HarmonyOS开发者限时福利来啦!最高10w+现金激励等你拿~ 了解详情
写点什么

MongoDB 发布可查询加密预览版,数据库历史上首次

  • 2022-06-17
  • 本文字数:2425 字

    阅读完需:约 8 分钟

MongoDB发布可查询加密预览版,数据库历史上首次

近日,MongoDB 发布可查询加密(Queryable Encryption)预览版,该系统支持客户从客户端加密敏感数据,将完全随机加密的数据存储在数据库服务器端,并对加密数据执行表达式查询。

 

据悉,可查询加密由 MongoDB 高级密码学研究小组设计,加密搜索领域的开拓者 Seny Kamara 和 Tarik Moataz 担任小组负责人。研究小组在密码学领域开展前沿同行评审研究,并携手 MongoDB 工程团队,将密码学和隐私方面的最近创新成果应用到 MongoDB 数据平台。


过去,用户往往会面临两难选择,要么选择保证数据安全,要么选择数据是可查询的,如今有了可查询加密,用户将不再需要“二选一”。据介绍,MongoDB 是目前唯一一家支持客户对完全随机加密数据执行表达式查询的数据库提供商,包括等值查询(预览版中可用)、范围查询、前缀查询、后缀查询、子串查询等(即将推出)。


MongoDB CTO Mark Porter 在接受采访时表示:“这在数据库的历史上是第一次,用户可以针对随机加密数据做到非常复杂的表达式查询,这是非常有意义的一件事。”他还透露,后续可查询加密会进行开源公布,包括算法和数据方面的一些成果。

为什么可查询加密是一项重要技术?


随着越来越多的企业将各类数据传输和存储到云端,数据安全变得愈加重要。具有高敏感工作负载的企业需要采用额外的技术方案,以控制和限制对机密和受监管数据的访问。对于许多企业和机构客户来说,合规部门规定对部分敏感工作负载采用职责分离原则。例如,在证券公司,分析师可以查询客户和股票数量信息,经纪人可以代表投资者进行股票交易,数据库管理员(DBA)负责管理数据等,在这种环境下,需要将证件号码(SSN)这样的敏感和个人身份信息(PII)完全隐藏。

 

遵守数据隐私和客户数据保护是企业需要重点关注的另一个领域。这既适用于使用数据的客户,也适用于为客户存储数据的供应商。数据隐私法规涉及到遵守行业内外与保护敏感数据有关的法律。确保遵守所有保护客户敏感数据的措施是关键的一步骤。个人健康信息(PHI)和个人身份信息等高敏感性信息是典型的需要数据隐私保护的信息。

数据安全的现状和挑战


尽管现有加密解决方案(传输中的数据和静态数据)涵盖许多监管场景,但都无法在敏感数据使用过程中对其进行保护。对于金融服务、医疗保健和关键基础设施企业等领域的客户来说,高敏感性工作负载往往需要采用能够对使用中的数据进行加密的技术。目前,此类技术面临的挑战包括:

 

  • 针对使用中数据的加密技术极其复杂,需要使用来自应用程序端的自定义代码,以便对数据进行加密、处理、筛选和解密,并将其提供给用户。此外,该技术还涉及到加密密钥管理,以便对数据进行加密和解密。

  • 开发者需要掌握一定的密码学经验,以设计出安全的加密解决方案。

  • 当前解决方案的查询功能有限,甚至有一些不具备查询功能,这导致应用层数据加密变得格外困难。

  • 在针对海量加密数据搜索时,部分现有工具(如同态加密或安全隔区)要么需要专有硬件、要么难以满足性能要求、或者加密的安全性难以保证,或者具有不确定的安全属性。 

可查询加密简介


可查询加密消除了繁重的维护任务,在不影响数据保护、合规性和数据隐私安全要求的情况下,提升了应用程序开发速度。



加密字段始终以密文形式存储、传输、处理、检索及查询

 

以下是一个操作流程示例,一位认证用户希望查询数据,如今用户可查询完全随机加密的数据。在本例中,假设我们正在检索用户的社会安全号码。

 

  1. 应用程序提交查询后,MongoDB 驱动程序首先分析查询内容;

  2. 当驱动程序识别出查询内容为加密字段时,会向客户指定的密钥管理服务发出加密密钥请求,例如 AWS 密钥管理服务(AWS KMS)、谷歌云密钥管理服务(Google Cloud KMS)、Azure Key Vault,或任何支持密钥管理互操作协议(KMIP)的密钥管理程序,如 HashiCorp Vault;

  3. 驱动程序将查询的加密字段以密文方式,提交给 MongoDB 服务器;

  4. 可查询加密采用一种快速、可搜索的方式,支持服务器在对数据一无所知的情况下执行完全加密数据查询流程。在此过程中,数据和查询信息本身在服务器中始终保持加密状态;

  5. MongoDB 服务器将加密的查询结果返回给驱动程序;

  6. 查询结果经过驱动程序密钥解密,并以明文形式返回给客户端。

可查询加密的优势


  1. 丰富的加密数据查询功能:MongoDB 据称是目前唯一一家支持客户对加密数据执行丰富查询表达式(包括范围查询、等值查询、前缀查询和后缀查询等,其中等值搜索查询功能在预览版中可用,其余搜索功能将在未来版本中发布)的数据库提供商。对于那些既需要执行表达式查询,又需要确保数据安全的客户而言,可查询加密可以同时满足他们的需求。

