MySQL တွင် ကုဒ်ဝှက်ခြင်း- Keystore

သင်တန်းအတွက် စာရင်းသွင်းမှုအသစ် စတင်တော့မည်ဟု မျှော်လင့်ပါသည်။ "ဒေတာဘေ့စ်" သင့်အတွက် အသုံးဝင်သော ဆောင်းပါးတစ်ပုဒ်၏ ဘာသာပြန်ချက်ကို ကျွန်ုပ်တို့ ပြင်ဆင်ထားပါသည်။

Transparent Data Encryption (TDE) တွင် ပေါ်လာသည်။ MySQL အတွက် Percona ဆာဗာ နှင့် MySQL သည် အချိန်အတော်ကြာသည်။ သို့သော် ၎င်းသည် hood အောက်တွင် မည်သို့အလုပ်လုပ်ကြောင်းနှင့် သင့်ဆာဗာပေါ်တွင် TDE အကျိုးသက်ရောက်မှုရှိနိုင်သည်ကို သင်စဉ်းစားဖူးပါသလား။ ဤဆောင်းပါးတွဲတွင် TDE သည် အတွင်းပိုင်းအလုပ်လုပ်ပုံကို လေ့လာပါမည်။ မည်သည့် ကုဒ်ဝှက်စနစ်မဆို အလုပ်လုပ်ရန်အတွက် ဤအရာသည် လိုအပ်သောကြောင့် သော့သိုလှောင်မှုဖြင့် စတင်ကြပါစို့။ ထို့နောက် MySQL/MySQL အတွက် Percona Server တွင် ကုဒ်ဝှက်ခြင်း အလုပ်လုပ်ပုံနှင့် MySQL အတွက် Percona Server တွင် အပိုထပ်ဆောင်း အင်္ဂါရပ်များ ရှိသည်ကို ကျွန်ုပ်တို့ အနီးကပ် လေ့လာကြည့်ပါမည်။

MySQL သော့ခတ်ခြင်း။

သော့ခတ်ခြင်းများသည် ဆာဗာအား ဒေသတွင်းဖိုင်တစ်ခု (keyring_file) သို့မဟုတ် အဝေးထိန်းဆာဗာ (HashiCorp Vault ကဲ့သို့သော) တွင် သော့များကို မေးမြန်းရန်၊ ဖန်တီးရန်နှင့် ဖျက်ရန် ခွင့်ပြုသည့် ပလပ်အင်များဖြစ်သည်။ ၎င်းတို့၏ပြန်လည်ရယူခြင်းကို မြန်ဆန်စေရန်အတွက် သော့များကို စက်တွင်း၌ အမြဲတမ်း သိမ်းဆည်းထားသည်။

ပလပ်အင်များကို အမျိုးအစားနှစ်မျိုး ခွဲခြားနိုင်သည်-

• ဒေသတွင်းသိုလှောင်မှု။ ဥပမာအားဖြင့်၊ ဒေသဖိုင်တစ်ခု (ကျွန်ုပ်တို့သည် ၎င်းကို ဖိုင်အခြေခံသော့ချိတ်ဟုခေါ်သည်)။
• အဝေးထိန်း။ ဥပမာအားဖြင့်၊ Vault Server (၎င်းကို server-based keyring ဟုခေါ်သည်)။

မတူညီသော သိုလှောင်မှု အမျိုးအစားများသည် သော့များကို သိမ်းဆည်းခြင်းနှင့် ထုတ်ယူသည့်အခါတွင်သာမက ၎င်းတို့ကို လုပ်ဆောင်သည့်အခါတွင်လည်း အနည်းငယ်ကွဲပြားသောကြောင့် ဤခွဲခြားမှုသည် အရေးကြီးပါသည်။

ဖိုင်သိုလှောင်မှုကို အသုံးပြုသည့်အခါ၊ စတင်ချိန်တွင်၊ သိုလှောင်မှု၏ အကြောင်းအရာအားလုံးကို ကက်ရှ်တွင် တင်ထားသည်- သော့အိုင်ဒီ၊ သော့အသုံးပြုသူ၊ သော့အမျိုးအစားနှင့် သော့ကိုယ်နှိုက်။

