Bagaimanakah anda dapat menyediakan dan mengurus penyulitan peringkat medan pelanggan (CSFLE) di MongoDB?

Penyulitan peringkat medan pelanggan (CSFLE) di MongoDB ditubuhkan melalui lima langkah utama. Pertama, menghasilkan kunci penyulitan tempatan 96-bait menggunakan OpenSSL dan simpan dengan selamat. Kedua, pastikan pemacu MongoDB anda menyokong CSFLE dan pasang sebarang kebergantungan yang diperlukan seperti perpustakaan kongsi MongoDB Crypt. Ketiga, tentukan skema penyulitan automatik dalam format JSON yang menyatakan bidang yang akan disulitkan dan kaedah penyulitan mereka. Keempat, konfigurasikan klien MongoDB menggunakan AutoEncryptionOpts untuk merujuk fail utama dan peta skema yang membolehkan penyulitan automatik semasa operasi memasukkan dan pertanyaan. Kelima, melaksanakan amalan pengurusan utama yang selamat termasuk perancangan untuk penghijrahan ke KM yang mengelakkan kekunci keras dan menguruskan putaran utama manual apabila perlu. Berikutan langkah -langkah ini memastikan data sensitif disulitkan sebelum meninggalkan aplikasi yang melindungi privasi dan pematuhan tanpa mendedahkan data yang tidak disulitkan ke pangkalan data.

Menyediakan dan mengurus penyulitan peringkat medan pelanggan (CSFLE) di MongoDB memberikan anda kawalan halus ke atas keselamatan data dengan menyulitkan medan sensitif sebelum mereka meninggalkan permohonan anda. Ini bermakna pangkalan data tidak pernah melihat data yang tidak disulitkan, yang bagus untuk pematuhan dan privasi. Tetapi ia bukan plug-and-play-terdapat beberapa langkah untuk mendapatkan hak.

Menjana kunci tempatan dan sediakan persekitaran anda

Sebelum anda mula menyulitkan apa -apa, anda memerlukan kunci penyulitan. Dengan CSFLE, kunci ini kekal di sisi anda-oleh itu "pelanggan." Anda boleh menjana kunci tempatan 96-bait menggunakan alat seperti openssl :

 OpenSSL Rand 96> Master-Key.bin

Fail ini akan digunakan sebagai kunci tempatan anda. Pastikan untuk menyimpannya dengan selamat - ia adalah akar persediaan penyulitan anda.

Seterusnya, pastikan pemandu MongoDB anda menyokong CSFLE. Pemandu rasmi untuk Node.js, Python, Java, dan lain -lain menyokongnya, tetapi anda mungkin perlu memasang kebergantungan tambahan atau perpustakaan seperti perpustakaan kongsi MongoDB Crypt.

Tentukan skema penyulitan anda

CSFLE menghendaki anda menentukan lebih awal dari masa yang anda mahu disulitkan dan bagaimana. Ini dilakukan melalui skema khas yang dipanggil skema penyulitan automatik . Anda menentukan ini dalam format JSON, pemetaan ruang nama pemetaan ke medan yang disulitkan.

Berikut adalah contoh asas untuk koleksi yang dipanggil mydb.persons di mana kita mahu menyulitkan medan ssn menggunakan AEAD_AES_256_CBC_HMAC_SHA_512-Deterministik` penyulitan:

 {
  "mydb.persons": {
    "Properties": {
      "SSN": {
        "Encrypt": {
          "Bonstype": "String",
          "Algoritma": "AEAD_AES_256_CBC_HMAC_SHA_512-Deterministik"
        }
      }
    },
    "Diperlukan": ["SSN"]
  }
}

Anda akan merujuk skema ini apabila mengkonfigurasi pelanggan MongoDB anda. Penyulitan berlaku secara automatik semasa operasi memasukkan dan pertanyaan - dengan mengandaikan segala -galanya disediakan dengan betul.

Konfigurasikan klien MongoDB dengan tetapan penyulitan automatik

Sebaik sahaja anda mempunyai kunci dan skema anda siap, anda perlu mengkonfigurasi klien MongoDB anda untuk menggunakannya.

Dalam kod, ini biasanya melibatkan penubuhan objek AutoEncryptionOpts yang menunjuk pada fail utama dan peta skema anda. Inilah contoh yang mudah di Python:

 Dari Pymongo Import Mongoclient
dari pymongo.encryption_options import autoencryptionopts

AUTO_ENCRYPTION_OPTS = AutoEncryptionOpts (
    key_vault_namespace = "penyulitan .__ KeyVault",
    kms_providers = {"local": {"key": buka ("master-key.bin", "rb"). baca ()}},
    skema_map = skema # skema dict dari sebelumnya
)

pelanggan = mongoclient (auto_encryption_opts = auto_encryption_opts)

Dengan persediaan ini, memasukkan ke mydb.persons secara automatik akan menyulitkan medan ssn sebelum menghantarnya ke pelayan. Pertanyaan untuk ssn juga akan disahsulit secara automatik.

Perlu diingat:

• Indeks pada bidang yang disulitkan tidak akan berfungsi kecuali penyulitan adalah deterministik.
• Anda mesti menguruskan skema dengan teliti - jika medan hilang dari skema, ia tidak akan disulitkan.
• Jangan kehilangan kunci penyulitan anda - tanpa itu, data anda menjadi tidak boleh dibaca.

Mengendalikan pengurusan utama dan memutar kekunci dengan teliti

Walaupun panduan ini menggunakan kunci tempatan untuk kesederhanaan, persediaan dunia sebenar sering menggunakan perkhidmatan pengurusan utama (KMS) seperti AWS KMS atau Azure Key Vault. Ini memberikan putaran utama, pengauditan, dan kawalan akses.

Jika anda bermula dengan kunci tempatan, merancang untuk penghijrahan akhirnya ke KM. Juga, jangan kekunci Hardcode dalam aplikasi anda - muatkannya dari fail konfigurasi selamat atau pembolehubah persekitaran.

Putaran utama tidak automatik sama ada. Jika anda menukar kunci, anda perlu menyulitkan semula data sedia ada secara manual. Itulah sebabnya banyak pasukan berpegang dengan satu kunci lama untuk dataset yang diberikan, terutamanya jika perubahan retroaktif tidak diperlukan.

Itulah pada dasarnya bagaimana anda menubuhkan dan menguruskan CSFLE di MongoDB. Ia menambah lapisan perlindungan yang sukar ditewaskan apabila dilakukan dengan betul, tetapi ia memerlukan perancangan yang teliti di sekitar skema, kunci, dan infrastruktur.

Atas ialah kandungan terperinci Bagaimanakah anda dapat menyediakan dan mengurus penyulitan peringkat medan pelanggan (CSFLE) di MongoDB?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!