如何安全配置PolarDB？

安全PolarDB配置

一、访问安全

1. 集群白名单功能

IP白名单：允许访问PolarDB MySQL版集群的IP清单，建议定期维护白名单，以确保只有授权的IP地址可以访问集群。

安全组：通过阿里云ECS的安全组功能，可以在PolarDB集群白名单中添加某个安全组，该安全组中的ECS实例可以访问PolarDB集群。

2. 应用场景

ECS实例访问：如果ECS实例需要访问PolarDB，建议在同一地域使用私网IP地址，在不同地域使用公网IP地址或迁移ECS实例。

本地服务器访问：将本地服务器的IP地址添加到白名单中。

二、数据传输安全

1. SSL加密

SSL功能：SSL（Secure Sockets Layer）在传输层对网络连接进行加密，提升通信数据的安全性和完整性，启用SSL加密并安装SSL CA证书到需要的应用服务。

2. 云端证书与自定义证书

云端证书：由阿里云颁发，有效期为365天，适用于单个或多个连接地址。

自定义证书：由证书认证机构颁发或自签名证书颁发，适用于单个或多个连接地址。

客户端CA证书：用于服务端验证客户端真伪，可选配置。

3. 前提条件

PolarDB PostgreSQL版集群版本要求为14或15及以上，内核版本大于等于14.10.21.0。

数据库代理版本至少为2.3.51。

4. SSL配置步骤

开启SSL链路加密：登录PolarDB管理控制台，选择集群所在地域，找到目标集群并单击集群ID，在左侧导航栏中选择“配置与管理”>“安全管理”，在SSL配置页签中选择主地址或任意集群地址，点击SSL状态右侧滑块或设置数据库证书按钮，开启SSL加密。

下载CA证书：开启云端证书后，下载CA证书，解压得到p7b、pem和jks文件。

客户端连接数据库：以pgAdmin 4为例，设置连接名称、集群信息、用户名和密码，并在Parameters标签页添加SSL认证方式相关参数。

三、数据安全

1. 透明数据加密TDE

功能：对数据文件执行实时I/O加密和解密，保障数据安全，数据在写入磁盘前加密，从磁盘读入内存时解密。

四、数据脱敏

1. 动态脱敏

功能：通过数据库代理实现数据脱敏，保证数据实时性的同时，防止真实数据泄露，支持指定需要进行脱敏查询的数据库账号以及库、表、列的名称。

2. 规则配置

新建规则：登录PolarDB控制台，选择集群所在地域，找到目标集群并单击集群ID，在左侧导航栏选择“配置与管理”>“安全管理”，在安全管理页面单击“动态脱敏/加密”页签，单击左上角的新增，设置规则名称、类型、描述、Endpoint、数据库账号名、数据库名、表名和字段名等参数。

启用/禁用规则：登录PolarDB控制台，选择集群所在地域，找到目标集群并单击集群ID，在左侧导航栏选择“配置与管理”>“安全管理”，在安全管理页面单击“动态脱敏/加密”页签，找到目标规则并打开或关闭启禁规则开关。

五、安全审计

1. SQL洞察和审计

功能：通过采集和分析SQL原始日志，帮助用户洞察数据库的安全和性能风险。

六、问题与解答

1. SSL加密是否会影响数据库性能？

SSL加密会显著增加CPU使用率，因此建议仅在外网链路有加密需求时启用SSL加密，内网链路相对较安全，一般无需对链路加密。

2. 如何选择合适的负载均衡策略？

根据业务需求和数据库集群的实际情况选择合适的负载均衡策略，在读写分离的场景下，可以使用一致性哈希策略将读请求和写请求分别转发给不同的数据库节点。

小伙伴们，上文介绍了“安全polardb配置”的内容，你了解清楚吗？希望对你有所帮助，任何问题可以给我留言，让我们下期再见吧。