ဆာဗာအခြေခံစတိုး (Vault Server ကဲ့သို့) တွင် သော့ ID နှင့် သော့အသုံးပြုသူကိုသာ စတင်ချိန်တွင် တင်ပေးထားသောကြောင့် သော့အားလုံးကို ရယူခြင်းသည် စတင်မှုအား နှေးကွေးစေမည်မဟုတ်ပါ။ သော့များကို ပျင်းရိစွာ တင်နေပါသည်။ ဆိုလိုသည်မှာ၊ သော့ကိုယ်နှိုက်က ၎င်းကို အမှန်တကယ်လိုအပ်နေမှသာ Vault မှ တင်ပါသည်။ ဒေါင်းလုဒ်လုပ်ပြီးသည်နှင့်၊ အနာဂတ်တွင် Vault Server သို့ TLS ချိတ်ဆက်မှုများမှတဆင့် ဝင်ရောက်ကြည့်ရှုရန် မလိုအပ်စေရန် သော့ကို မမ်မိုရီတွင် သိမ်းဆည်းထားသည်။ ထို့နောက်၊ သော့စတိုးဆိုင်တွင် မည်သည့်အချက်အလက်ပါရှိသည်ကို ကြည့်ကြပါစို့။

အဓိက အချက်အလက်တွင် အောက်ပါတို့ ပါဝင်သည်-

• သော့ id — အဓိက identifier ဥပမာ-
  INNODBKey-764d382a-7324-11e9-ad8f-9cb6d0d5dc99-1
• သော့အမျိုးအစား — အသုံးပြုထားသော ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်အပေါ် အခြေခံထားသော သော့အမျိုးအစား၊ ဖြစ်နိုင်သည့်တန်ဖိုးများ- “AES”၊ “RSA” သို့မဟုတ် “DSA”။
• သော့အရှည် — bytes သော့အရှည်၊ AES- 16၊ 24 သို့မဟုတ် 32၊ RSA 128၊ 256၊ 512 နှင့် DSA 128၊ 256 သို့မဟုတ် 384။
• အသုံးပြုသူကို - သော့ပိုင်ရှင်။ သော့သည် စနစ်၊ ဥပမာ၊ Master Key ဖြစ်ပါက၊ ဤအကွက်သည် ဗလာဖြစ်နေသည်။ သော့တစ်ခုကို keyring_udf သုံးပြီး ဖန်တီးထားပါက၊ ဤအကွက်သည် သော့ပိုင်ရှင်ကို သတ်မှတ်ပေးသည်။
• သော့ကိုယ်နှိုက်

သော့ကို အတွဲ- key_id၊ အသုံးပြုသူမှ သီးခြားသတ်မှတ်ထားသည်။

သော့များကို သိမ်းဆည်းခြင်းနှင့် ဖျက်ခြင်းတွင်လည်း ကွဲပြားမှုများရှိသည်။

ဖိုင်သိုလှောင်မှုက ပိုမြန်တယ်။ သော့စတိုးတစ်ခုသည် ဖိုင်တစ်ခုသို့ သော့ကို တစ်ကြိမ်သာ ရေးလိုက်ရုံသာဟု ထင်ကောင်းထင်နိုင်သော်လည်း၊ ဤနေရာတွင် နောက်ထပ် ဖြစ်ပျက်နေပါသည်။ ဖိုင်သိုလှောင်မှု မွမ်းမံပြင်ဆင်မှု ပြုလုပ်သည့်အခါတိုင်း၊ အကြောင်းအရာအားလုံး၏ အရန်မိတ္တူကို ဦးစွာ ဖန်တီးပါသည်။ ဖိုင်ကို my_biggest_secrets ဟု ဆိုကြပါစို့၊ ထို့နောက် အရန်မိတ္တူသည် my_biggest_secrets.backup ဖြစ်လိမ့်မည်။ ထို့နောက်၊ ကက်ရှ်ကို ပြောင်းလိုက်သည် (သော့များကို ပေါင်းထည့်သည် သို့မဟုတ် ဖျက်လိုက်သည်) နှင့်၊ အားလုံးအောင်မြင်ပါက၊ ကက်ရှ်သည် ဖိုင်တစ်ခုသို့ ပြန်လည်သတ်မှတ်မည်ဖြစ်သည်။ ဆာဗာချို့ယွင်းမှုကဲ့သို့သော ရှားပါးသောကိစ္စများတွင်၊ ဤအရန်ဖိုင်ကို သင်တွေ့နိုင်သည်။ သော့များကို နောက်တစ်ကြိမ် တင်သည့်အခါ အရန်ဖိုင်ကို ဖျက်လိုက်သည် (များသောအားဖြင့် ဆာဗာကို ပြန်လည်စတင်ပြီးနောက်)။

