`
jiezhu2007
  • 浏览: 245513 次
  • 性别: Icon_minigender_1
  • 来自: 深圳
博客专栏
Cfa1f850-3fc3-3a36-9cd8-c3415c9610c6
hadoop技术学习
浏览量:144190
Group-logo
大数据产业分析
浏览量:2981
社区版块
存档分类
最新评论

AWS Redshift安全策略解读

阅读更多

2016-03-19 朱洁 

Redshift是aws一个mpp数据库,采用列式存储,性能做的还不错。今天不打算介绍Redshift本身,更多的信息,可以到aws到官网看看,https://aws.amazon.com/cn/redshift/?nc2=h_l3_al。

 

本文想分享下Redshift是怎么保证安全的,Redshift的安全措施主要有加密,vpc,审计和合规。

 

1、首先是数据加密,通过设置 Amazon Redshift,使其利用 SSL 来保护中转数据,并利用硬件加速型 AES-256 加密来保护静态数据。如果您选择启用静态数据的加密,那么所有写入硬盘的数据以及任何备份数据也将被加密。默认情况下,Amazon Redshift 会负责密钥管理,但也可以选择使用您自己的硬件安全模块 (HSM)、AWS CloudHSM 或 AWS Key Management Service 管理您的密钥。

 

Redshift加密原理:

 

Redshift使用四层,基于密钥的架构进行加密。该架构包含数据加密密钥,数据库加密密钥,一个集群密钥和主密钥的。

 

用数据加密密钥来对数据块进行加密。每个数据块被分配一个随机产生的AES-256的密钥。这些密钥使用数据库密钥来加密。

 

数据库密钥又使用集群 密钥来加密。数据库密钥是随机产生的AES-256的密钥。它存储在磁盘上,与Redshift集群单独的网络,并通过安全通道传输。

 

使用集群密钥加密来加密数据库密钥。可以使用AWS KMS,AWS CloudHSM或外部硬件安全模块(HSM)来托管集群的密钥。

 

如果主密钥驻留在AWS KMS,用它加密集群密钥。这个可以定制,如果不定制,会使用Redshift默认的管理密钥。

 

2、网络隔离

 

redshift本身构建在vpc上,网络隔离主要利用的是ecs的vpc能力。通过配置防火墙规则,以控制对数据仓库集群的网络访问。可以在 Amazon 虚拟私有云 (Amazon VPC) 中运行 Amazon Redshift,将数据仓库集群隔离在虚拟网络中,并用行业标准加密的 IPsec VPN 将其连接至现有的 IT 基础设施。

 

3、审计与合规

 

Amazon Redshift 与 AWS CloudTrail 相集成,能够对所有的 Redshift API 调用进行审计。Amazon Redshift 还会记录所有的 SQL 操作,包括连接尝试、查询和数据库的变动。可以使用 SQL 查询在系统表格中访问这些记录,或选择将其下载到 Amazon S3 上的安全位置。 

 

 

云服务,安全可信是第一要素,简单总结了一下AWS Redshift的安全策略,希望对你有帮助。

 

 
 

微信扫一扫
关注该公众号

0
0
分享到:
评论

相关推荐

Global site tag (gtag.js) - Google Analytics