Server General KMSで簡単暗号鍵管理
暗合鍵管理って何?
データを暗号化するときは必ず暗合鍵が作成されます。この暗号鍵によってデータは暗号化したり復号化することができます。MySQLではバージョン5.7から標準で透過的暗号化機能を利用できるようになりました。もちろんここでも暗号鍵が使われます。この暗号鍵のライフサイクル(生成、保管、保存、読み出し、配布、使用停止及び破壊)を管理することです。
暗号化の設定方法は?
MySQLの暗号化の設定はたった二行で終わりです。
innodb_file_per_table = 1
early-plugin-load=keyring_file.so
暗合鍵はどこにある?
このときに作成される暗号鍵はサーバのローカルディスクに保存されます。
何が問題なのですか?
暗号鍵がローカルディスクに保存されて、まったく保護されていないことです。この状態では、誰でも鍵を取り出すことが可能で、暗号化している意味がほとんどありません。また、PCI-DSSなどの国際的なセキュリティ基準では、暗合鍵を物理的に離れた場所に保存することが求められています。