A.17.1。 | 是否为有权参见数据的用户解密了数据? |
| 是。InnoDB静态数据加密旨在透明地在数据库内应用加密,而不会影响现有应用程序。以加密格式返回数据将破坏大多数现有应用程序。InnoDB静态数据加密提供了加密的好处,而没有与传统数据库加密解决方案相关的开销,这通常需要对应用程序,数据库触发器和视图进行昂贵且实质性的更改。 |
A.17.2。 | 静态InnoDB数据加密的开销是多少? |
| 没有额外的存储开销。根据内部基准,性能开销总计相差个位数。 |
A.17.3。 | 静态InnoDB数据加密使用什么加密算法? |
| InnoDB静态数据加密支持基于块的高级加密标准(AES256)加密算法。它使用电子密码簿(ECB)块加密模式进行表空间密钥加密,并使用密码块链接(CBC)块加密模式进行数据加密。
|
A.17.4。 | 是否可以使用第三方加密算法代替静态InnoDB数据加密功能提供的加密算法? |
| 不可以,无法使用其他加密算法。提供的加密算法被广泛接受。 |
A.17.5。 | 索引列可以加密吗? |
| InnoDB静态数据加密透明地支持所有索引。
|
A.17.6。 | 静态数据InnoDB加密支持哪些数据类型和数据长度? |
| InnoDB静态数据加密支持所有受支持的数据类型。没有数据长度限制。
|
A.17.7。 | 数据在网络上是否保持加密状态? |
| InnoDB从表空间文件中读取数据时,由静态数据功能加密的数据将被解密。因此,如果数据在网络上,则为明文形式。但是,可以使用MySQL网络加密来加密网络上的数据,MySQL网络加密使用SSL / TLS对往返数据库的数据进行加密。
|
A.17.8。 | 数据库内存是否包含明文或加密数据? |
| 通过静态InnoDB数据加密,可以对内存中的数据进行解密,从而提供了完全的透明度。 |
A.17.9。 | 我怎么知道要加密哪些数据? |
| 符合PCI-DSS标准要求以加密形式存储信用卡号(主帐号或“ PAN”)。违反通知法(例如,CA SB 1386,CA AB 1950和美国其他43个州的类似法律)要求对名字,姓氏,驾驶执照编号和其他PII数据进行加密。2008年初,CA AB 1298在PII数据中添加了医疗保险信息。此外,行业特定的隐私和安全标准可能要求对某些资产进行加密。例如,诸如药品研究结果,油田勘探结果,财务合同或执法人员的个人数据之类的资产可能需要加密。在医疗保健行业, |
A.17.10。 | 静态InnoDB数据加密与MySQL已经提供的加密功能有何不同? |
| MySQL中有对称和非对称加密API,可用于手动加密数据库中的数据。但是,应用程序必须通过调用API函数来管理加密密钥并执行所需的加密和解密操作。InnoDB静态数据加密无需更改应用程序,对最终用户透明,并提供自动的内置密钥管理。 |
A.17.11。 | 可传输表空间功能是否可以与静态InnoDB数据加密一起使用? |
| 是。加密的每表文件表空间支持该功能。有关更多信息,请参见导出加密表空间。 |
A.17.12。 | 压缩是否可以与静态InnoDB数据加密一起使用? |
| 使用静态InnoDB数据加密的客户将获得压缩的全部好处,因为压缩是在加密数据块之前进行的。 |
A.17.13。 | 我可以使用mysqlpump或mysqldump加密表吗? |
| 是。因为这些实用程序创建逻辑备份,所以从加密表转储的数据不会被加密。 |
A.17.14。 | 如何更改(旋转,重新密钥)主加密密钥? |
| InnoDB静态数据加密使用两层密钥机制。使用静态数据加密时,各个表空间密钥存储在基础表空间数据文件的标头中。表空间密钥是使用主加密密钥加密的。主加密密钥在启用表空间加密时生成,并存储在数据库外部。使用该ALTER INSTANCE ROTATE INNODB MASTER KEY语句旋转主加密密钥,该语句生成一个新的主加密密钥,存储该密钥,并将其旋转使用。
|
A.17.15。 | 如何将数据从明文InnoDB表空间迁移到加密InnoDB表空间? |
| 不需要将数据从一个表空间传输到另一个表空间。要加密InnoDB每个表文件表空间中的数据,请运行。要加密常规表空间或表空间,请运行。MySQL 8.0.13中引入了对常规表空间的加密支持。自MySQL 8.0.16起,对系统表空间的加密支持已可用。ALTER TABLE tbl_name ENCRYPTION ='Y'mysqlALTER TABLESPACE tablespace_name ENCRYPTION ='Y'mysql |
