Enkripsi - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi

Ketika datang ke enkripsi, ada dua area fokus:

  • Enkripsi bergerak

  • Enkripsi diam

Enkripsi asli Db2 dibangun ke dalam Db2 untuk melindungi data saat istirahat dengan mengenkripsi data saat ditulis ke disk. Enkripsi asli Db2 menggunakan model dua tingkat standar. Data aktual dienkripsi dengan Db2 Data Encryption Key (DEK) dan DEK dienkripsi dengan Db2 master key (MK). DEK dikelola dalam database sementara MK disimpan secara eksternal di toko kunci.

Untuk mencapai enkripsi saat istirahat, enkripsi volume Amazon Elastic Block Store (Amazon EBS) lebih disukai daripada enkripsi asli Db2 karena Anda dapat menggunakan solusi cloud-native untuk AWS penyiapan dan penskalaan. Enkripsi volume EBS juga membantu menghilangkan overhead operasional yang tidak perlu dan waktu yang dihabiskan untuk menyiapkan enkripsi asli saat memigrasi beberapa server database. Untuk informasi lebih lanjut, lihat posting blog Arsitektur untuk enkripsi database pada AWS.

Enkripsi dalam perjalanan relevan untuk komunikasi data berikut:

  • Antara klien dan server

  • Antara server pemulihan bencana ketersediaan tinggi (HADR) primer dan siaga

  • Antara server database dan layanan eksternal

Data yang dikirim dienkripsi dengan menggunakan TLS. Selain itu, Db2 mendukung enkripsi internal ID pengguna dan kata sandi dengan menggunakan parameter sisi server. AUTHENTICATION

TLS menggunakan pustaka dari IBM Global Security Kit (GSKit), yang menyediakan terowongan aman untuk data yang sedang dikirim dan menyimpan sertifikat dengan aman di dalam penyimpanan kunci.

Diagram berikut menunjukkan jabat tangan TLS antara klien dan server.

""

  1. Klien meminta koneksi TLS dan mencantumkan cipher suite yang didukung.

  2. Server merespons dengan cipher suite yang dipilih dan salinan sertifikat digitalnya, yang mencakup kunci publik.

  3. Klien memeriksa validitas sertifikat. Jika sertifikat valid, kunci sesi dan kode otentikasi pesan (MAC) dienkripsi dengan kunci publik dan dikirim kembali ke server.

  4. Server mendekripsi kunci sesi dan MAC. Kemudian server mengirimkan pengakuan untuk memulai sesi terenkripsi dengan klien.

  5. Server dan klien bertukar data dengan aman menggunakan kunci sesi dan MAC.

Ketika sertifikat kedaluwarsa, Anda harus memperbarui sertifikat dan memperbaruinya di toko kunci.

Dimulai dengan Db2 versi 11.5.6, Anda dapat menyertakan validasi nama host saat mengonfigurasi TLS. Validasi nama host membantu koneksi klien untuk memvalidasi bahwa nama host dalam sertifikat server cocok dengan nama host di klien. Validasi ini dapat membantu mencegah person-in-the-middle serangan. Selain itu, Anda dapat mengkonfigurasi TLSVersion parameter pada klien. Dimulai dengan Db2 versi 11.5.8, TLS 1.3 didukung.