你应该知道的数仓安全
摘要:防止数据泄露能够有两种技术路径。一是权限管理,采用最小化受权原则对使用数据的用户和应用程序受权。另外一种是数据加密,包括使用SQL函数加密和透明加密。
本文分享自华为云社区《【安全无小事】你应该知道的数仓安全——加密函数》,原文做者:zhangkunhn。算法
前言
最近遇到一个客户场景,涉及共享schema的权限问题。场景简单能够描述为:一些用户是数据的生产方,须要在schema中建立表并写入数据;另外一些用户是数据的消费方,读取schema中的数据作分析。对于该schema权限管理的一种实现方法是数据生产方在每次建立新表后告知管理员用户使用grant select on all tables in schema语法来授予消费方权限。这种方法有必定的局限性。若是生产方在schema下面又建立了一些新表,为了受权消费方使用这些新表还须要告知管理员用户再次使用grant select on all tables in schema来受权。有没有简单的应对方案?答案是确定的,可使用Alter default privilege。Alter default privilege用于未来建立的对象的权限的授予或回收。
数据库
语法介绍
ALTER DEFAULT PRIVILEGES
[ FOR { ROLE | USER } target_role [, ...] ]
[ IN SCHEMA schema_name [, ...] ]
abbreviated_grant_or_revoke;
其中abbreviated_grant_or_revoke子句用于指定对哪些对象进行受权或回收权限。对表受权语法是:segmentfault
GRANT { { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES }
[, ...] | ALL [ PRIVILEGES ] }
ON TABLES
TO { [ GROUP ] role_name | PUBLIC } [, ...]
参数说明
- target_role
已有角色的名称。若是省略FOR ROLE/USER,则缺省值为当前角色/用户。安全
取值范围:已有角色的名称。微信
- schema_name
现有模式的名称。运维
target_role必须有schema_name的CREATE权限。函数
取值范围:现有模式的名称。性能
- role_name
被授予或者取消权限角色的名称。加密
取值范围:已存在的角色名称。spa
详见ALTER DEFAULT PRIVILEGES语法说明
场景示例
testdb=# create user creator1 password 'Gauss_234'; CREATE USER testdb=# create user creator2 password 'Gauss_234'; CREATE ROLE testdb=# create user user1 password 'Gauss_234'; CREATE USER --建立共享schema,授予creator1和creator2建立权限,授予user1使用权限 testdb=# create schema shared_schema; CREATE SCHEMA testdb=> grant create, usage on schema shared_schema to creator1; GRANT testdb=> grant create, usage on schema shared_schema to creator2; GRANT testdb=# grant usage on schema shared_schema to user1; GRANT --将creator1和creator2在shared_schema中建立表的select权限授予user1 testdb=# alter default privileges for user creator1, creator2 in schema shared_schema grant select on tables to user1; ALTER DEFAULT PRIVILEGES --切到creator1,建表 testdb=# \c testdb creator1 You are now connected to database "testdb" as user "creator1". testdb=> create table shared_schema.t1 (c1 int); CREATE TABLE --切到creator2,建表 testdb=> \c testdb creator2 You are now connected to database "testdb" as user "creator2". testdb=> create table shared_schema.t2 (c1 int); CREATE TABLE --切到user1,查询OK testdb=> \c testdb user1 You are now connected to database "testdb" as user "user1". testdb=> select * from shared_schema.t1 union select * from shared_schema.t2; c1 ---- (0 rows)
查看默认权限的授予现状
查询系统表pg_default_acl能够查看当前哪些schema被授予了默认权限。从defaclacl字段能够看到creator1和creator2分别授予了user1对shared_schema中对象的select权限(r表示read)。
