2016-03-19 朱潔
Redshift是aws一個mpp數據庫,採用列式存儲,性能做的還不錯。今天不打算介紹Redshift本身,更多的信息,可以到aws到官網看看,https://aws.amazon.com/cn/redshift/?nc2=h_l3_al。
本文想分享下Redshift是怎麼保證安全的,Redshift的安全措施主要有加密,vpc,審計和合規。
1、首先是數據加密,通過設置 Amazon Redshift,使其利用 SSL 來保護中轉數據,並利用硬件加速型 AES-256 加密來保護靜態數據。如果您選擇啓用靜態數據的加密,那麼所有寫入硬盤的數據以及任何備份數據也將被加密。默認情況下,Amazon Redshift 會負責密鑰管理,但也可以選擇使用您自己的硬件安全模塊 (HSM)、AWS CloudHSM 或 AWS Key Management Service 管理您的密鑰。
Redshift加密原理:
Redshift使用四層,基於密鑰的架構進行加密。該架構包含數據加密密鑰,數據庫加密密鑰,一個集羣密鑰和主密鑰的。
用數據加密密鑰來對數據塊進行加密。每個數據塊被分配一個隨機產生的AES-256的密鑰。這些密鑰使用數據庫密鑰來加密。
數據庫密鑰又使用集羣 密鑰來加密。數據庫密鑰是隨機產生的AES-256的密鑰。它存儲在磁盤上,與Redshift集羣單獨的網絡,並通過安全通道傳輸。
使用集羣密鑰加密來加密數據庫密鑰。可以使用AWS KMS,AWS CloudHSM或外部硬件安全模塊(HSM)來託管集羣的密鑰。
如果主密鑰駐留在AWS KMS,用它加密集羣密鑰。這個可以定製,如果不定製,會使用Redshift默認的管理密鑰。
2、網絡隔離
redshift本身構建在vpc上,網絡隔離主要利用的是ecs的vpc能力。通過配置防火牆規則,以控制對數據倉庫集羣的網絡訪問。可以在 Amazon 虛擬私有云 (Amazon VPC) 中運行 Amazon Redshift,將數據倉庫集羣隔離在虛擬網絡中,並用行業標準加密的 IPsec VPN 將其連接至現有的 IT 基礎設施。
3、審計與合規
Amazon Redshift 與 AWS CloudTrail 相集成,能夠對所有的 Redshift API 調用進行審計。Amazon Redshift 還會記錄所有的 SQL 操作,包括連接嘗試、查詢和數據庫的變動。可以使用 SQL 查詢在系統表格中訪問這些記錄,或選擇將其下載到 Amazon S3 上的安全位置。
雲服務,安全可信是第一要素,簡單總結了一下AWS Redshift的安全策略,希望對你有幫助。
微信掃一掃
關注該公衆號