透過的なデータ暗号化
透過的なデータ暗号化(TDE)は、保存済みデータを保護します。TDEの効率を上げるには、セキュアなローカル・ファイル・システムが必要です。
透過的なデータ暗号化(TDE)は、保存済みデータを保護します。保存済みデータとは、ディスクに保存されているデータです。DSE Searchは、TDEを使用して、Solrコミット・ログとSolrインデックスを暗号化します。Solrコミット・ログは、Solrコア用のバックアップ対象のCassandraテーブルが暗号化されるときに暗号化されます。
データは、別のアルゴリズムを使用して暗号化することも、暗号化しないことも選択できます。SSTableデータ・ファイルは、いったんディスクにフラッシュされると不変になり、ディスクに書き込まれた後で、1回だけ暗号化されます。
Cassandra File System(CFS)は、構成されている認証を使用して、Hadoop File System(HDFS)の一部としてアクセスされます。CFSキースペースのsblocksおよびinodeテーブルを暗号化すると、すべてのCFSデータが暗号化されます。
要件
TDEの効率を上げるには、セキュアなローカル・ファイル・システムが必要です。暗号化の証明書は、KMIP暗号化の場合は、サーバー外に、サーバー内暗号化の場合はローカルに格納されます。
TDEの制限事項と推奨事項
以下のユーティリティを使用してデータにアクセスする場合、データはTDEによって直接保護されません。
ユーティリティ | ユーティリティが暗号化されない理由 |
---|---|
json2sstable | SSTableに対して直接処理を行います。 |
nodetool | JMXのみを使用するため、データにはアクセスしません。 |
sstable2json | SSTableに対して直接処理を行います。 |
sstablekeys | SSTableに対して直接処理を行います。 |
sstableloader | SSTableに対して直接処理を行います。 |
sstablescrub | SSTableに対して直接処理を行います。 |
圧縮と暗号化によって、パフォーマンス・オーバーヘッドが発生します。
TDEオプション
TDEの機能をフルに活用するには、Java Cryptography Extension(JCE)をダウンロードしてインストールし、JARファイルを解凍して、$JAVA_HOME/jdk/lib/securityの下に配置します。JCEベースの製品は、米国輸出管理規則によって特定の国への輸出を制限されています。
Installer-Services | /etc/dse/dse.yaml |
パッケージ・インストール | /etc/dse/dse.yaml |
Installer-No Services | install_location/resources/dse/conf/dse.yaml |
tarボール・インストール | install_location/resources/dse/conf/dse.yaml |