  2. 数据全生命周期加密:可查询加密为最敏感的数据增加了另一层安全保障,确保数据在传输中、磁盘存储中、内存处理中、日志中和备份中都安全无虞。此外,可查询加密支持在服务器端采用完全随机的方式加密数据。

  3. 更强大的关键数据隐私保护技术、更广泛的应用场景:借助强大的技术保护功能,客户可使用基于标准的加密技术来满足最严苛的数据隐私要求(包括数据保密性和数据完整性)。客户可以始终保持对加密密钥的控制,确保数据加密/解密操作仅限于客户端。这样,可确保只有获得客户端应用程序访问权限和加密秘钥的授权用户才能看到明文数据。以上强大的控制功能可以助力客户满足各种全球数据安全规范,如健康保险可携性和责任法案(HIPAA 法案)、通用数据保护条例(GDPR)和加州消费者隐私法案(CCPA)等法律规定的数据隐私要求。

  4. 提升应用程序开发速度:开发者无需具备专家级的加密经验,也可以以最高级别的机密性和完整性保护数据。不像采用软件开发工具包(SDK)开发,SDK 的设计选择错误,安全性就会随之降低。可查询加密提供了一种更全面的加密解决方案,其采用基于标准的加密技术并支持强大的密钥管理功能。配置过程简单,且可以通过常见的 MongoDB 驱动程序的直接实现。

  5. 降低制度风险:迁移到云端的客户可放心地将敏感数据存储在 MongoDB Atlas 中。可查询加密不仅支持客户始终控制数据的使用,同时还提供丰富的表达式查询功能,使客户可以查询完全随机的加密数据。

 

2022-06-17 13:114062
用户头像
蔡芳芳 InfoQ主编

发布了 798 篇内容, 共 548.4 次阅读, 收获喜欢 2788 次。

关注

评论 1 条评论

发布
用户头像
完全随机是什么意思啊

可查询加密支持在服务器端采用完全随机的方式加密数据。

2022-06-25 10:48
回复
没有更多了
发现更多内容

SRE,了解一下?35+岁程序员新选择

华为云开发者联盟

SRE 华为云

Jupyter Notebook,太强大了!

Jackpop

低代码开发:企业应用构建新模式

力软低代码开发平台

瀑布式项目管理软件测评!

爱吃小舅的鱼

使用 Amazon EC2 降低 DeepRacer 的训练成本 DeepRacer-for-cloud 的实践操作

亚马逊云科技 (Amazon Web Services)

Amazon EC2 EC2

API 网关 Apache APISIX 助力雪球双活架构演进

API7.ai 技术团队

zookeeper 投资 网关 APISIX APISIX Summit

Curve 进入 CNCF Sandbox,完善统一云原生开源存储拼图

网易数帆

开源 分布式 云原生 存储 cncf

Apache Dolphinscheduler3.0.0-beta-1 版本发布,新增FlinkSQL、Zeppelin任务类型

白鲸开源

Apache 大数据 开源 Apache DolphinScheduler 消息队列 workflow

10段实用Python代码,帮我省了几万块钱!

Jackpop

测试进阶必备,这5款http接口自动化测试工具不要太香~

伤心的辣条

Python 程序人生 软件测试 自动化测试 接口自动化测试

7 月亚马逊云科技培训与认证课程,精彩不容错过!

亚马逊云科技 (Amazon Web Services)

架构师 培训 认证

JDK7 HashMap如何实现?

源字节1号

软件开发 前端开发 后端开发 小程序开发

自助洗车机洗车怎么收费和付费

共享电单车厂家

自助洗车加盟 自助洗车收费 自助洗车付费

如何系统地学习 C++ 语言?太全面了!

Jackpop

FutureTask

急需上岸的小谢

6月月更

融云 x 川航: 为民航通信安上“即时之翼”

融云 RongCloud

直播app源码,充值提现模板的设计看似简单却不简单

开源直播系统源码

软件开发 直播源码 app定制开发

写代码过程中最忌讳什么?

Jackpop

共享自助洗车机让你告别传统洗车

共享电单车厂家

共享自助洗车 自助洗车加盟

要想自助洗车加盟赚钱记住这几点

共享电单车厂家

自助洗车加盟 自助洗车品牌

24H共享便民自助洗车加盟怎么样

共享电单车厂家

共享自助洗车 自助洗车加盟 24小时自助洗车 便民自助洗车

开启全方位安全巡检

观测云

@开发者 云端一条生产线,让软件开发更敏捷、更安全

华为云开发者联盟

云计算 敏捷 华为云 devcloud

IT采购专家指导 联想百应618 IT运维软硬服一站集采

Geek_2d6073

SQL和Python 哪个更容易自学?

Jackpop

vue-表单输入绑定

小恺

6月月更

自助洗车市场悄然兴起你准备好了吗

共享电单车厂家

自助洗车 自助洗车加盟

大数据平台迁移实践 | Apache DolphinScheduler 在当贝大数据环境中的应用

白鲸开源

Apache 大数据 开源 DolphinScheduler workflow

华为云重磅发布:“乐高式”自动驾驶研发开放平台,携手伙伴共建生态

华为云开发者联盟

自动驾驶 云计算 华为云

首批 | 腾讯云完成国内首个云原生安全成熟度评估

腾讯安全云鼎实验室

云原生

“互联网+”大学生创新创业大赛来了,欢迎报名龙蜥社区赛题!

OpenAnolis小助手

开源 操作系统 互联网+ 龙蜥社区 大学生创新创业大赛

MongoDB发布可查询加密预览版,数据库历史上首次_数据库_蔡芳芳_InfoQ精选文章