ဆာဗာသိုလှောင်မှုတွင် သော့ကိုသိမ်းဆည်းခြင်း သို့မဟုတ် ဖျက်သည့်အခါ၊ သိုလှောင်မှုသည် "သော့ပေးပို့ခြင်း" / "သော့ဖျက်ခြင်းတောင်းဆိုရန်" ဟူသော ညွှန်ကြားချက်များဖြင့် MySQL ဆာဗာသို့ ချိတ်ဆက်ရပါမည်။

ဆာဗာစတင်မှုမြန်နှုန်းသို့ ပြန်သွားကြပါစို့။ လွှတ်တင်သည့်အမြန်နှုန်းသည် vault ကိုယ်တိုင်က သက်ရောက်မှုရှိသည့်အပြင်၊ စတင်ချိန်တွင် ဗော့စ်မှသော့မည်မျှပြန်ယူရန် လိုအပ်သည့်ပြဿနာလည်း ရှိသေးသည်။ ဟုတ်ပါတယ်၊ ဒါက server storage အတွက် အထူးအရေးကြီးတယ်။ စတင်ချိန်တွင်၊ ဆာဗာသည် ကုဒ်ဝှက်ထားသော ဇယားများ/စားပွဲနေရာများအတွက် မည်သည့်သော့လိုအပ်သည်ကို စစ်ဆေးပြီး သိုလှောင်မှုမှသော့ကို တောင်းဆိုပါသည်။ Master Key ကုဒ်ဝှက်ခြင်းပါရှိသော “သန့်ရှင်း” ဆာဗာတွင်၊ သိုလှောင်မှုမှ ပြန်ယူရမည့် Master Key တစ်ခုရှိရပါမည်။ သို့ရာတွင်၊ ဥပမာ၊ အရန်ဆာဗာသည် ပင်မဆာဗာမှ အရန်ကူးယူခြင်းကို ပြန်လည်ရယူသည့်အခါ သော့အရေအတွက် ပိုများရန် လိုအပ်ပါသည်။ ဒီလိုအခြေအနေမျိုးမှာ Master Key ကို လှည့်ပေးသင့်ပါတယ်။ ဤနေရာတွင် Master Keys အများအပြားကို အသုံးပြုသည့် ဆာဗာတစ်ခုသည် အထူးသဖြင့် ဆာဗာဘက်ခြမ်းသော့စတိုးကို အသုံးပြုသည့်အခါတွင် အနည်းငယ်ကြာနိုင်သည်ကို သတိပြုမိသော်လည်း ၎င်းကို နောင်ဆောင်းပါးများတွင် ပိုမိုအသေးစိတ်ဖော်ပြပါမည်။

အခု keyring_file အကြောင်း နည်းနည်းပြောကြည့်ရအောင်။ ကျွန်တော် keyring_file ကိုတီထွင်နေချိန်၊ ဆာဗာအလုပ်လုပ်နေချိန်မှာ keyring_file အပြောင်းအလဲတွေကို ဘယ်လိုစစ်ဆေးရမလဲဆိုတာကိုလည်း ကျွန်တော်စိုးရိမ်ခဲ့ပါတယ်။ 5.7 တွင်၊ စံပြဖြေရှင်းချက်မဟုတ်သည့် ဖိုင်စာရင်းဇယားများအပေါ် အခြေခံ၍ စစ်ဆေးမှုကို လုပ်ဆောင်ခဲ့ပြီး 8.0 တွင် ၎င်းကို SHA256 checksum ဖြင့် အစားထိုးခဲ့သည်။

keyring_file ကို သင် ပထမဆုံး run သည့် အကြိမ်တွင်၊ ဖိုင်စာရင်းဇယားနှင့် checksum ကို ဆာဗာမှ မှတ်သားထားသည့် တွက်ချက်ပြီး အပြောင်းအလဲများ ကိုက်ညီမှသာ သက်ရောက်မည်ဖြစ်သည်။ ဖိုင်ပြောင်းသောအခါ၊ checksum ကို အပ်ဒိတ်လုပ်သည်။

ကျွန်ုပ်တို့သည် သော့အခန်းများနှင့်ပတ်သက်သည့် မေးခွန်းများစွာကို ဆွေးနွေးပြီးဖြစ်သည်။ သို့သော်လည်း၊ မကြာခဏ မေ့ပျောက် သို့မဟုတ် နားလည်မှုလွဲသည့် အခြားအရေးကြီးသော အကြောင်းအရာတစ်ခု ရှိပါသည်- ဆာဗာများတစ်လျှောက် သော့များကို မျှဝေခြင်း။

ငါဘာကိုဆိုလိုတာလဲ။ အစုအဝေးရှိ ဆာဗာတစ်ခုစီတွင် (ဥပမာ၊ Percona ဆာဗာ) သည် Percona ဆာဗာတွင် ၎င်း၏သော့များကို သိမ်းဆည်းထားရမည့် Vault ဆာဗာတွင် သီးခြားတည်နေရာတစ်ခု ရှိရပါမည်။ သိုလှောင်မှုတွင်သိမ်းဆည်းထားသော Master Key တစ်ခုစီတွင် ၎င်း၏သတ်မှတ်စနစ်အတွင်း Percona ဆာဗာ၏ GUID ပါရှိသည်။ အဘယ်ကြောင့် အရေးကြီးသနည်း။ သင့်တွင် Vault Server တစ်ခုသာရှိပြီး အစုအဝေးအတွင်းရှိ Percona ဆာဗာများအားလုံး ထို Vault Server တစ်ခုတည်းကို အသုံးပြုသည်ဟု မြင်ယောင်ကြည့်ပါ။ ပြဿနာက ရှင်းနေပုံရတယ်။ Percona ဆာဗာများအားလုံးသည် id=1၊ id=2 စသည်ဖြင့် သီးသန့်ခွဲခြားသတ်မှတ်မှုမရှိဘဲ Master Key ကိုအသုံးပြုပါက၊ အစုအဝေးရှိ ဆာဗာများအားလုံးသည် တူညီသော Master Key ကို အသုံးပြုမည်ဖြစ်သည်။ GUID မှပေးဆောင်သောအရာမှာဆာဗာများအကြားခြားနားချက်ဖြစ်သည်။ ထူးခြားသော GUID တစ်ခုရှိနှင့်ပြီးပါက ဆာဗာများအကြား သော့များမျှဝေခြင်းအကြောင်း အဘယ်ကြောင့်ပြောဆိုသနည်း။ နောက်ထပ် ပလပ်အင်တစ်ခု ရှိသည် - keyring_udf။ ဤပလပ်အင်ဖြင့်၊ သင်၏ဆာဗာအသုံးပြုသူသည် ၎င်းတို့၏သော့များကို Vault ဆာဗာတွင် သိမ်းဆည်းနိုင်သည်။ ဥပမာ၊ အသုံးပြုသူတစ်ဦးသည် server1 တွင် သော့တစ်ခုကို ဖန်တီးပြီးနောက်၊ ဥပမာ၊ server2 တွင် တူညီသော ID ဖြင့် သော့တစ်ခုကို ဖန်တီးရန် ကြိုးစားသောအခါ ပြဿနာဖြစ်တတ်သည်-

--server1:
select keyring_key_store('ROB_1','AES',"123456789012345");
1
--1 значит успешное завершение
--server2:
select keyring_key_store('ROB_1','AES',"543210987654321");
1

ခဏနေ။ ဆာဗာနှစ်ခုလုံးသည် တူညီသော Vault Server ကိုအသုံးပြုနေသည်၊ server2 တွင် keyring_key_store လုပ်ဆောင်ချက်သည် မအောင်မြင်သင့်ပါ။ စိတ်ဝင်စားဖို့ကောင်းတာက ဆာဗာတစ်ခုတည်းမှာ အလားတူလုပ်ဆောင်ဖို့ ကြိုးစားရင် အမှားအယွင်းတစ်ခုကို သင်လက်ခံရရှိပါလိမ့်မယ်-

--server1:
select keyring_key_store('ROB_1','AES',"123456789012345");
1
select keyring_key_store('ROB_1','AES',"543210987654321");
0

မှန်ပါတယ်၊ ROB_1 ရှိပြီးသားပါ။

ဒုတိယဥပမာကို အရင်ဆွေးနွေးကြည့်ရအောင်။ အစောပိုင်းတွင် ကျွန်ုပ်တို့ပြောခဲ့သည့်အတိုင်း၊ keyring_vault သို့မဟုတ် အခြားသောသော့ချိတ်ပလပ်အင်များသည် သော့ ID အားလုံးကို မှတ်ဉာဏ်ထဲတွင် သိမ်းဆည်းထားသည်။ ထို့ကြောင့်၊ သော့အသစ်တစ်ခုဖန်တီးပြီးနောက်၊ ROB_1 ကို server1 သို့ ပေါင်းထည့်လိုက်ပြီး၊ ဤသော့ကို Vault သို့ပို့ခြင်းအပြင်၊ သော့ကိုလည်း ကက်ရှ်တွင်ထည့်ထားသည်။ ယခု၊ ကျွန်ုပ်တို့သည် တူညီသောသော့ကို ဒုတိယအကြိမ်ထပ်ထည့်ရန် ကြိုးစားသောအခါ၊ keyring_vault သည် ကက်ရှ်တွင် သော့ရှိမရှိ စစ်ဆေးပြီး အမှားတစ်ခုကို ပစ်လွှတ်လိုက်သည်။

ပထမအခြေအနေက မတူဘူး။ Server1 နှင့် server2 တွင် သီးခြား ကက်ရှ်များရှိသည်။ ROB_1 ကို server1 နှင့် Vault server တွင် key cache သို့ထည့်ပြီးနောက်၊ server2 ရှိ key cache သည် စင့်ခ်မလုပ်တော့ပါ။ ဆာဗာ၂ရှိ ကက်ရှ်တွင် ROB_2 သော့မရှိပါ။ ထို့ကြောင့်၊ ROB_1 သော့ကို keyring_key_store နှင့် Vault server သို့ စာရေးထားပြီး၊ ၎င်းသည် ယခင်တန်ဖိုး (!) ကို အမှန်တကယ် overwrite လုပ်ပေးသည်။ ယခု Vault ဆာဗာရှိ ROB_1 သော့သည် 1 ဖြစ်သည်။ စိတ်ဝင်စားစရာမှာ Vault ဆာဗာသည် ထိုလုပ်ဆောင်ချက်များကို မပိတ်ဆို့ဘဲ တန်ဖိုးဟောင်းကို အလွယ်တကူ ထပ်ရေးနေပါသည်။

သင် keyring_udf ကိုအသုံးပြုပြီး Vault တွင် သော့များသိမ်းဆည်းလိုသောအခါတွင် ဆာဗာအပိုင်းခွဲခြင်းသည် အဘယ်ကြောင့်အရေးကြီးသည်ကို ယခုကျွန်ုပ်တို့မြင်နိုင်ပါပြီ။ Vault ဆာဗာတွင် ဤခွဲခြားမှုကို မည်သို့အောင်မြင်နိုင်မည်နည်း။

Vault တွင် partition လုပ်ရန် နည်းလမ်းနှစ်ခုရှိသည်။ ဆာဗာတစ်ခုစီအတွက် မတူညီသော mount အမှတ်များကို သင်ဖန်တီးနိုင်သည် သို့မဟုတ် တူညီသော mount point အတွင်း မတူညီသောလမ်းကြောင်းများကို အသုံးပြုနိုင်သည်။ ဒါက အကောင်းဆုံး ဥပမာတွေနဲ့ ပြထားပါတယ်။ ဒီတော့ mount point တစ်ခုချင်းကို အရင်ကြည့်ရအောင်။

--server1:
vault_url = http://127.0.0.1:8200
secret_mount_point = server1_mount
token = (...)
vault_ca = (...)

--server2:
vault_url = http://127.0.0.1:8200
secret_mount_point = sever2_mount
token = (...)
vault_ca = (...)

ဤနေရာတွင် server1 နှင့် server2 သည် မတူညီသော mount point များကို အသုံးပြုနေသည်ကို တွေ့နိုင်သည်။ လမ်းကြောင်းများကို ပိုင်းခြားသောအခါ၊ ဖွဲ့စည်းမှုပုံစံသည် ဤကဲ့သို့ဖြစ်နေလိမ့်မည်-

--server1:
vault_url = http://127.0.0.1:8200
secret_mount_point = mount_point/server1
token = (...)
vault_ca = (...)
--server2:
vault_url = http://127.0.0.1:8200
secret_mount_point = mount_point/sever2
token = (...)
vault_ca = (...)

ဤကိစ္စတွင်၊ ဆာဗာနှစ်ခုလုံးသည် တူညီသော mount point "mount_point" ကိုအသုံးပြုသော်လည်း မတူညီသောလမ်းကြောင်းများ။ ဤလမ်းကြောင်းကိုအသုံးပြု၍ server1 တွင်ပထမဆုံးလျှို့ဝှက်ချက်ကိုဖန်တီးသောအခါ Vault server သည် "server1" directory ကိုအလိုအလျောက်ဖန်တီးပေးသည်။ server2 အတွက် အရာအားလုံးက ဆင်တူပါတယ်။ mount_point/server1 သို့မဟုတ် mount_point/server2 တွင် နောက်ဆုံးလျှို့ဝှက်ချက်ကို သင်ဖျက်သောအခါ၊ Vault ဆာဗာသည် ထိုလမ်းညွှန်ချက်များကိုလည်း ဖျက်သည်။ အကယ်၍ သင်သည် လမ်းကြောင်း ခြားနားခြင်းကို အသုံးပြုပါက၊ သင်သည် mount point တစ်ခုသာ ဖန်တီးပြီး configuration ဖိုင်များကို ဆာဗာများမှ သီးခြားလမ်းကြောင်းများကို အသုံးပြုနိုင်ရန် ပြောင်းလဲရပါမည်။ HTTP တောင်းဆိုမှုကို အသုံးပြု၍ mount point တစ်ခုကို ဖန်တီးနိုင်သည်။ CURL ကို အသုံးပြု၍ ဤကဲ့သို့ လုပ်ဆောင်နိုင်သည်-

curl -L -H "X-Vault-Token: TOKEN" –cacert VAULT_CA
--data '{"type":"generic"}' --request POST VAULT_URL/v1/sys/mounts/SECRET_MOUNT_POINT

အကွက်များအားလုံး (TOKEN၊ VAULT_CA၊ VAULT_URL၊ SECRET_MOUNT_POINT) သည် စီစဉ်ဖွဲ့စည်းမှုဖိုင်၏ ကန့်သတ်ချက်များနှင့် သက်ဆိုင်ပါသည်။ ဟုတ်ပါတယ်၊ သင်လည်း အလားတူလုပ်ဆောင်ဖို့ Vault utilities ကိုသုံးနိုင်ပါတယ်။ ဒါပေမယ့် Mount point ဖန်တီးမှုကို အလိုအလျောက်လုပ်ရတာ ပိုလွယ်ပါတယ်။ ဒီအချက်အလက်ကို သင်အသုံးဝင်မယ်လို့ မျှော်လင့်ပြီး ဒီစီးရီးရဲ့ နောက်ဆောင်းပါးတွေမှာ သင့်ကိုတွေ့မယ်လို့ မျှော်လင့်ပါတယ်။

ပိုပြီးဖတ်ပါ:

• Sysbench နှင့် random variable များ ဖြန့်ဖြူးခြင်း။

source: www.habr.com