透過的なデータ暗号化について

構成ファイルとデータベース・テーブルに格納されている、機密性の高い保存データを保護します。

ローカル暗号化キー・ファイル、またはリモートで格納され管理されているKMIP暗号化キーを使用して、機密性の高い保存データを保護します。
  • 構成ファイルのプロパティ:LDAP検索パスワード、LDAPトラストストア・パスワード、SSLトラストストア・パスワードを保護します。
  • システム・リソース:system.batchlogテーブル、system.paxosテーブル、ヒント・ファイル、コミット・ログに同じキーを使用して、プロパティを保護します。
  • データベース・テーブル:パーティション・キー・カラム以外の、テーブル内のすべてのデータを保護します。テーブルごとに異なるキーを使用できます。

    SSTableデータ・ファイルは、ディスクにフラッシュされると不変になり、ディスクへの書き込み時にのみ暗号化されます。既存のデータを暗号化するには、-aオプションを指定してnodetool upgradesstablesを使用し、暗号化を有効にしてテーブルをディスクに再度書き込みます。

    注: テーブル・パーティション・キー・カラムに機密データを格納しないでください。

暗号化されないデータ

以下の項目はDSEによって暗号化されません。
  • テーブル・パーティション・キー・カラム
  • コミット・ログ・ファイルとSSTableデータ・ファイルを除く、データベース・ファイル
  • DSEFSデータ・ファイル
  • Spark退避ファイル

要件

DataStax Enterpriseの透過的なデータ暗号化(TDE)機能を使用するには、Java Cryptography Extensionをインストールします。「JCEのインストール」を参照してください。

TDEを使用する場合は、ローカル・ファイル・システムのセキュリティを保護します。暗号化キーはKMIP暗号化を使用してリモートに格納されるか、サーバー内暗号化を使用してローカルに格納されます。

TDEの制限事項と推奨事項

以下のユーティリティを使用してデータにアクセスする場合、データはTDEによって直接保護されません。

ユーティリティ ユーティリティが暗号化されない理由
nodetool JMXのみを使用するため、データにアクセスできません。
sstableloader SSTableに対して直接処理を行います。
sstablescrub SSTableに対して直接処理を行います。
sstableutil SSTableに対して直接処理を行います。
sstableverify SSTableに対して直接処理を行います。

圧縮と暗号化によって、パフォーマンス・オーバーヘッドが発生します。

TDEオプション

TDEの機能をフルに活用し、アルゴリズムを完全にサポートするには、JCEをインストールします。

dse.yamlファイルの場所は、インストールのタイプによって異なります。

パッケージ・インストールInstaller-Servicesインストール

/etc/dse/dse.yaml

tarボール・インストールInstaller-No Servicesインストール

installation_location/resources/dse/conf/dse.yaml