MongoDB 发布可查询加密预览版,数据库历史上首次

本文涉及的产品
云数据库 MongoDB,独享型 2核8GB
推荐场景:
构建全方位客户视图
密钥管理服务KMS,1000个密钥,100个凭据,1个月
数据安全中心,免费版
简介: 近日,MongoDB 发布可查询加密(Queryable Encryption)预览版,该系统支持客户从客户端加密敏感数据,将完全随机加密的数据存储在数据库服务器端,并对加密数据执行表达式查询。

近日,MongoDB 发布可查询加密(Queryable Encryption)预览版,该系统支持客户从客户端加密敏感数据,将完全随机加密的数据存储在数据库服务器端,并对加密数据执行表达式查询。

据悉,可查询加密由 MongoDB 高级密码学研究小组设计,加密搜索领域的开拓者 Seny Kamara 和 Tarik Moataz 担任小组负责人。研究小组在密码学领域开展前沿同行评审研究,并携手 MongoDB 工程团队,将密码学和隐私方面的最近创新成果应用到 MongoDB 数据平台。

过去,用户往往会面临两难选择,要么选择保证数据安全,要么选择数据是可查询的,如今有了可查询加密,用户将不再需要“二选一”。据介绍,MongoDB 是目前唯一一家支持客户对完全随机加密数据执行表达式查询的数据库提供商,包括等值查询(预览版中可用)、范围查询、前缀查询、后缀查询、子串查询等(即将推出)。

MongoDB CTO Mark Porter 在接受采访时表示:“这在数据库的历史上是第一次,用户可以针对随机加密数据做到非常复杂的表达式查询,这是非常有意义的一件事。”他还透露,后续可查询加密会进行开源公布,包括算法和数据方面的一些成果。

为什么可查询加密是一项重要技术?

随着越来越多的企业将各类数据传输和存储到云端,数据安全变得愈加重要。具有高敏感工作负载的企业需要采用额外的技术方案,以控制和限制对机密和受监管数据的访问。对于许多企业和机构客户来说,合规部门规定对部分敏感工作负载采用职责分离原则。例如,在证券公司,分析师可以查询客户和股票数量信息,经纪人可以代表投资者进行股票交易,数据库管理员(DBA)负责管理数据等,在这种环境下,需要将证件号码(SSN)这样的敏感和个人身份信息(PII)完全隐藏。

遵守数据隐私和客户数据保护是企业需要重点关注的另一个领域。这既适用于使用数据的客户,也适用于为客户存储数据的供应商。数据隐私法规涉及到遵守行业内外与保护敏感数据有关的法律。确保遵守所有保护客户敏感数据的措施是关键的一步骤。个人健康信息(PHI)和个人身份信息等高敏感性信息是典型的需要数据隐私保护的信息。

数据安全的现状和挑战

尽管现有加密解决方案(传输中的数据和静态数据)涵盖许多监管场景,但都无法在敏感数据使用过程中对其进行保护。对于金融服务、医疗保健和关键基础设施企业等领域的客户来说,高敏感性工作负载往往需要采用能够对使用中的数据进行加密的技术。目前,此类技术面临的挑战包括:

针对使用中数据的加密技术极其复杂,需要使用来自应用程序端的自定义代码,以便对数据进行加密、处理、筛选和解密,并将其提供给用户。此外,该技术还涉及到加密密钥管理,以便对数据进行加密和解密。

开发者需要掌握一定的密码学经验,以设计出安全的加密解决方案。

当前解决方案的查询功能有限,甚至有一些不具备查询功能,这导致应用层数据加密变得格外困难。

在针对海量加密数据搜索时,部分现有工具(如同态加密或安全隔区)要么需要专有硬件、要么难以满足性能要求、或者加密的安全性难以保证,或者具有不确定的安全属性。

可查询加密简介

可查询加密消除了繁重的维护任务,在不影响数据保护、合规性和数据隐私安全要求的情况下,提升了应用程序开发速度。

image.png

加密字段始终以密文形式存储、传输、处理、检索及查询

以下是一个操作流程示例,一位认证用户希望查询数据,如今用户可查询完全随机加密的数据。在本例中,假设我们正在检索用户的社会安全号码。

应用程序提交查询后,MongoDB 驱动程序首先分析查询内容;

当驱动程序识别出查询内容为加密字段时,会向客户指定的密钥管理服务发出加密密钥请求,例如 AWS 密钥管理服务(AWS KMS)、谷歌云密钥管理服务(Google Cloud KMS)、Azure Key Vault,或任何支持密钥管理互操作协议(KMIP)的密钥管理程序,如 HashiCorp Vault;

驱动程序将查询的加密字段以密文方式,提交给 MongoDB 服务器;

可查询加密采用一种快速、可搜索的方式,支持服务器在对数据一无所知的情况下执行完全加密数据查询流程。在此过程中,数据和查询信息本身在服务器中始终保持加密状态;

MongoDB 服务器将加密的查询结果返回给驱动程序;

查询结果经过驱动程序密钥解密,并以明文形式返回给客户端。

可查询加密的优势

丰富的加密数据查询功能:MongoDB 据称是目前唯一一家支持客户对加密数据执行丰富查询表达式(包括范围查询、等值查询、前缀查询和后缀查询等,其中等值搜索查询功能在预览版中可用,其余搜索功能将在未来版本中发布)的数据库提供商。对于那些既需要执行表达式查询,又需要确保数据安全的客户而言,可查询加密可以同时满足他们的需求。

数据全生命周期加密:可查询加密为最敏感的数据增加了另一层安全保障,确保数据在传输中、磁盘存储中、内存处理中、日志中和备份中都安全无虞。此外,可查询加密支持在服务器端采用完全随机的方式加密数据。

更强大的关键数据隐私保护技术、更广泛的应用场景:借助强大的技术保护功能,客户可使用基于标准的加密技术来满足最严苛的数据隐私要求(包括数据保密性和数据完整性)。客户可以始终保持对加密密钥的控制,确保数据加密/解密操作仅限于客户端。这样,可确保只有获得客户端应用程序访问权限和加密秘钥的授权用户才能看到明文数据。以上强大的控制功能可以助力客户满足各种全球数据安全规范,如健康保险可携性和责任法案(HIPAA 法案)、通用数据保护条例(GDPR)和加州消费者隐私法案(CCPA)等法律规定的数据隐私要求。

提升应用程序开发速度:开发者无需具备专家级的加密经验,也可以以最高级别的机密性和完整性保护数据。不像采用软件开发工具包(SDK)开发,SDK 的设计选择错误,安全性就会随之降低。可查询加密提供了一种更全面的加密解决方案,其采用基于标准的加密技术并支持强大的密钥管理功能。配置过程简单,且可以通过常见的 MongoDB 驱动程序的直接实现。

降低制度风险:迁移到云端的客户可放心地将敏感数据存储在 MongoDB Atlas 中。可查询加密不仅支持客户始终控制数据的使用,同时还提供丰富的表达式查询功能,使客户可以查询完全随机的加密数据。

目录
相关文章
|
16天前
|
存储 缓存 网络协议
数据库执行查询请求的过程?
客户端发起TCP连接请求,服务端通过连接器验证主机信息、用户名及密码,验证通过后创建专用进程处理交互。服务端进程缓存以减少创建和销毁线程的开销。后续步骤包括缓存查询(8.0版后移除)、语法解析、查询优化及存储引擎调用,最终返回查询结果。
26 6
|
15天前
|
SQL JavaScript 程序员
数据库LIKE查询屡试不爽?揭秘大多数人都忽视的秘密操作符!
本文分析了因数据库中的不可见空白字符导致的数据查询问题,探讨了问题的成因与特性,并提出了使用 SQL 语句修复问题的有效方案。同时,总结了避免类似问题的经验和注意事项。
27 0
|
1月前
|
存储 缓存 固态存储
怎么让数据库查询更快
【10月更文挑战第28天】
37 2
|
1月前
|
存储 缓存 关系型数据库
怎么让数据库查询更快
【10月更文挑战第25天】通过以上综合的方法,可以有效地提高数据库查询的速度,提升应用程序的性能和响应速度。但在优化过程中,需要根据具体的数据库系统、应用场景和数据特点进行合理的调整和测试,以找到最适合的优化方案。
|
22天前
|
JSON JavaScript 关系型数据库
node.js连接GBase 8a 数据库 并进行查询代码示例
node.js连接GBase 8a 数据库 并进行查询代码示例
|
1月前
|
监控 关系型数据库 MySQL
数据库优化:MySQL索引策略与查询性能调优实战
【10月更文挑战第27天】本文深入探讨了MySQL的索引策略和查询性能调优技巧。通过介绍B-Tree索引、哈希索引和全文索引等不同类型,以及如何创建和维护索引,结合实战案例分析查询执行计划,帮助读者掌握提升查询性能的方法。定期优化索引和调整查询语句是提高数据库性能的关键。
239 1
|
1月前
|
监控 关系型数据库 MySQL
数据库优化:MySQL索引策略与查询性能调优实战
【10月更文挑战第26天】数据库作为现代应用系统的核心组件,其性能优化至关重要。本文主要探讨MySQL的索引策略与查询性能调优。通过合理创建索引(如B-Tree、复合索引)和优化查询语句(如使用EXPLAIN、优化分页查询),可以显著提升数据库的响应速度和稳定性。实践中还需定期审查慢查询日志,持续优化性能。
95 0
|
15天前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将介绍网络安全的重要性,分析常见的网络安全漏洞及其危害,探讨加密技术在保障网络安全中的作用,并强调提高安全意识的必要性。通过本文的学习,读者将了解网络安全的基本概念和应对策略,提升个人和组织的网络安全防护能力。
|
16天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将从网络安全漏洞、加密技术和安全意识三个方面进行探讨,旨在提高读者对网络安全的认识和防范能力。通过分析常见的网络安全漏洞,介绍加密技术的基本原理和应用,以及强调安全意识的重要性,帮助读者更好地保护自己的网络信息安全。
39 10
|
17天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,并提供一些实用的代码示例。通过阅读本文,您将了解到如何保护自己的网络安全,以及如何提高自己的信息安全意识。
44 10
下一篇
DataWorks