Redshift是aws一个mpp数据库,采用列式存储,性能做的还不错。今天不打算介绍Redshift本身,更多的信息,可以到aws到官网看看,https://aws.amazon.com/cn/redshift/?nc2=h_l3_al。
?
本文想分享下Redshift是怎么保证安全的,Redshift的安全措施主要有加密,vpc,审计和合规。
?
1、首先是数据加密,通过设置 Amazon Redshift,使其利用 SSL 来保护中转数据,并利用硬件加速型 AES-256 加密来保护静态数据。如果您选择启用静态数据的加密,那么所有写入硬盘的数据以及任何备份数据也将被加密。默认情况下,Amazon Redshift 会负责密钥管理,但也可以选择使用您自己的硬件安全模块 (HSM)、AWS CloudHSM 或 AWS Key Management Service 管理您的密钥。
?
Redshift加密原理:
?
Redshift使用四层,基于密钥的架构进行加密。该架构包含数据加密密钥,数据库加密密钥,一个集群密钥和主密钥的。
?
用数据加密密钥来对数据块进行加密。每个数据块被分配一个随机产生的AES-256的密钥。这些密钥使用数据库密钥来加密。
?
数据库密钥又使用集群 密钥来加密。数据库密钥是随机产生的AES-256的密钥。它存储在磁盘上,与Redshift集群单独的网络,并通过安全通道传输。
?
使用集群密钥加密来加密数据库密钥。可以使用AWS KMS,AWS CloudHSM或外部硬件安全模块(HSM)来托管集群的密钥。
?
如果主密钥驻留在AWS KMS,用它加密集群密钥。这个可以定制,如果不定制,会使用Redshift默认的管理密钥。
?
2、网络隔离
?
redshift本身构建在vpc上,网络隔离主要利用的是ecs的vpc能力。通过配置防火墙规则,以控制对数据仓库集群的网络访问。可以在 Amazon 虚拟私有云 (Amazon VPC) 中运行 Amazon Redshift,将数据仓库集群隔离在虚拟网络中,并用行业标准加密的 IPsec VPN 将其连接至现有的 IT 基础设施。
?
3、审计与合规
?
Amazon Redshift 与 AWS CloudTrail 相集成,能够对所有的 Redshift API 调用进行审计。Amazon Redshift 还会记录所有的 SQL 操作,包括连接尝试、查询和数据库的变动。可以使用 SQL 查询在系统表格中访问这些记录,或选择将其下载到 Amazon S3 上的安全位置。?
?
?
云服务,安全可信是第一要素,简单总结了一下AWS Redshift的安全策略,希望对你有帮助。
?
