## 深度揭秘Greenplum开源数据库 透明加密 Greenplum 研发工程师 王湯舟 1. 我们所面临的问题 2. 基于pgcrypto的数据加密方案 3. GPDB数据透明加密方案设计 4. GPDB数据透明加解密流程 5. 总结 ## 我们所面临的问题 ## 什么是Greenplum数据库 GPDB 一款开源的HTAP数据库： • MPP架构 完整的事务+ACID+标准SQL支持 GPDB的数据安全 用户的问题 数据需要加密 • 机密数据 • 知识产权保护 • 审计要求 用户数据存在直接暴露的风险 • 非部门员工运维（原厂，主机厂或者合作伙伴） • 事后审计难度很大 • 服务器数据被盗（托管或云部署） ## 现有解决方案 基于操作的系统的硬盘加密 • 只能防范服务器硬盘被盗 • 对运维安全无能为力 基于pgcrypto的加密 • 可以满足数据安全要求 • • 非原生方案 • 问题很多 ## 基于pgcrypto的数据加密方案 ## pgcrypto Postgresql社区提供的一款简单加密插件 https://www.postgresql.org/docs/13/pgcrypto.html https://github.com/greenplum-db/gpdb/tree/master/contrib/pgcrypto 现有解决方案 数据加载

Fail”的弊病显现，也因此引发了一系列的技术变革与商业变革，启动了一轮从“集中式”走向“分布式”的时代浪潮。 在此背景下，区块链技术在2008年萌芽成型，并逐渐发展成熟。通过区块链技术解决方案中的共识机制、分布式账本、加密算法、智能合约、点对点通信、分布式计算架构、分布式存储、隐私保护算法、跨链协议等技术模块，可以让商业模式中的参与各方实现了地位对等和互信合作，从而推动了从“信息互联网”到“信任互联网”的时代进步，也令商业模式全面走向“分布式”成为可能。 平台通过节点准入控制、可靠的密钥管理、灵活的权限控制，在应用、存储、网络、主机层实现全面的安全保障。在隐私保护的设计上，支持权限管理、物理隔离，支持国密算法（国家密码局认证的标准算法），同时也对外开源了包括同态加密、零知识证明、群签名、环签名等多种隐私保护算法的实现方案。 - 在可用性方面，FISCO BCOS设计为7×24小时运行，达到金融级高可用性。在监管支持方面，可支持监管和审计机构作为观察节点加入， 更多关于虚拟机的介绍，请参考虚拟机设计文档 ## 密钥管理服务 2.0版本对落盘加密进行了重塑升级，开启落盘加密功能时，依赖KeyManager服务进行密钥管理，安全性更强。 KeyManager在Github开源发布，节点与KeyManager的交互协议是开放的，支持机构设计实现符合自身密钥管理规范的KeyManager服务，比如采用硬件加密机技术。该部分更详细的文档请参考使用文档和设计文档 ## 准入控制

ntroduction to Apache Shiro ## What is Apache Shiro? Apache Shiro 是一个强大而灵活的开源安全框架，它干净利落地处理身份认证，授权，企业会话管理和加密。 Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的，甚至是痛苦的，但它没有必要这样。框架应该尽可能掩盖复杂的地方，露出一个干净而直观的 API，来简化开发人员在使他们的应用程序安全上的努力。 ——身份验证，授权，会话管理和加密作为其目标。 • Authentication：有时也简称为“登录”，这是一个证明用户是他们所说的他们是谁的行为。 • Authorization：访问控制的过程，也就是绝对“谁”去访问“什么”。 Session Management：管理用户特定的会话，即使在非 Web 或 EJB 应用程序。 • Cryptography: 通过使用加密算法保持数据安全同时易于使用。 包中的类都被精心地设计以易于使用和易于理解。任何使用 Java 的本地密码支持的人都知道它可以是一个难以驯服的具有挑战性的动物。Shiro 的 cryptoAPI 简化了复杂的 Java 机制，并使加密对于普通人也易于使用。 ###### • Realms(org.apache.shiro.realm.Realm) 如上所述，Realms 在 Shiro 和你的应用程序的安全数据之间担当“桥梁

