透明数据加密（TDE）是Microsoft、IBM和Oracle发明的一种技术，用于加密文件系统上的数据库。TDE试图解决保护静态数据的问题，即加密硬盘上的数据库，进而加密备份介质上的数据库。它不保护传输中的数据，也不保护正在使用的数据。组织经常使用TDE来解决需要对静态数据进行保护的法规遵从性问题。虽然TDE是朝着更好的安全性的正确方向迈出的一步，但它创建于一个安全性最大威胁之一是数据中心物理渗透的时代。人们真的担心攻击者会窃取物理磁带介质然后离开。此外，为了实现自动引导，许多实现TDE的数据库将最低级别的加密密钥存储在持久存储中，供应商承认这一安全问题，因为存储的密钥可以从在线系统直接恢复并用于解密数据库。尽管TDE解决了法规遵从性问题，但它不能解决现代安全领域中出现的挑战。向云计算的转变，特别是公共云，迫使我们重新思考传统的安全方法，并在这个混合世界中调整现有的威胁模型。»混合方法正如企业迅速采用多种云技术一样，安全团队也应该采用混合威胁模型。随着向公共云和混合云的转移，物理安全威胁正在被一种新型的数字威胁所取代。公共云供应商雇佣行业领先的研究和威胁评估专家，以防止物理访问。这些供应商中的许多已经发布了许多白皮书，并有专门的资源页来描述他们的物理安全合规流程。简单地说，物理安全是公共云解决的问题。研究人员通常将安全描述为纵深防御，即在整个系统中设置多层安全控制。IT安全应该被视为洋葱或城堡。只实施TDE就像在城堡周围建一条护城河。一旦攻击者绕过护城河，就没有额外的保护措施来减轻攻击。就像城堡一样，我们应该实现一个多方面的、洋葱状的安全方法。TDE只是加密城堡的最外层。HashiCorp的保险库提供加密即服务（EaaS），并帮助安全团队加强其安全架构。Vault使用TLS对传输中的数据进行加密，其余的数据使用AES 256位GCM加密。使用Vault的传输服务，数据库从不存储明文数据；它们只保存加密数据。即使攻击者能够访问原始数据，他们也只能拥有加密位。此外，Vault在一个单独的系统上管理带外加密密钥。这意味着攻击者需要在泄漏数据之前危害多个系统。使用Vault的EAA，应用程序将明文数据发送到Vault（在传输过程中使用TLS加密）。Vault使用高熵加密密钥加密此明文数据，并将数据返回给应用程序。然后，应用程序将此密文保存在数据库中。视觉上：需要注意的是，Vault的EaaS不需要任何插件或特殊的数据库集成。密文只是作为文本（VARCHAR、text、string等）存储在数据库中。这使得这个解决方案具有难以置信的可移植性，即使使用遗留数据库也是如此。当应用程序需要明文数据时，这个过程简单地颠倒过来。应用程序从数据库请求密文数据。然后，它将密文与保险库身份验证信息一起发送到保险库。Vault对解密操作进行身份验证和授权，如果允许，还将明文数据返回给应用程序。注意，数据库从来没有明文数据，而应用程序只在需要的时间内拥有明文数据。为了最大限度地提高安全性，我们可以将Vault的EaaS和TDE结合起来。下图显示了TDE、Vault的EaaS和TDE与EaaS的组合之间的区别。通过将TDE和Vault EAA相结合，企业可以采用现代安全最佳做法，同时遵守旧式法规遵从性要求。»每行加密密钥另外，Vault还支持派生加密。在此模式下，Vault可以使用唯一的加密密钥加密数据库的每个表中的每一行。即使攻击者能够访问原始数据，数据库的每一行都使用唯一的高熵密钥进行加密。数据库永远看不到纯文本值。即使随着现代处理能力的提高，攻击者仍然需要对数据库的每一行强制执行一个NP-hard问题来检索明文值。您可以在Vault文档中阅读有关transit secrets后端中派生加密的更多信息，或者了解Vault如何在传输和静止时加密应用程序数据。»程序化、独特的访问除了加密传输中和静止的数据外，Vault还提供对数据库凭据的编程访问。传统上，应用程序开发人员从数据库或安全团队请求凭据，然后在运行时将这些凭据注入到应用程序中。这种方法有许多缺点，包括缺乏来源和秘密蔓延。凭据轮换和吊销通常是事后才想到的，由于应用程序的每个实例都使用相同的数据库凭据，因此这些操作通常涉及计划的停机时间。安全和数据库团队协作使用创建新用户所需的存储过程和功能来配置Vault。这些信息被编码和模板化。应用程序向Vault进行身份验证，并通过Vault的API请求新的凭据。Vault以编程方式连接到数据库，运行配置的SQL，并生成新用户。由于每个服务都使用唯一的凭据访问数据库，因此当发现可疑的数据访问时，审核变得更加容易：您可以根据SQL用户名跟踪到服务的特定实例。最后，Vault利用自己的内部撤销系统确保用户在租约到期后的合理时间内失效。与传统的认证凭证（有效期无限长）不同，Vault通过其租赁模型强制实施基于时间的访问控制。这可以防止长时间的凭据，从而减少攻击的表面积。即使攻击者可以访问有效的凭据，他们也只能使用Vault的EAA从数据库中检索加密数据。另外，需要对加密的保险库进行解密。»结论透明的数据加密只是安全洋葱头的一层。虽然它有助于满足法规遵从性要求，但它不能抵御更现代的安全威胁，也不能在公共云提供商上运行时提供许多好处。通过将TDE与Vault的加密即服务相结合，企业可以轻松地采用现代安全最佳做法，同时遵守传统的法规遵从性要求。对更多Vault的功能感兴趣，如托管UI、群集管理、HSM集成或多数据中心复制和灾难恢复？请务必检出Vault Enterprise。