本文将为您介绍云访问安全代理的数据加密相关的实践经验和相关操作。
说明:
业务系统加密需求评估
接入 CASB 前,请先综合评估 CASB 提供的功能是否满足业务的加密需求。包括但不限于:
业务的数据库类型。CASB 支持 MySQL、PostgreSQL、MongoDB 类型的数据库。
业务存在哪些敏感字段。可使用 数据安全治理中心 定位敏感数据和分类分级。
敏感字段的类型。CASB 支持字符串类型的字段加密,详情请参见 字段支持情况。
敏感字段的加密算法。CASB 支持国密 SM4和 AES 两种加密算法。
敏感字段的字段长度。CASB 字段加密后,密文长度有较大增长,数据库需变更 加密字段长度。
涉及加密字段的 SQL 语法。CASB 使用代理模式,部分特性、语法等无法进行加密,详情请参见 功能支持和使用限制。
使用场景
新业务接入
注意:
存量数据影响确认。
配置了字段加解密策略后,通过代理查询加密字段数据时,代理会自动将应用查询的加密字段条件加密转换为密文,因此,通过代理无法查询到加密字段的明文数据。
因接入过程中加密字段可能存在一段时间的明文(存量)、密文(增量)数据共存状态,若加密字段作为查询条件,可能导致查询数据不全,请确认此场景下的业务影响。
周期性任务接入
本场景介绍需要周期性执行数据加密/解密/明文统计/数据修复任务的业务如何操作。
例如:业务每天03:00会从外部导入明文数据到数据库,数据中存在敏感字段,导入后需自动对敏感数据进行加密。
1. 元数据绑定和表结构采集。
可参考 从0开始接入 CASB 的步骤1和步骤2绑定元数据。
2. 配置周期性字段加密。
2.1 确认字段长度是否满足密文存储需求。
根据参考文档 密文长度计算,计算各字段中明文加密后的最大密文长度,若最大密文长度大于当前的字段长度定义,需调整字段长度大小。本例中各字段长度定义已足够存储密文,不对字段长度定义进行修改。
注意:
长度变更后,需重新采集元数据表结构。
2.2 配置字段加密策略。
参考 创建策略 配置待加密字段的加密策略。
2.3 配置周期性全量加密任务。
参考 创建任务 文档,创建全量加密任务,任务首次执行时间为
03:00,执行周期为24小时。增量任务接入
本场景介绍需要增量执行数据加密/解密任务的业务如何操作。
例如:业务数据每天03:00需要将当天数据库中写入的明文数据加密,由于数据库数据量较大,全量加解密会全表扫描,随着数据量的增长影响性能;
1. 元数据绑定和表结构采集。
可参考 从0开始接入 CASB 的步骤1和步骤2绑定元数据。
2. 配置周期性字段加密。
2.1 确认字段长度是否满足密文存储需求。
根据参考文档 密文长度计算,计算各字段中明文加密后的最大密文长度,若最大密文长度大于当前的字段长度定义,需调整字段长度大小。本例中各字段长度定义已足够存储密文,不对字段长度定义进行修改。
注意:
长度变更后,需重新采集元数据表结构。
2.2 配置字段加密策略。
参考 创建策略 配置待加密字段的加密策略。
2.3 配置周期性全量加密任务。
参考 创建任务 文档,创建数据加密任务,任务首次执行时间为
03:00,执行周期为24小时。2.4 配置增量加解密字段
参考创建任务 文档,创建数据加密任务,增量依据选择更新时间,并填写增量依据字段。