testdb=# select r.rolname, n.nspname, a.defaclobjtype, a.defaclacl from
testdb-# pg_default_acl a, pg_roles r, pg_namespace n
testdb-# where a.defaclrole=r.oid and a.defaclnamespace=n.oid;
rolname | nspname | defaclobjtype | defaclacl
----------+---------------+---------------+--------------------
creator1 | shared_schema | r | {user1=r/creator1}
creator2 | shared_schema | r | {user1=r/creator2}
(2 rows)
一些细节
全部在共享schema中建立对象的用户都应该出如今alter default privileges for user以后的列表中。不然,若是有用户creator3没有在列表中,其在共享schema中建立的对象或者说那些Owner是creator3的对象将不能被user1查询。由于共享schema中creator3用户建立的表没有授予user1默认权限。
testdb=# create user creator3 password 'Gauss_234'; CREATE USER testdb=# grant create, usage on schema shared_schema to creator3; GRANT testdb=# \c testdb creator3 You are now connected to database "testdb" as user "creator3". testdb=> create table shared_schema.t3 (c1 int); CREATE TABLE testdb=> \c testdb user1 You are now connected to database "testdb" as user "user1". testdb=> select * from shared_schema.t3; ERROR: permission denied for relation t3
管理员能够经过alter default privileges for user将creator3放入列表中为user1授予访问creator3用户建立表的默认权限,也能够由creator3用户本身经过alter default privileges受权给user1. 前面语法参数说明中有若是省略FOR ROLE/USER,则缺省值为当前用户。
testdb=> \c testdb creator3 You are now connected to database "testdb" as user "creator3". testdb=> alter default privileges in schema shared_schema grant select on tables to user1; ALTER DEFAULT PRIVILEGES testdb=> \c testdb user1 You are now connected to database "testdb" as user "user1". testdb=> select * from shared_schema.t3; ERROR: permission denied for relation t3 testdb=> \c testdb creator3 testdb=> create table shared_schema.t4 (c1 int); CREATE TABLE testdb=> \c testdb user1 You are now connected to database "testdb" as user "user1". testdb=> select * from shared_schema.t4; c1 ---- (0 rows)
上述代码第3行为当前用户在shared_schema下面建立的表的select权限授予user1。第7行user1查询shared_schema.t3报权限不足,是由于alter default privileges只处理未来的对象。shared_schema.t3在是以前建立的。咱们新建表shared_schema.t4,user1用户查询正常。
若是要处理已有表的权限,使用grant语句。参见grant语法说明。
testdb=> \c testdb creator3 You are now connected to database "testdb" as user "creator3". testdb=> grant select on all tables in schema shared_schema to user1; ERROR: permission denied for relation t1 testdb=> grant select on table shared_schema.t3 to user1; GRANT testdb=> \c testdb user1 You are now connected to database "testdb" as user "user1". testdb=> select * from shared_schema.t3; c1 ---- (0 rows)
代码第3行中shared_schema中包含有3个用户建立的表,而creator3只是表t3的建立者(Owner)。因此授予整个schema的权限会报错,只授予creator3是Owner的表t3以后,user1用户查询正常。
