深度揭秘Greenplum开源数据库 透明加密 Greenplum 研发工程师 王淏舟 1. 我们所面临的问题 2. 基于pgcypto的数据加密方案 3. GPDB数据透明加密方案设计 4. GPDB数据透明加解密流程 5. 总结 我们所面临的问题 什么是Greenplum数据库 一款开源的HTAP数据库: • MPP架构 • 完整的事务+ACID+标准SQL支持 • 支持上千个节点的部署 GPDB的数据安全 数据需要加密 • 机密数据 • 知识产权保护 • 审计要求 用户数据存在直接暴露的风险 • 非部门员工运维（原厂，主机厂或者合作伙伴） • 事后审计难度很大 • 服务器数据被盗（托管或云部署） 用户的问题 现有解决方案 基于操作的系统的硬盘加密 • 只能防范服务器硬盘被盗 • 对运维安全无能为力 基于pgcypto的加密 • 可以满足数据安全要求 • 非原生方案 • 问题很多 基于pgcypto的数据加密方案 pgcypto Postgresql社区提供的一款简单加密插件 • https://www.postgresql.org/docs/13/pgcrypto.html • https://github.com/greenplum-db/gpdb/tree/master/contrib/pgcrypto 现有解决方案 数据加载

引类型等等非常方便，只要按照 API 接口开发，无需对 PG 重新编译。 PG 中 contrib 目录下的各个第三方模块，在 GP 中的 postgis 空间 数据库、R、Madlib、pgcrypto 各类加密算法、gptext 全文检索都 是通过这种方式实现功能扩展的。 4) 在诸如 ACID 事物处理、数据强一致性保证、数据类型支持、独特 的 MVCC 带来高效数据更新能力等还有很多方面，Postgresql 七、加密 Greenplum 中的静态数据 近几年，数据外泄的问题甚为 猖獗，针对这一现象和相关的 监管要求，很多公司都在努力 提高数据安全性并对静态数 据启用加密功能，这同样也 适用于大数据，包括 Pivotal Greenplum 的用户。 Protegrity 是 Pivotal Greenplum 中的一个强大的替代性默认加密功能， 可提供功能数据加密，更好地保障用户安全。在本文中，我们将解释 释 与 Protegrity 的解决方案相比传统 Greenplum 加密功能的工作方式， 展示 Greenplum 上的 Protegrity 设置，告诉读者如何加密静态数据并 提供 SQL 代码的示例以调用 Protegrity 的加密功能。 1. 默认的 Greenplum 加密和 Protegrity 的功能数据加密 2015 年，Pivotal 发 布 了 一 份 关 于 加

级别的权限控制 ....................................................................................... - 29 - 密码加密................................................................................................... ................................................................................. - 36 - 客户端/服务端间的加密连接 ......................................................................................... - 37 - NULL 并且始终无法登录。空密码也可以明确定义为 PASSWORD NULL。 ENCRYPTED | UNENCRYPTED 指定密码是否加密，缺省行为受 password_encryption 参数决定(缺省为 ON)。如果目前的密码已经使用了加密存 储，可忽略该属性。 VALID UNTIL 'timestamp' 设置在指定的日期后该 Role 的密码失效。不设置的情况下 为永远有效。