Перейти к основному содержимому
Перейти к основному содержимому

ClickHouse Усиленное Шифрование

Enterprise plan feature

Усиленное Шифрование is available in the Enterprise plan. Contact support to enable this feature.

Данные в состоянии покоя по умолчанию шифруются с использованием ключей AES 256, управляемых облачным провайдером. Клиенты могут включить прозрачное шифрование данных (TDE), чтобы обеспечить дополнительный уровень защиты для данных сервиса, или предоставить свой собственный ключ для реализации клиентских управляемых ключей шифрования (CMEK) для своего сервиса.

Усиленное шифрование в настоящее время доступно в сервисах AWS и GCP. Azure скоро будет доступен.

Прозрачное шифрование данных (TDE)

TDE должно быть включено при создании сервиса. Существующие услуги не могут быть зашифрованы после создания.

  1. Выберите Создать новый сервис
  2. Назовите сервис
  3. Выберите AWS или GCP в качестве облачного провайдера и желаемый регион из выпадающего списка
  4. Нажмите на выпадающий список для функций Enterprise и включите Прозрачное шифрование данных (TDE)
  5. Нажмите Создать сервис

Клиентские Управляемые Ключи Шифрования (CMEK)

осторожно

Удаление ключа KMS, использованного для шифрования сервиса ClickHouse Cloud, приведет к остановке вашего сервиса ClickHouse и к тому, что его данные будут недоступны, включая существующие резервные копии. Чтобы предотвратить случайную потерю данных при ротации ключей, вам может понадобиться сохранить старые ключи KMS в течение некоторого времени перед их удалением.

После того, как сервис будет зашифрован с помощью TDE, клиенты могут обновить ключ для включения CMEK. Сервис автоматически перезапустится после обновления настройки TDE. В ходе этого процесса старый ключ KMS расшифровывает ключ шифрования данных (DEK), а новый ключ KMS повторно шифрует DEK. Это обеспечивает использование нового ключа KMS для операций шифрования после перезагрузки сервиса. Этот процесс может занять несколько минут.

Включите CMEK с помощью AWS KMS

  1. В ClickHouse Cloud выберите зашифрованный сервис

  2. Нажмите на Настройки слева

  3. В нижней части экрана разверните информацию о сетевой безопасности

  4. Скопируйте идентификатор роли шифрования (AWS) или учетную запись службы шифрования (GCP) - вам это понадобится на следующем шаге

  5. Создайте ключ KMS для AWS

  6. Нажмите на ключ

  7. Обновите политику ключа AWS следующим образом:

  8. Сохраните политику ключа

  9. Скопируйте ARN ключа

  10. Вернитесь в ClickHouse Cloud и вставьте ARN ключа в разделе Прозрачное шифрование данных в Настройках сервиса

  11. Сохраните изменения

Включите CMEK с помощью GCP KMS
  1. В ClickHouse Cloud выберите зашифрованный сервис
  2. Нажмите на Настройки слева
  3. В нижней части экрана разверните информацию о сетевой безопасности
  4. Скопируйте учетную запись службы шифрования (GCP) - вам это понадобится на следующем шаге
  5. Создайте ключ KMS для GCP
  6. Нажмите на ключ
  7. Предоставьте следующие разрешения учетной записи службы шифрования GCP, скопированной на шаге 4 выше.
    • Шифровщик/Расшифровщик Cloud KMS CryptoKey
    • Просмотрщик Cloud KMS
  8. Сохраните разрешения ключа
  9. Скопируйте путь ресурса ключа
  10. Вернитесь в ClickHouse Cloud и вставьте путь ресурса ключа в разделе Прозрачное шифрование данных в Настройках сервиса
  11. Сохраните изменения

Ротация ключей

После настройки CMEK выполните ротацию ключа, следуя указанным выше процедурам для создания нового ключа KMS и предоставления разрешений. Вернитесь в настройки сервиса, чтобы вставить новый ARN (AWS) или путь ресурса ключа (GCP) и сохранить настройки. Сервис перезапустится, чтобы применить новый ключ.

Резервное копирование и восстановление

Резервные копии шифруются с использованием того же ключа, что и связанный сервис. Когда вы восстанавливаете зашифрованную резервную копию, она создает зашифрованный экземпляр, который использует тот же ключ KMS, что и оригинальный экземпляр. При необходимости вы можете выполнить ротацию ключа KMS после восстановления; смотрите Ротация ключей для получения дополнительной информации.

KMS Key Poller

При использовании CMEK действительность предоставленного ключа KMS проверяется каждые 10 минут. Если доступ к ключу KMS недействителен, сервис ClickHouse остановится. Чтобы возобновить работу сервиса, восстановите доступ к ключу KMS, следуя шагам в этом руководстве, а затем перезапустите сервис.

Производительность

Как указано на этой странице, мы используем встроенную в ClickHouse функцию виртуальной файловой системы для шифрования данных для шифрования и защиты ваших данных.

Алгоритм, используемый для этой функции, - AES_256_CTR, который, как ожидается, будет иметь производительность на уровне 5-15% в зависимости от нагрузки: