Hướng dẫn mysql disk encryption - mã hóa đĩa mysql
6 Hỗ trợ mã hóa dữ liệu-AT-Rest cho các không gian bảng cho mỗi bảng, không gian bảng chung, không gian bảng hệ thống 7, nhật ký làm lại và nhật ký hoàn tác. Show
Kể từ MySQL 8.0.16, việc thiết lập mặc định mã hóa cho các lược đồ và không gian bảng chung cũng được hỗ trợ, cho phép các DBA kiểm soát xem các bảng được tạo trong các lược đồ và bảng tính được mã hóa hay không.
6 Các tính năng và khả năng mã hóa dữ liệu được thiết kế lại được mô tả theo các chủ đề sau trong phần này.
Về mã hóa dữ liệu-at-restĐiều kiện tiên quyết mã hóamaster key rotation. Xác định mặc định mã hóa cho các lược đồ và không gian bảng chung Mã hóa không gian bảng tập tin-per-per Mã hóa không gian bảng chung
Mã hóa và phục hồi Xuất các không gian bảng được mã hóa Mã hóa và sao chép“MySQL Enterprise Transparent Data Encryption (TDE)”. Xác định các không gian và lược đồ được mã hóa Giám sát tiến trình mã hóa Điều kiện tiên quyết mã hóa
Xác định mặc định mã hóa cho các lược đồ và không gian bảng chungKể từ MySQL 8.0.16, biến hệ thống 4 xác định cài đặt mã hóa mặc định cho các lược đồ và không gian bảng chung. Các hoạt động 5 và 6 Áp dụng cài đặt 4 khi mệnh đề 8 không được chỉ định rõ ràng.Các hoạt động 9 và 0 không áp dụng cài đặt 4. Một mệnh đề 8 phải được chỉ định rõ ràng để thay đổi mã hóa của một lược đồ hiện có hoặc không gian bảng chung.Biến 4 có thể được đặt cho kết nối máy khách riêng lẻ hoặc toàn cầu sử dụng cú pháp 4. Ví dụ: câu lệnh sau cho phép mã hóa Lược đồ mặc định và không gian bảng trên toàn cầu:
Cài đặt mã hóa mặc định cho lược đồ cũng có thể được xác định bằng mệnh đề 5 khi tạo hoặc thay đổi lược đồ, như trong ví dụ này:
Nếu mệnh đề 5 không được chỉ định khi tạo lược đồ, cài đặt 4 được áp dụng. Điều khoản 5 phải được chỉ định để thay đổi mã hóa mặc định của lược đồ hiện có. Mặt khác, lược đồ giữ lại cài đặt mã hóa hiện tại của nó.Theo mặc định, một bảng kế thừa cài đặt mã hóa của lược đồ hoặc không gian bảng chung được tạo trong. Ví dụ, một bảng được tạo trong lược đồ hỗ trợ mã hóa được mã hóa theo mặc định. Hành vi này cho phép DBA kiểm soát việc sử dụng mã hóa bảng bằng cách xác định và thực thi lược đồ và mặc định mã hóa không gian bảng chung. Mặc định mã hóa được thực thi bằng cách bật biến hệ thống 9. Khi 9 được bật, kiểm tra đặc quyền xảy ra khi tạo hoặc thay đổi lược đồ hoặc không gian bảng chung với cài đặt mã hóa khác với cài đặt 4 hoặc khi tạo hoặc thay đổi bảng với cài đặt mã hóa khác với mã hóa lược đồ mặc định. Khi 9 bị vô hiệu hóa (mặc định), kiểm tra đặc quyền không xảy ra và các hoạt động được đề cập trước đó được phép tiến hành cảnh báo.Đặc quyền 3 được yêu cầu để ghi đè cài đặt mã hóa mặc định khi 9 được bật. DBA có thể cấp đặc quyền này để cho phép người dùng đi chệch khỏi cài đặt 4 khi tạo hoặc thay đổi lược đồ hoặc không gian bảng chung hoặc đi chệch khỏi mã hóa lược đồ mặc định khi tạo hoặc thay đổi bảng. Đặc quyền này không cho phép lệch khỏi việc mã hóa một không gian bảng chung khi tạo hoặc thay đổi bảng. Một bảng phải có cài đặt mã hóa giống như không gian bảng chung mà nó nằm trong.Mã hóa không gian bảng tập tin-per-perKể từ MySQL 8.0.16, một không gian bảng mỗi bảng kế thừa mã hóa mặc định của lược đồ trong đó bảng được tạo trừ khi một mệnh đề 8 được chỉ định rõ ràng trong câu lệnh 7. Trước MySQL 8.0.16, mệnh đề 8 phải được chỉ định để cho phép mã hóa.
Để thay đổi mã hóa không gian bảng cho mỗi bảng hiện có, một mệnh đề 8 phải được chỉ định.
Kể từ MySQL 8.0.16, nếu biến 9 được bật, việc chỉ định mệnh đề 8 với một cài đặt khác với mã hóa lược đồ mặc định đòi hỏi đặc quyền 3. Xem xác định mặc định mã hóa cho các lược đồ và không gian bảng chung.Mã hóa tệp DoubleWriteHỗ trợ mã hóa cho các tệp DoubleWrite có sẵn kể từ MySQL 8.0,0.23. 6 Tự động mã hóa các trang tệp DoubleWrite thuộc về không gian bảng được mã hóa. Không có hành động là bắt buộc. Các trang tệp DoubleWrite được mã hóa bằng khóa mã hóa của không gian bảng liên quan. Cùng một trang được mã hóa được ghi vào tệp dữ liệu không gian bảng cũng được ghi vào tệp DoubleWrite. Các trang tệp DoubleWrite thuộc về một không gian bảng không được mã hóa vẫn chưa được mã hóa.Trong quá trình phục hồi, các trang tệp DoubleWrite được mã hóa không được mã hóa và kiểm tra tham nhũng.
Mã hóa không gian bảng hệ thống MySQLHỗ trợ mã hóa cho không gian bảng hệ thống 7 có sẵn kể từ MySQL 8.0.16.Không gian bảng hệ thống 7 chứa cơ sở dữ liệu hệ thống 7 và các bảng từ điển dữ liệu MySQL. Nó không được mã hóa theo mặc định. Để cho phép mã hóa không gian bảng hệ thống 7, chỉ định tên bảng và tùy chọn 8 trong câu lệnh 9.
Để vô hiệu hóa mã hóa cho không gian bảng hệ thống 7, đặt 1 bằng câu lệnh 9.
Kích hoạt hoặc vô hiệu hóa mã hóa cho không gian bảng hệ thống 7 yêu cầu đặc quyền 5 trên tất cả các bảng trong trường hợp ( 5.Làm lại mã hóa nhật kýRedo Log Dữ liệu mã hóa được bật bằng tùy chọn cấu hình 6. Redo log mã hóa được vô hiệu hóa theo mặc định.Cũng như dữ liệu không gian bảng, việc mã hóa dữ liệu đăng nhập lại xảy ra khi dữ liệu nhật ký làm lại được ghi vào đĩa và giải mã xảy ra khi làm lại dữ liệu nhật ký được đọc từ đĩa. Sau khi làm lại dữ liệu nhật ký được đọc thành bộ nhớ, nó ở dạng không được mã hóa. Dữ liệu làm lại được mã hóa và giải mã bằng khóa mã hóa không gian bảng. Khi 6 được bật, các trang nhật ký làm lại không được mã hóa có mặt trên đĩa vẫn chưa được mã hóa và các trang nhật ký làm lại mới được viết vào đĩa ở dạng được mã hóa. Tương tự như vậy, khi 6 bị vô hiệu hóa, các trang nhật ký đã được mã hóa có mặt trên đĩa vẫn được mã hóa và các trang nhật ký làm lại mới được viết vào đĩa ở dạng không được mã hóa.Cảnh báo Một hồi quy được giới thiệu trong MySQL 8.0.30 ngăn chặn việc vô hiệu hóa mã hóa nhật ký làm lại sau khi nó được bật. (Lỗi #108052, lỗi #34456802). Từ MySQL 8.0.30, siêu dữ liệu mã hóa lại, bao gồm khóa mã hóa không gian bảng, được lưu trữ trong tiêu đề của tệp nhật ký làm lại với LSN điểm kiểm tra gần đây nhất. Trước MySQL 8.0.30, siêu dữ liệu mã hóa lại, bao gồm khóa mã hóa không gian bảng, được lưu trữ trong tiêu đề của tệp nhật ký làm lại đầu tiên ( 9). Nếu tệp nhật ký làm lại với siêu dữ liệu mã hóa bị xóa, mã hóa lại đã bị tắt.Sau khi bật lại mã hóa log được bật, khởi động lại thông thường mà không có thành phần hoặc plugin khóa hoặc không có khóa mã hóa là không thể, vì 6 phải có thể quét các trang làm lại trong khi khởi động, điều này là không thể nếu các trang nhật ký làm lại được mã hóa. Không có thành phần hoặc plugin hoặc khóa mã hóa, chỉ có thể khởi động bắt buộc không có nhật ký làm lại ( 1). Xem Phần & NBSP; 15.21.3, Buộc phục hồi Innodb.Hoàn tác mã hóa nhật kýHoàn tác mã hóa dữ liệu nhật ký được bật bằng tùy chọn cấu hình 2. Hoàn tác mã hóa nhật ký áp dụng cho các nhật ký hoàn tác cư trú trong các không gian bảng hoàn tác. Xem phần & nbsp; 15.6.3.4, không gian bảng hoàn tác. Hoàn tác mã hóa dữ liệu nhật ký bị tắt theo mặc định.Cũng như dữ liệu không gian bảng, việc mã hóa dữ liệu nhật ký hoàn tác xảy ra khi hoàn tác dữ liệu nhật ký được ghi vào đĩa và giải mã xảy ra khi hoàn tác dữ liệu nhật ký được đọc từ đĩa. Khi hoàn tác dữ liệu nhật ký được đọc vào bộ nhớ, nó ở dạng không được mã hóa. Dữ liệu nhật ký hoàn tác được mã hóa và giải mã bằng khóa mã hóa không gian bảng. Khi 2 được bật, các trang nhật ký chưa được mã hóa có mặt trên đĩa vẫn chưa được mã hóa và các trang nhật ký hoàn tác mới được viết vào đĩa ở dạng được mã hóa. Tương tự như vậy, khi 2 bị vô hiệu hóa, các trang nhật ký chưa được mã hóa có mặt trên đĩa vẫn được mã hóa và các trang nhật ký hoàn tác mới được viết vào đĩa ở dạng không được mã hóa.Siêu dữ liệu mã hóa nhật ký hoàn tác, bao gồm khóa mã hóa không gian bảng, được lưu trữ trong tiêu đề của tệp nhật ký hoàn tác. Ghi chú Khi mã hóa nhật ký hoàn tác bị vô hiệu hóa, máy chủ tiếp tục yêu cầu thành phần hoặc plugin khóa được sử dụng để mã hóa dữ liệu nhật ký hoàn tác cho đến khi các không gian bảng hoàn tác có chứa dữ liệu nhật ký được mã hóa bị cắt. . Xoay chínhKhóa mã hóa chính phải được xoay định kỳ và bất cứ khi nào bạn nghi ngờ rằng khóa đã bị xâm phạm. Xoay khóa chính là một hoạt động cấp độ nguyên tử, mức độ. Mỗi lần quay khóa mã hóa chính, tất cả các khóa không gian bảng trong phiên bản MySQL được sao chép lại và lưu lại cho các tiêu đề không gian bảng tương ứng của chúng. Là một hoạt động nguyên tử, việc tái hấp thu phải thành công cho tất cả các phím không gian bảng sau khi một hoạt động xoay được bắt đầu. Nếu vòng quay khóa chính bị gián đoạn do lỗi máy chủ, 6 sẽ thực hiện thao tác chuyển tiếp khi khởi động lại máy chủ. Để biết thêm thông tin, xem mã hóa và phục hồi.Xoay phím mã hóa chính chỉ thay đổi khóa mã hóa chính và tái mã hóa các khóa không gian bảng. Nó không giải mã hoặc mã hóa lại dữ liệu không gian bảng liên quan. Xoay khóa mã hóa chính yêu cầu đặc quyền 6 (hoặc đặc quyền không dùng nữa ____997).Để xoay khóa mã hóa chính, chạy:
8 hỗ trợ DML đồng thời. Tuy nhiên, nó không thể được chạy đồng thời với các hoạt động mã hóa không gian bảng và khóa được thực hiện để ngăn chặn các xung đột có thể phát sinh từ việc thực hiện đồng thời. Nếu hoạt động 9 đang chạy, nó phải kết thúc trước khi hoạt động mã hóa không gian bảng có thể tiến hành và ngược lại.Mã hóa và phục hồiNếu xảy ra lỗi máy chủ trong quá trình hoạt động mã hóa, thao tác sẽ được tiến hành khi máy chủ được khởi động lại. Đối với các không gian bảng chung, hoạt động mã hóa được nối lại trong một luồng nền từ trang được xử lý cuối cùng. Nếu xảy ra lỗi máy chủ trong quá trình xoay khóa chính, 6 tiếp tục hoạt động khi khởi động lại máy chủ.Thành phần hoặc plugin Keyring phải được tải trước khi khởi tạo công cụ lưu trữ để thông tin cần thiết để giải mã các trang dữ liệu không gian bảng có thể được lấy từ các tiêu đề không gian bảng trước khi 6 Khởi tạo và phục hồi hoạt động truy cập dữ liệu không gian bảng. (Xem các điều kiện tiên quyết mã hóa.)Khi bắt đầu khởi tạo và phục hồi 6, hoạt động xoay khóa chính sẽ tiếp tục. Do lỗi máy chủ, một số khóa bảng không gian có thể được mã hóa bằng khóa mã hóa chính mới. 6 đọc dữ liệu mã hóa từ mỗi tiêu đề không gian bảng và nếu dữ liệu chỉ ra rằng khóa bảng không gian được mã hóa bằng cách sử dụng khóa mã hóa chính cũ, 6 lấy khóa cũ từ khóa và sử dụng để giải mã khóa không gian bảng. 6 sau đó mã hóa lại khóa không gian bảng bằng khóa mã hóa chính mới và lưu khóa không gian bảng được mã hóa lại trở lại tiêu đề không gian bảng.Xuất các không gian bảng được mã hóaXuất bảng không gian chỉ được hỗ trợ cho các không gian bảng cho mỗi bảng. Khi một không gian bảng được mã hóa được xuất, 6 sẽ tạo một khóa truyền được sử dụng để mã hóa khóa không gian bảng. Khóa không gian bảng được mã hóa và khóa chuyển được lưu trữ trong tệp ____ 107.cfp. Tệp này cùng với tệp không gian bảng được mã hóa được yêu cầu để thực hiện thao tác nhập. Khi nhập, 6 sử dụng phím chuyển để giải mã khóa bảng không gian trong tệp ____ 107.cfp. Để biết thông tin liên quan, xem Phần & NBSP; 15.6.1.3, Nhập khẩu bảng InnoDB.transfer key that is used to encrypt the tablespace key. The encrypted tablespace key and transfer key are stored in a 07.cfp file.
This file together with the encrypted tablespace file is required to perform an import operation. On import, 6 uses the transfer key to decrypt the tablespace key in the 07.cfp file. For related information, see Section 15.6.1.3, “Importing InnoDB Tables”. Mã hóa và sao chép
Xác định các không gian và lược đồ được mã hóaBảng 18, được giới thiệu trong MySQL 8.0.13, bao gồm một cột 8 có thể được sử dụng để xác định các không gian bảng được mã hóa.
Khi tùy chọn 8 được chỉ định trong câu lệnh 7 hoặc 22, nó được ghi lại trong cột 23 của 24. Cột này có thể được truy vấn để xác định các bảng cư trú trong các không gian bảng được mã hóa cho mỗi bảng.
Truy vấn 18 Để truy xuất thông tin về không gian bảng liên quan đến một lược đồ và bảng cụ thể.
Bạn có thể xác định các lược đồ hỗ trợ mã hóa bằng cách truy vấn bảng 26. 0
27 cũng hiển thị mệnh đề 28.Giám sát tiến trình mã hóaBạn có thể giám sát không gian bảng chung và 7 Tiến trình mã hóa không gian bảng hệ thống bằng Lược đồ hiệu suất.Công cụ sự kiện giai đoạn 30 báo cáo thông tin 31 và 32 cho các hoạt động mã hóa không gian bảng chung.Ví dụ sau đây cho thấy cách kích hoạt công cụ sự kiện giai đoạn 30 và các bảng tiêu dùng liên quan để giám sát không gian bảng chung hoặc tiến trình mã hóa không gian bảng hệ thống 7. Để biết thông tin về các công cụ sự kiện giai đoạn Lược đồ hiệu suất và người tiêu dùng liên quan, xem Phần & NBSP; 27.12.5, Bảng sự kiện SPORM SCHEMA SCHEMA.
Ghi chú sử dụng mã hóa
Giới hạn mã hóa
|