Перейти к основному содержимому
Перейти к основному содержимому

Улучшенное шифрование ClickHouse

Enterprise plan feature

Enhanced Encryption is available in the Enterprise plan. To upgrade, visit the Plans page in the cloud console.

Данные в покое по умолчанию шифруются с использованием управляемых поставщиком облака ключей AES 256. Клиенты могут включить Прозрачное шифрование данных (TDE), чтобы обеспечить дополнительный уровень защиты для данных сервиса или предоставить свой собственный ключ для реализации Клиентских управляемых ключей шифрования (CMEK) для своего сервиса.

Улучшенное шифрование в настоящее время доступно в AWS и GCP. Azure будет доступно скоро.

Прозрачное шифрование данных (TDE)

TDE необходимо включить при создании сервиса. Существующие сервисы не могут быть зашифрованы после создания.

  1. Выберите Создать новый сервис
  2. Назовите сервис
  3. Выберите AWS или GCP в качестве поставщика облака и нужный регион из выпадающего списка
  4. Нажмите на выпадающий список для функций для Enterprise и переключите Включить Прозрачное шифрование данных (TDE)
  5. Нажмите Создать сервис

Клиентские управляемые ключи шифрования (CMEK)

осторожно

Удаление ключа KMS, который использовался для шифрования сервиса ClickHouse Cloud, приведет к остановке вашего сервиса ClickHouse, и его данные будут недоступны, включая существующие резервные копии. Чтобы избежать случайной потери данных при ротации ключей, вы можете сохранить старые ключи KMS в течение некоторого времени перед удалением.

После шифрования сервиса с помощью TDE клиенты могут обновить ключ, чтобы включить CMEK. Сервис автоматически перезапустится после обновления настройки TDE. В течение этого процесса старый ключ KMS расшифровывает ключ шифрования данных (DEK), а новый ключ KMS повторно шифрует DEK. Это гарантирует, что сервис при перезапуске будет использовать новый ключ KMS для операций шифрования в будущем. Этот процесс может занять несколько минут.

Включить CMEK с AWS KMS

  1. В ClickHouse Cloud выберите зашифрованный сервис

  2. Нажмите на Настройки слева

  3. В нижней части экрана разверните информацию о сетевой безопасности

  4. Скопируйте ID роли шифрования (AWS) или Учетную запись сервиса шифрования (GCP) - вам это потребуется на следующем шаге

  5. Создайте ключ KMS для AWS

  6. Нажмите на ключ

  7. Обновите политику ключа AWS следующим образом:

  8. Сохраните политику ключа

  9. Скопируйте ARN ключа

  10. Вернитесь в ClickHouse Cloud и вставьте ARN ключа в разделе Прозрачного шифрования данных в Настройках сервиса

  11. Сохраните изменения

Включить CMEK с GCP KMS
  1. В ClickHouse Cloud выберите зашифрованный сервис
  2. Нажмите на Настройки слева
  3. В нижней части экрана разверните информацию о сетевой безопасности
  4. Скопируйте Учетную запись сервиса шифрования (GCP) - вам это потребуется на следующем шаге
  5. Создайте ключ KMS для GCP
  6. Нажмите на ключ
  7. Предоставьте следующие права Учетной записи сервиса шифрования GCP, скопированной на шаге 4.
    • Cloud KMS CryptoKey Encrypter/Decrypter
    • Cloud KMS Viewer
  8. Сохраните разрешения ключа
  9. Скопируйте Путь ресурса ключа
  10. Вернитесь в ClickHouse Cloud и вставьте Путь ресурса ключа в разделе Прозрачного шифрования данных в Настройках сервиса
  11. Сохраните изменения

Ротация ключей

После настройки CMEK, ротируйте ключ, следуя указанным выше процедурам для создания нового ключа KMS и предоставления разрешений. Вернитесь в настройки сервиса, чтобы вставить новый ARN (AWS) или Путь ресурса ключа (GCP) и сохранить настройки. Сервис перезапустится, чтобы применить новый ключ.

Резервное копирование и восстановление

Резервные копии шифруются с использованием того же ключа, что и связанный сервис. Когда вы восстанавливаете зашифрованную резервную копию, создается зашифрованный экземпляр, который использует тот же ключ KMS, что и оригинальный экземпляр. При необходимости вы можете ротировать ключ KMS после восстановления; смотрите Ротация ключей для получения дополнительной информации.

Опрашиватель KMS ключей

При использовании CMEK действительность предоставленного ключа KMS проверяется каждые 10 минут. Если доступ к ключу KMS недействителен, сервис ClickHouse остановится. Чтобы возобновить работу сервиса, восстановите доступ к ключу KMS, следуя шагам в этом руководстве, а затем перезапустите сервис.

Производительность

Как указано на этой странице, мы используем встроенную в ClickHouse Функцию виртуальной файловой системы для шифрования данных для шифрования и защиты ваших данных.

Алгоритм, используемый для этой функции, - это AES_256_CTR, который, как ожидается, будет иметь снижение производительности на 5-15% в зависимости от нагрузки: