透過的なデータ暗号化について
構成ファイルとデータベース・テーブルに格納されている、機密性の高い保存データを保護します。
ローカル暗号化キー・ファイル、またはリモートで格納され管理されているKMIP暗号化キーを使用して、機密性の高い保存データを保護します。
- 構成ファイルのプロパティ:LDAP検索パスワード、LDAPトラストストア・パスワード、SSLトラストストア・パスワードを保護します。
- システム・リソース:system.batchlogテーブル、system.paxosテーブル、ヒント・ファイル、コミット・ログに同じキーを使用して、プロパティを保護します。
- データベース・テーブル:パーティション・キー・カラム以外の、テーブル内のすべてのデータを保護します。テーブルごとに異なるキーを使用できます。
SSTableデータ・ファイルは、ディスクにフラッシュされると不変になり、ディスクへの書き込み時にのみ暗号化されます。既存のデータを暗号化するには、
-aオプションを指定してnodetool upgradesstablesを使用し、暗号化を有効にしてテーブルをディスクに再度書き込みます。注: テーブル・パーティション・キー・カラムに機密データを格納しないでください。
暗号化されないデータ
以下の項目はDSEによって暗号化されません。
- テーブル・パーティション・キー・カラム
- コミット・ログ・ファイルとSSTableデータ・ファイルを除く、データベース・ファイル
- DSEFSデータ・ファイル
- Spark退避ファイル
要件
DataStax Enterpriseの透過的なデータ暗号化(TDE)機能を使用するには、Java Cryptography Extensionをインストールします。「JCEのインストール」を参照してください。
TDEを使用する場合は、ローカル・ファイル・システムのセキュリティを保護します。暗号化キーはKMIP暗号化を使用してリモートに格納されるか、サーバー内暗号化を使用してローカルに格納されます。
TDEの制限事項と推奨事項
以下のユーティリティを使用してデータにアクセスする場合、データはTDEによって直接保護されません。
| ユーティリティ | ユーティリティが暗号化されない理由 |
|---|---|
| nodetool | JMXのみを使用するため、データにアクセスできません。 |
| sstableloader | SSTableに対して直接処理を行います。 |
| sstablescrub | SSTableに対して直接処理を行います。 |
| sstableutil | SSTableに対して直接処理を行います。 |
| sstableverify | SSTableに対して直接処理を行います。 |
圧縮と暗号化によって、パフォーマンス・オーバーヘッドが発生します。
TDEオプション
TDEの機能をフルに活用し、アルゴリズムを完全にサポートするには、JCEをインストールします。
dse.yamlファイルの場所は、インストールのタイプによって異なります。
|
パッケージ・インストールInstaller-Servicesインストール |
/etc/dse/dse.yaml |
|
tarボール・インストールInstaller-No Servicesインストール |
installation_location/resources/dse/conf/dse.yaml |