  • 単位: バイト
  • タイプ: 累積
  • 説明: 復号化されたバイトの総数。

Limitations

  • 現在、Transparent Data Encryption は弾力性のあるクラスターでのみサポートされています。
  • 既存のクラスターに対して Transparent Data Encryption を有効にしたり、マスターキーの設定を変更したりすることはサポートされていません。セットアップ後にマスターキーを変更することはできません。
  • Transparent Data Encryption を有効にすると、10% 未満のパフォーマンス低下が発生する可能性があります。