Перейти к основному содержимому
Перейти к основному содержимому

ClickHouse Улучшенное Шифрование

Enterprise plan feature

Улучшенное Шифрование is available in the Enterprise plan. Contact support to enable this feature.

Данные в покое по умолчанию шифруются с использованием управляемых поставщиком облака ключей AES 256. Клиенты могут включить Прозрачное Шифрование Данных (TDE), чтобы предоставить дополнительный уровень защиты для данных сервиса, или предоставить свой собственный ключ для реализации Ключей Шифрования, Управляемых Клиентом (CMEK) для своего сервиса.

Улучшенное шифрование в настоящее время доступно в сервисах AWS и GCP. Azure будет доступен в ближайшее время.

Прозрачное Шифрование Данных (TDE)

TDE необходимо включить при создании сервиса. Существующие сервисы не могут быть зашифрованы после создания.

  1. Выберите Создать новый сервис
  2. Назовите сервис
  3. Выберите AWS или GCP в качестве облачного провайдера и нужный регион из выпадающего меню
  4. Нажмите на выпадающее меню для функций Enterprise и переключите Включить Прозрачное Шифрование Данных (TDE)
  5. Нажмите Создать сервис

Ключи Шифрования, Управляемые Клиентом (CMEK)

осторожно

Удаление ключа KMS, используемого для шифрования сервиса ClickHouse Cloud, приведет к остановке вашего сервиса ClickHouse и данные станут недоступными, включая существующие резервные копии. Чтобы предотвратить случайную потерю данных при ротации ключей, вы можете сохранить старые ключи KMS в течение определенного времени перед удалением.

Как только сервис зашифрован с помощью TDE, клиенты могут обновить ключ, чтобы включить CMEK. Сервис автоматически перезапустится после обновления настроек TDE. В этом процессе старый ключ KMS расшифровывает ключ шифрования данных (DEK), а новый ключ KMS повторно шифрует DEK. Это гарантирует, что сервис при перезапуске будет использовать новый ключ KMS для операций шифрования в дальнейшем. Этот процесс может занять несколько минут.

Включить CMEK с помощью AWS KMS

  1. В ClickHouse Cloud выберите зашифрованный сервис

  2. Нажмите на Настройки слева

  3. В нижней части экрана разверните информацию о сетевой безопасности

  4. Скопируйте ID роли шифрования (AWS) или Учетную запись Сервиса Шифрования (GCP) - вам это потребуется на этапе ниже

  5. Создайте ключ KMS для AWS

  6. Нажмите на ключ

  7. Обновите политику ключа AWS следующим образом:

  8. Сохраните Политику ключа

  9. Скопируйте ARN ключа

  10. Вернитесь в ClickHouse Cloud и вставьте ARN ключа в раздел Прозрачное Шифрование Данных в Настройках Сервиса

  11. Сохраните изменения

Включить CMEK с помощью GCP KMS
  1. В ClickHouse Cloud выберите зашифрованный сервис
  2. Нажмите на Настройки слева
  3. В нижней части экрана разверните информацию о сетевой безопасности
  4. Скопируйте Учетную запись Сервиса Шифрования (GCP) - вам это потребуется на этапе ниже
  5. Создайте ключ KMS для GCP
  6. Нажмите на ключ
  7. Предоставьте следующие разрешения Учетной записи Сервиса Шифрования GCP, скопированной на этапе 4 выше.
    • CryptoKey Shifrator/Dešifrator Cloud KMS
    • Просмотритель Cloud KMS
  8. Сохраните разрешение на ключ
  9. Скопируйте Путь Ресурса Ключа
  10. Вернитесь в ClickHouse Cloud и вставьте Путь Ресурса Ключа в раздел Прозрачное Шифрование Данных в Настройках Сервиса
  11. Сохраните изменения

Ротация Ключей

После настройки CMEK, ротируйте ключ, следуя процедурам выше для создания нового ключа KMS и предоставления разрешений. Вернитесь в настройки сервиса, чтобы вставить новый ARN (AWS) или Путь Ресурса Ключа (GCP) и сохранить настройки. Сервис перезапустится, чтобы применить новый ключ.

Резервное Копирование и Восстановление

Резервные копии шифруются с использованием того же ключа, что и связанный сервис. Когда вы восстанавливаете зашифрованную резервную копию, создается зашифрованный экземпляр, который использует тот же ключ KMS, что и оригинальный экземпляр. При необходимости вы можете ротировать ключ KMS после восстановления; см. Ротация Ключей для получения дополнительной информации.

Поллер Ключей KMS

При использовании CMEK действительность предоставленного ключа KMS проверяется каждые 10 минут. Если доступ к ключу KMS недействителен, сервис ClickHouse будет остановлен. Для возобновления работы сервиса восстановите доступ к ключу KMS, следуя шагам в этом руководстве, а затем перезапустите сервис.

Производительность

Как указано на этой странице, мы используем встроенный ClickHouse Виртуальная Файловая Система для Функции Шифрования Данных для шифрования и защиты ваших данных.

Алгоритм, используемый для этой функции, - AES_256_CTR, что подразумевает снижение производительности на 5-15% в зависимости от нагрузки: