ClickHouse Улучшенное шифрование

Enterprise plan feature

Улучшенное шифрование is available in the Enterprise plan. Contact support to enable this feature.

Данные в покое по умолчанию шифруются с использованием ключей AES 256, управляемых поставщиком облачных услуг. Клиенты могут включить Прозрачное шифрование данных (TDE) для обеспечения дополнительного уровня защиты данных сервиса. Кроме того, клиенты могут предоставить свой собственный ключ для реализации ключей шифрования, управляемых клиентом (CMEK), для своего сервиса.

Улучшенное шифрование в настоящее время доступно в сервисах AWS и GCP. Azure скоро будет доступен.

Прозрачное шифрование данных (TDE)

TDE должно быть включено при создании сервиса. Существующие сервисы не могут быть зашифрованы после создания.

1. Выберите Создать новый сервис
2. Назовите сервис
3. Выберите AWS в качестве поставщика облачных услуг и нужный регион из выпадающего списка
4. Нажмите на выпадающее меню для функций Enterprise и переключите Включить прозрачное шифрование данных (TDE)
5. Нажмите Создать сервис

Ключи шифрования, управляемые клиентом (CMEK)

осторожно

Удаление ключа KMS, использованного для шифрования сервиса ClickHouse Cloud, приведет к остановке вашего сервиса ClickHouse и его данных, которые станут недоступными, наряду с существующими резервными копиями.

После того как сервис будет зашифрован с помощью TDE, клиенты могут обновить ключ для активации CMEK. Сервис автоматически перезапустится после обновления настроек Прозрачного шифрования данных. В этом процессе старый ключ KMS расшифровывает ключ шифрования данных (DEK), а новый ключ KMS снова шифрует DEK. Это гарантирует, что сервис при перезапуске будет использовать новый ключ KMS для шифрования операций в будущем. Этот процесс может занять несколько минут.

CMEK с AWS KMS

1. В ClickHouse Cloud выберите зашифрованный сервис

2. Нажмите на Настройки слева

3. В нижней части экрана раскройте информацию о сетевой безопасности

4. Скопируйте идентификатор роли шифрования (AWS) или учетную запись службы шифрования (GCP) - вы будете нуждаться в этом на следующем шаге

5. Создайте ключ KMS для AWS

6. Нажмите на ключ

7. Обновите политику ключа AWS следующим образом:

8. Сохраните политику ключа

9. Скопируйте ARN ключа

10. Вернитесь в ClickHouse Cloud и вставьте ARN ключа в разделе Прозрачное шифрование данных настроек сервиса

11. Сохраните изменения

CMEK с GCP KMS

1. В ClickHouse Cloud выберите зашифрованный сервис
2. Нажмите на Настройки слева
3. В нижней части экрана раскройте информацию о сетевой безопасности
4. Скопируйте учетную запись службы шифрования (GCP) - вы будете нуждаться в этом на следующем шаге
5. Создайте ключ KMS для GCP
6. Нажмите на ключ
7. Предоставьте следующие разрешения учетной записи службы шифрования GCP, скопированной на шаге 4 выше.
   • Шифровщик/дешифровщик Cloud KMS CryptoKey
   • Просмотрщик Cloud KMS
8. Сохраните разрешение ключа
9. Скопируйте путь к ресурсному ключу
10. Вернитесь в ClickHouse Cloud и вставьте путь к ресурсному ключу в разделе Прозрачное шифрование данных настроек сервиса
11. Сохраните изменения

Резервное копирование и восстановление

Резервные копии шифруются с использованием того же ключа, что и связанный сервис. Когда вы восстанавливаете зашифрованную резервную копию, создается зашифрованный экземпляр, который использует тот же ключ KMS, что и оригинальный экземпляр. При необходимости вы можете изменить ключ KMS; смотрите Ротация ключей для получения дополнительных сведений.

Пуллер ключей KMS

При использовании CMEK действительность предоставленного ключа KMS проверяется каждые 10 минут. Если доступ к ключу KMS недействителен, сервис ClickHouse будет остановлен. Чтобы возобновить работу сервиса, восстановите доступ к ключу KMS, следуя шагам в этом руководстве, а затем перезапустите сервис.

Из-за природы этой функции невозможно восстановить сервис ClickHouse Cloud после удаления ключа KMS. Чтобы предотвратить это, большинство провайдеров не удаляют ключ немедленно, а вместо этого планируют его удаление; пожалуйста, проверьте документацию вашего провайдера.

Ротация ключей

Из-за природы этой функции невозможно восстановить сервис ClickHouse Cloud, если ключ KMS был удален. Чтобы предотвратить случайные потери, большинство провайдеров планируют удаление ключа, а не удаляют его немедленно. Для получения дополнительных сведений обратитесь к документации вашего провайдера.

Производительность

Как указано на этой странице, мы используем встроенную ClickHouse Функцию виртуальной файловой системы для шифрования данных для шифрования и защиты ваших данных.

Алгоритм, используемый для этой функции, - AES_256_CTR, который ожидается, будет иметь снижение производительности на 5-15% в зависимости от рабочей нагрузки: