透過的なデータ暗号化について
構成ファイルとデータベース・テーブルに格納されている、機密性の高い保存データを保護します。
ローカル暗号化キー・ファイル、またはリモートで格納され管理されているKMIP暗号化キーを使用して、機密性の高い保存データを保護します。
- 構成ファイルのプロパティ:LDAP検索パスワード、LDAPトラストストア・パスワード、SSLトラストストア・パスワードを保護します。
- システム・リソース:system.batchlogテーブル、system.paxosテーブル、ヒント・ファイル、コミット・ログに同じキーを使用して、プロパティを保護します。
- データベース・テーブル:プライマリ・キー・カラム以外の、テーブル内のすべてのデータを保護します。テーブルごとに異なるキーを使用できます。
SSTableデータ・ファイルは、ディスクにフラッシュされると不変になり、ディスクへの書き込み時にのみ暗号化されます。既存のデータを暗号化するには、nodetool upgradesstablesに
-a
オプションを指定して使用し、暗号化を有効にしてテーブルをディスクに再度書き込みます。警告: プライマリ・キー・カラムに機密データを格納しないでください。透過的データ暗号化では、パーティション・キーとクラスター化カラムは暗号化されません。
暗号化されないデータ
以下の項目はDSEによって暗号化されません。
- テーブル・パーティション・キーおよびクラスター化カラム
- コミット・ログ・ファイルとSSTableデータ・ファイルを除く、データベース・ファイル
- DSEFSデータ・ファイル
要件
DataStax Enterprise Transparent Data Encryption(TDE)機能を使用してJava Cryptography Extensionをインストールするには、JCEをインストールする必要があります。
TDEを使用する場合は、ローカル・ファイル・システムのセキュリティを保護します。暗号化キーはKMIP暗号化を使用してリモートに格納されるか、サーバー内暗号化を使用してローカルに格納されます。
TDEの制限事項と推奨事項
以下のユーティリティを使用してデータにアクセスする場合、データはTDEによって直接保護されません。
ユーティリティ | ユーティリティが暗号化されない理由 |
---|---|
nodetool | JMXのみを使用するため、データにアクセスできません。 |
sstableloader | SSTableに対して直接処理を行います。 |
sstablescrub | SSTableに対して直接処理を行います。 |
sstableutil | SSTableに対して直接処理を行います。 |
sstableverify | SSTableに対して直接処理を行います。 |
圧縮と暗号化によって、パフォーマンス・オーバーヘッドが発生します。