云原生数据库 PieCloudDB ： Unbreakable 安全特性剖析 王 淏 舟 P i e C l o u d D B 资 深 技 术 专 家 O p e n P i e | 拓 数 派 打造立足于国内 基础数据计算领域的世界级高科技创新驱 动机构 !"#$%&'()*+,-./01234567489:;1<=>=? @AB3C>75D?EAF?G4H?<7IJAK4F74I8L$MNO:PQR(STQUV: PART 01 的安全特性 三大区域 • 云原生安全 • 传输层加密 • 缓存数据加密 • 存储安全 • 元数据持久化存储 • 用户数据多副本加密储存 • 计算安全 • 集群失效不影响用户数据 • ACID保证 三大区域 • 云原生安全 • 传输层加密 • 缓存数据加密 • 存储安全 • 元数据持久化存储 • 用户数据多副本加密储存 • 计算安全 • 集群失效不影响用户数据 将数据库数据从明文存储转为加密存储 • 避免数据被系统运维人员直接读出 • 不依赖公有云/私有云/系统加密 • 用户合规需求 • 数据安全审计 • 业务安全审计 PART 02 需求和挑战 来自用户的需求（1） • 密钥自主可控 • 主密钥存储于安全区域中 • 密钥不出区 • 加密密钥支持轮换 • 按时间/条件进行密钥轮换 • 无需停机，不中断服务 • 对性能影响小 • 避免额外造成查询延迟

· · · · · · · · · · 43 2.3.8 统计信息 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 43 1 2.3.9 安全 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 314 8.3.1 集群信息表 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 322 8.6 使用 PLAN REPLAYER 保存和恢复集群现场信息 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 325 8.6.1 使用 PLAN REPLAYER 导出集群信息 · · · · · · · · · · · · · · · · · · · · · ·

· · · · · · · · · · 37 2.3.8 统计信息 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 37 2.3.9 安全 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 298 8.3.1 集群信息表 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1216 12.9 安全加固 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·

· · · · · · · · · 49 1 2.3.8 统计信息 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 49 2.3.9 安全 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 977 10.3.5 使用 PLAN REPLAYER 保存和恢复集群现场信息 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 979 10.3.6 理解 TiKV 中的 Stale · · · · · · · · · · · · · · · · · · · · · · · · · · 2366 13.11.5 使用 PingCAP Clinic Diag 采集 SQL 查询计划信息· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 2370 13.11.6 PingCAP Clinic 数据采集说明·

· · · · · · · · · · 64 2.3.8 统计信息 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 64 1 2.3.9 安全 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 993 10.3.5 使用 PLAN REPLAYER 保存和恢复集群现场信息 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 995 10.3.6 理解 TiKV 中的 Stale · · · · · · · · · · · · · · · · · · · · · · · · · · 2379 13.11.5 使用 PingCAP Clinic Diag 采集 SQL 查询计划信息· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 2383 13.11.6 PingCAP Clinic 数据采集说明·

· · · · · · · · · · 65 2.3.8 统计信息 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 65 1 2.3.9 安全 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 967 10.3.5 使用 PLAN REPLAYER 保存和恢复集群现场信息 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 969 10.3.6 理解 TiKV 中的 Stale · · · · · · · · · · · · · · · · · · · · · · · · · · 2263 13.11.5 使用 PingCAP Clinic Diag 采集 SQL 查询计划信息· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 2267 13.11.6 PingCAP Clinic 数据采集说明·

· · · · · · · · · · 47 2.3.8 统计信息 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 47 2.3.9 安全 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 380 8.3.1 集群信息表 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 391 8.7 使用 PLAN REPLAYER 保存和恢复集群现场信息 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 393 8.7.1 使用 PLAN REPLAYER 导出集群信息 · · · · · · · · · · · · · · · · · · · · · ·

· · · · · · · · · · 37 2.3.8 统计信息 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 37 2.3.9 安全 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 289 8.3.1 集群信息表 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1173 12.9 安全加固 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·

· · · · · · · · · · 60 2.3.8 统计信息 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 61 2.3.9 安全 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 744 10.3.1 集群信息表 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 759 10.7 使用 PLAN REPLAYER 保存和恢复集群现场信息 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 762 10.7.1 使用 PLAN REPLAYER 导出集群信息 · · · · · · · · · · · · · · · · · · · · ·

· · · · · · · · · · 51 2.3.8 统计信息 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 51 1 2.3.9 安全 · · · · · · · · · · · · · · · · · · 643 8 运维操作 647 8.1 安全加固 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 647 8.1.1 TiDB 安全配置最佳实践 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1013 10.3.5 使用 PLAN REPLAYER 保存和恢复集群现场信息 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1015 10.3.6 理解 TiKV 中的 Stale