alter default privileges只处理未来的对象,grant只处理已有的对象。进一步的,这两种语法授予权限时涉及的对象仅包括Owner是当前用户的对象。若是要为共享schema下面全部Owner的对象授予权限,须要使用管理员用户使用alter default privileges for user语法和grant语法。
透明加密
透明加密的应用场景
透明加密可以保障用户数据安全。更换磁盘、磁盘流出或者运维非法直接读取磁盘文件会绕过认证、权限管理和审计,从而致使数据泄露的风险。客户对业务数据有很高机密性要求时建议使用透明加密。
透明加密的原理
透明加密功能是对存在硬盘上的用户数据加密存储,对用户及上层使用SQL的应用不感知。透明的含义是指对客户来讲是无感知的,仅须要建立GaussDB(DWS)集群时配置透明加密。目前支持行存表和列存表文件的加密存储,支持集群级别的透明加密配置。
集群级别的透明加密意味着集群中的全部库,库中的全部表都是加密存储。集群级别的透明加密还意味着须要在建立集群时进行配置,集群建立以后不可修改,既不能将非加密集群修改成加密集群,也不能将加密集群修改成非加密集群。
加密算法
透明加密核心是算法和密钥。咱们采用AES-128算法,加密模式使用CTR。CTR流加密能够保证实文和密文长度相等,不会致使加密后数据存储空间膨胀。
密钥管理
使用华为公有云KMS服务管理,保证了用户的密钥安全。
加密密钥层次结构有三层。按层次结构顺序排列,这些密钥为主密钥(CMK)、集群密钥 (CEK)、数据库密钥 (DEK)。
- 主密钥保存在KMS中,用于给CEK加密。
- CEK用于加密DEK,CEK明文保存在集群内存中,密文保存在服务管理面中。
- DEK用于加密数据库中的数据,DEK明文保存在集群内存中,密文保存在服务管理面中。
密钥轮转
出于安全考虑,用户能够执行密钥轮转操做。密钥轮转只轮转集群密钥,不论转数据库秘钥。
透明加密的后续演进
集群级透明加密的优势是全部数据包括用户表和系统表都加密,适用于全部加密需求。一枚硬币的两面性告诉咱们,优势也多是缺点。对全部数据库对象加密会对数据导入和查询带来性能上的开销。
为解决此问题,后续考虑支持细粒度透明加密。好比能够支持表级透明加密,用户在建立表时指定属性为加密表,该用户表的数据会加密存储。用户能够在包含敏感数据的表中开启加密属性,在查询和使用过程当中不感知加解密过程。因为加密粒度较小,对性能的影响也较小。
透明加密是保障用户核心数据安全的有效手段。从使用场景和原理介绍了GaussDB(DWS)数仓的透明加密特性,指出了后续透明加密特性的研究方向。
SQL函数加密
技术背景
密码学中密码算法能够分为三类:哈希函数、对称密码算法和非对称密码算法。
- 哈希函数
哈希函数又称为摘要算法,对于数据data,Hash函数会生成固定长度的数据,即Hash(data)=result。这个过程是不可逆的,即Hash函数不存在反函数,没法由result获得data。在不该保存明文场景,好比口令(password)属于敏感信息,系统管理员用户也不该该知道用户的明文口令,就应该使用哈希算法,存储口令的单向哈希值。
实际使用中会加入盐值和迭代次数,避免相同口令生成相同的哈希值,以防止彩虹表攻击。
- 对称密码算法
对称密码算法使用相同的密钥来加密和解密数据。对称密码算法分为分组密码算法和流密码算法。
分组密码算法将明文分红固定长度的分组,用密钥对每一个分组加密。因为分组长度固定,当明文长度不是分组长度的整数倍时,会对明文作填充处理。因为填充的存在,分组密码算法获得的密文长度会大于明文长度。
流密码算法将明文逐比特与密钥流运算。流密码算法不须要填充,获得的密文长度等于明文长度。
- 非对称密码算法
非对称密码算法,又称为公钥密码算法。算法使用两个密钥:公钥和私钥。公钥向全部人公开,私钥保密。非对称密码算法应用于密钥协商、数字签名、数字证书等领域。
技术实现
GaussDB(DWS)主要提供了哈希函数和对称密码算法。哈希函数支持sha256, sha384, sha512和国密sm3。对称密码算法支持aes128, aes192, aes256和国密sm4。
哈希函数
- md5(string)
将string使用MD5加密,并以16进制数做为返回值。MD5的安全性较低,不建议使用。
- gs_hash(hashstr, hashmethod)
以hashmethod算法对hashstr字符串进行信息摘要,返回信息摘要字符串。支持的hashmethod:sha256, sha384, sha512, sm3。
testdb=# SELECT gs_hash('GaussDB(DWS)', 'sha256');
gs_hash
------------------------------------------------------------------
cc2d1b97c6adfba44bbce7386516f63f16fc6e6a10bd938861d3aba501ac8aab
(1 row)
对称密码算法
- gs_encrypt(encryptstr, keystr, cryptotype, cryptomode, hashmethod)
采用cryptotype和cryptomode组成的加密算法以及hashmethod指定的HMAC算法,以keystr为密钥对encryptstr字符串进行加密,返回加密后的字符串。
支持的cryptotype:aes128, aes192, aes256, sm4。
支持的cryptomode:cbc。
支持的hashmethod:sha256, sha384, sha512, sm3。
testdb=# SELECT gs_encrypt('GaussDB(DWS)', '1234', 'aes128', 'cbc', 'sha256');
