透過的なデータ暗号化

透過的なデータ暗号化(TDE)は、保存済みデータを保護します。TDEの効率を上げるには、セキュアなローカル・ファイル・システムが必要です。

透過的なデータ暗号化(TDE)は、保存済みデータを保護します。保存済みデータとは、ディスクに保存されているデータです。DSE Searchは、TDEを使用して、Solrコミット・ログとSolrインデックスを暗号化します。Solrコミット・ログは、Solrコア用のバックアップ対象のCassandraテーブルが暗号化されるときに暗号化されます。

データは、別のアルゴリズムを使用して暗号化することも、暗号化しないことも選択できます。SSTableデータ・ファイルは、いったんディスクにフラッシュされると不変になり、ディスクに書き込まれた後で、1回だけ暗号化されます。

Cassandra File System(CFS)は、構成されている認証を使用して、Hadoop File System(HDFS)の一部としてアクセスされます。CFSキースペースのsblocksおよびinodeテーブルを暗号化すると、すべてのCFSデータが暗号化されます。

要件

TDEの効率を上げるには、セキュアなローカル・ファイル・システムが必要です。暗号化の証明書は、KMIP暗号化の場合は、サーバー外にサーバー内暗号化の場合はローカルに格納されます。

TDEの制限事項と推奨事項

以下のユーティリティを使用してデータにアクセスする場合、データはTDEによって直接保護されません。

ユーティリティ ユーティリティが暗号化されない理由
json2sstable SSTableに対して直接処理を行います。
nodetool JMXのみを使用するため、データにはアクセスしません。
sstable2json SSTableに対して直接処理を行います。
sstablekeys SSTableに対して直接処理を行います。
sstableloader SSTableに対して直接処理を行います。
sstablescrub SSTableに対して直接処理を行います。

圧縮と暗号化によって、パフォーマンス・オーバーヘッドが発生します。

TDEオプション

TDEの機能をフルに活用するには、Java Cryptography Extension(JCE)をダウンロードしてインストールし、JARファイルを解凍して、$JAVA_HOME/jdk/lib/securityの下に配置します。JCEベースの製品は、米国輸出管理規則によって特定の国への輸出を制限されています。

dse.yamlファイルの場所は、インストールのタイプによって異なります。
Installer-Services /etc/dse/dse.yaml
パッケージ・インストール /etc/dse/dse.yaml
Installer-No Services install_location/resources/dse/conf/dse.yaml
tarボール・インストール install_location/resources/dse/conf/dse.yaml