简介 • 标志 技术细节 • 重新映射 URL • 访问控制 • 高级技术 ## Apache SSL/TLS 加密 ## 概述 • SSL/TLS 加密: 简介 • SSL/TLS 加密: 兼容性 • SSL/TLS 加密: 常见操作 • SSL/TLS 加密: 常见问题 ## 指南与教程 概述 • 认证，授权与访问控制 • CGI 与动态内容 • 服务器端插入 .htaccess 2.4 ### Apache HTTP 服务器版本 2.4 ▲ ## Apache SSL/TLS 加密 此翻译可能过期。要了解最近的更改，请阅读英文版。 Apache HTTP 服务器模块 mod ssl 提供了与 OpenSSL 的接口，它使用安全套接字层和传输层安全协议提供了强加密。此模块与这篇文档都基于 Ralf S. Engelschall 的 mod ssl 项目。 ## 文档 (这会让它更慢或更快)。 ## 安全技巧 做和不做 - 如何让你的 Apache 站点保持安全。 ## 相关标准 这篇文档是 Apache 遵循的相关标准的参考页面。 ## 密码加密格式 对 Apache 身份认证支持的各种密码加密格式的讨论。 Apache HTTP Server Version 2.4 Apache > HTTP Server > Documentation >

的安装配置参数 727 # 第7章 在 AZURE 上安装 ... 741 7.1. 准备在 AZURE 上安装 741 7.2. 配置 AZURE 帐户 742 7.3. 为 AZURE 启用用户管理的加密 758 7.4. 在 AZURE 上快速安装集群 760 7.5. 使用自定义在 AZURE 上安装集群 768 7.6. 使用网络自定义在 AZURE 上安装集群 797 7.7. 将 AZURE 访问主机的情况下手动收集日志 3871 26.5. 从安装程序获取调试信息 3872 26.6. 重新安装 OPENSHIFT CONTAINER PLATFORM 集群 3872 # 第 27 章 支持 FIPS 加密 3874 27.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 3874 27.2. 集群使用的组件支持 FIPS 3875 27.3. 在 FIPS 模式下安装集群 网络中。 如果需要将集群部署到AWS GovCloud区域、AWS中国区域或Azure政府区域，您可以在安装程序置备的基础架构安装过程中配置这些自定义区域。 您还可以将集群机器配置为使用RHEL加密库在安装过程中为FIPS140-2/140-3Validation提交给 NIST。 ![OCR图片](/uploads/documents/b/0/6/b061421308a468e5e6e09

解决方案：CipherTrust Transparent Encryption for Kubernetes CipherTrust Transparent Encryption for Kubernetes 提供用於加密、存取控制和資料存取日誌記錄的容器内核功能，使企業能夠對Kubernetes環境中的資料建立堅實穩固的防護。透過 CipherTrust Transparent Encryption 的擴展，資料保 Transparent Encryption 的這項擴充，解決了保護機敏資料的合規要求與法規命令，例如支付卡、健康照護紀錄或者其他機敏資產。 • 防止受到特權用戶的威脅－該解決方案提供資料存取控制的加密，讓特權用戶如 Docker 或 OpenShift 等群組管理員，能夠像一般用戶執行操作，不會獲得未經授權的機敏資料存取。 實現強大的安全性－無論容器在資料中心、虛擬環境、甚至是雲端，任何地方儲存或使用，CipherTrust CipherTrust Transparent Encryption，讓資安團隊得以在容器內建立資安控制。憑藉這項擴充，您能按照每個容器的狀態一一施行加密、存取控制以及資料存取紀錄。加密可以應用在容器端本地產生並儲存的資料，以及藉由網路檔案系統搭載在容器內的資料。 - 可擴充的透明加密－無需對應用程式、容器或基礎架構進行任何變更下，提供資料安全控制。允許對Kubernetes叢集內的所有容器施行單一政策，或是對叢集