gs_encrypt
--------------------------------------------------------------------------------------------------------------------------
AAAAAAAAAADlzZYiNQK1uB+p1gza4Lu3Moj3HdP4E1uJmqfDYBaXDLMt7RZoE0YVx9h2dMRYBQ5fhFNqqM49sUkeS72o8kX5vWRQvfW3fuocGyp+b+lX9A==
(1 row)
- gs_decrypt(decryptstr, keystr,cryptotype, cryptomode, hashmethod)
采用cryptotype和cryptomode组成的加密算法以及hashmethod指定的HMAC算法,以keystr为密钥对decryptstr字符串进行解密,返回解密后的字符串。解密使用的keystr必须保证与加密时使用的keystr一致才能正常解密。
testdb=# SELECT gs_decrypt('AAAAAAAAAADlzZYiNQK1uB+p1gza4Lu3Moj3HdP4E1uJmqfDYBaXDLMt7RZoE0YVx9h2dMRYBQ5fhFNqqM49sUkeS72o8kX5vWRQvfW3fuocGyp+b+lX9A==', '1234', 'aes128', 'cbc', 'sha256');
gs_decrypt -------------- GaussDB(DWS) (1 row)
效果分析
有个student表,有id,name和score三个属性。name可使用哈希函数加密保存,score可使用对称密码算法保存。
testdb=# create table student (id int, name text, score text);
CREATE TABLE
testdb=# insert into student values (1, gs_hash('alice', 'sha256'), gs_encrypt('95', '12345', 'aes128', 'cbc', 'sha256'));
INSERT 0 1
testdb=# insert into student values (2, gs_hash('bob', 'sha256'), gs_encrypt('92', '12345', 'aes128', 'cbc', 'sha256'));
INSERT 0 1
testdb=# insert into student values (3, gs_hash('peter', 'sha256'), gs_encrypt('98', '12345', 'aes128', 'cbc', 'sha256'));
INSERT 0 1
没有密钥的用户即便拥有了select权限也没法看到name和score这两列加密数据。
testdb=# select * from student; id | name | score ----+------------------------------------------------------------------+-------------------------------------------------------------------------------------------------------------------------- 1 | 2bd806c97f0e00af1a1fc3328fa763a9269723c8db8fac4f93af71db186d6e90 | AAAAAAAAAAB26RmKZdGciLdOM1Z0sjsHg6Qh1b8taF3cY5KDVm+faJK5AT9tjufkr3Wogj3tIpFfiIEb6+miGqPHWcmKnFsArAMoBG9pPDawGs1Qze7xGg== 2 | 81b637d8fcd2c6da6359e6963113a1170de795e4b725b84d1e0b4cfd9ec58ce9 | AAAAAAAAAAB26RmKZdGciLdOM1Z0sjsHZOHH7URkyme6r8Hfh1k0UsVbgbREjFMkgB52w+7GtUGqGgUik07ghajSD9PMIDLd/49wBCVROm2/HSOw6jzbxA== 3 | 026ad9b14a7453b7488daa0c6acbc258b1506f52c441c7c465474c1a564394ff | AAAAAAAAAAB26RmKZdGciLdOM1Z0sjsHwv6p/OAfDUyVULAqpaHIrYJYMcqLmQSj3K/REyavfMoKB7hgUpEPXfHRutWur37bru68jjt5XcBHFBjZeMgowA== (3 rows)
拥有密钥的用户能够经过解密查看到加密数据。
testdb=# select id, gs_decrypt(score, '12345', 'aes128', 'cbc', 'sha256') from student; id | gs_decrypt ----+------------ 1 | 95 2 | 92 3 | 98 (3 rows)
总结
数据加密是防止未受权访问和防御数据泄露的有效技术。介绍了密码算法的基本原理和GaussDB(DWS)数仓的加密函数,包括哈希函数gs_hash,对称密码算法gs_encrypt/gs_decrypt。举例说明了加密函数的使用场景。
想了解GuassDB(DWS)更多信息,欢迎微信搜索“GaussDB DWS”关注微信公众号,和您分享最新最全的PB级数仓黑科技~