AWS Redshift安全策略解读

2016-03-19 朱洁 

Redshift是aws一个mpp数据库，采用列式存储，性能做的还不错。今天不打算介绍Redshift本身，更多的信息，可以到aws到官网看看，https://aws.amazon.com/cn/redshift/?nc2=h_l3_al。

 

本文想分享下Redshift是怎么保证安全的，Redshift的安全措施主要有加密，vpc，审计和合规。

 

1、首先是数据加密，通过设置 Amazon Redshift，使其利用 SSL 来保护中转数据，并利用硬件加速型 AES-256 加密来保护静态数据。如果您选择启用静态数据的加密，那么所有写入硬盘的数据以及任何备份数据也将被加密。默认情况下，Amazon Redshift 会负责密钥管理，但也可以选择使用您自己的硬件安全模块 (HSM)、AWS CloudHSM 或 AWS Key Management Service 管理您的密钥。

 

Redshift加密原理：

 

Redshift使用四层，基于密钥的架构进行加密。该架构包含数据加密密钥，数据库加密密钥，一个集群密钥和主密钥的。

 

用数据加密密钥来对数据块进行加密。每个数据块被分配一个随机产生的AES-256的密钥。这些密钥使用数据库密钥来加密。

 

数据库密钥又使用集群 密钥来加密。数据库密钥是随机产生的AES-256的密钥。它存储在磁盘上，与Redshift集群单独的网络，并通过安全通道传输。

 

使用集群密钥加密来加密数据库密钥。可以使用AWS KMS，AWS CloudHSM或外部硬件安全模块（HSM）来托管集群的密钥。

 

如果主密钥驻留在AWS KMS，用它加密集群密钥。这个可以定制，如果不定制，会使用Redshift默认的管理密钥。

 

2、网络隔离

 

redshift本身构建在vpc上，网络隔离主要利用的是ecs的vpc能力。通过配置防火墙规则，以控制对数据仓库集群的网络访问。可以在 Amazon 虚拟私有云 (Amazon VPC) 中运行 Amazon Redshift，将数据仓库集群隔离在虚拟网络中，并用行业标准加密的 IPsec VPN 将其连接至现有的 IT 基础设施。

 

3、审计与合规

 

Amazon Redshift 与 AWS CloudTrail 相集成，能够对所有的 Redshift API 调用进行审计。Amazon Redshift 还会记录所有的 SQL 操作，包括连接尝试、查询和数据库的变动。可以使用 SQL 查询在系统表格中访问这些记录，或选择将其下载到 Amazon S3 上的安全位置。 

 

 

云服务，安全可信是第一要素，简单总结了一下AWS Redshift的安全策略，希望对你有帮助。

 

 

 

微信扫一扫
关注该公众号