Mysql安全之 TDE ，列加密，审计日志

一、MySQL 透明数据加密（TDE, Transparent Data Encryption）

🔹 什么是 TDE？

TDE（Transparent Data Encryption） 是一种在存储层对数据文件进行加密的技术，确保即使磁盘被物理窃取，数据也无法被读取。

• 加密对象：表空间文件（.ibd）、系统表空间、重做日志（redo log）、undo log 等
• 透明性：应用层无需修改代码，加密/解密由数据库引擎自动完成
• 支持版本：MySQL 企业版（Enterprise Edition）8.0+，社区版不支持

✅ TDE 的作用

• 防止物理介质泄露（如硬盘、备份磁带被窃）
• 满足合规要求（如 PCI DSS、HIPAA、GDPR）
• 保护静态数据（Data at Rest）

🔐 加密机制

• 使用 AES 算法（默认 AES-256）
• 加密密钥由主密钥（Master Key） 保护
• 主密钥存储在 Keyring 插件 中（如 keyring_file、keyring_okv、keyring_aws）

🛠️ 实施关键步骤

步骤 1：启用 Keyring 插件

-- 安装 keyring_file 插件（测试环境）
INSTALL PLUGIN keyring_file SONAME 'keyring_file.so';

-- 或使用 AWS KMS（生产推荐）
-- INSTALL PLUGIN keyring_aws SONAME 'keyring_aws.so';

步骤 2：配置 my.cnf

[mysqld]
# 启用 keyring 插件
early-plugin-load=keyring_file=keyring_file.so
# 或 keyring_aws=keyring_aws.so

# 可选：指定 keyring 文件路径
keyring_file_data=/mysql/data/keyring

步骤 3：重启 MySQL

sudo systemctl restart mysql

步骤 4：创建加密表或启用现有表加密

-- 创建新表时启用加密
CREATE TABLE sensitive_data (
    id INT PRIMARY KEY,
    ssn VARCHAR(11)
) ENCRYPTION='Y';

-- 修改已有表启用加密
ALTER TABLE existing_table ENCRYPTION='Y';

步骤 5：验证加密

-- 查看表是否加密
SELECT TABLE_NAME, CREATE_OPTIONS 
FROM information_schema.TABLES 
WHERE CREATE_OPTIONS LIKE '%encryption%';

✅ 输出应包含：ENCRYPTION="Y"

⚠️ 注意事项

• 仅企业版支持
• 密钥管理至关重要：建议使用 keyring_aws 或 HSM
• 备份文件（如 ibbackup）也会自动加密
• 性能影响：通常 < 5%，但取决于 I/O 负载

二、列级加密（Column-Level Encryption）

🔹 什么是列级加密？

在应用层或 SQL 层对特定敏感字段（如身份证、手机号、银行卡号）进行加密，数据以密文形式存储在数据库中。

• 加密粒度：字段级别
• 适用版本：MySQL 社区版和企业版均支持
• 加密方式：使用 MySQL 内置函数（如 AES_ENCRYPT / AES_DECRYPT）

✅ 作用

• 保护特定敏感数据
• 即使数据库被入侵，攻击者也无法直接读取明文
• 满足最小权限和数据最小化原则

🛠️ 实施关键步骤

步骤 1：选择加密函数

MySQL 提供多种加密函数：

• AES_ENCRYPT(str, key)：AES 加密（推荐）
• AES_DECRYPT(crypt_str, key)：解密
• 支持模式：ECB、CBC（推荐 CBC）

-- 示例：使用 AES-256-CBC 加密
SET block_encryption_mode = 'aes-256-cbc';

步骤 2：存储密钥（安全方式）

• ❌ 不要硬编码在 SQL 或代码中
• ✅ 建议：
  • 使用环境变量
  • 外部密钥管理服务（KMS）
  • 配置中心（如 HashiCorp Vault）

步骤 3：加密写入数据

-- 插入加密数据
INSERT INTO users (name, ssn_encrypted)
VALUES ('Alice', AES_ENCRYPT('123-45-6789', 'my-secret-key'));

步骤 4：解密读取数据

-- 查询并解密
SELECT name, AES_DECRYPT(ssn_encrypted, 'my-secret-key') AS ssn
FROM users;

⚠️ 返回的是二进制数据，需转换为字符串：

CAST(AES_DECRYPT(ssn_encrypted, 'key') AS CHAR)

步骤 5：字段类型建议

• 加密后数据为二进制，建议使用 VARBINARY 或 BLOB
• 长度估算：明文 n 字节 → 密文 ≈ n + 16（填充 + IV）

ALTER TABLE users MODIFY ssn_encrypted VARBINARY(255);

⚠️ 注意事项

• 无法对加密列建立有效索引（除非使用确定性加密，但不安全）
• 不支持模糊查询（如 LIKE '%123%'）
• 应用层需处理加解密逻辑
• 推荐使用 应用层加密库（如 Java 的 JCE、Python 的 cryptography）替代 SQL 函数，更安全灵活

三、MySQL 审计日志（Audit Log）

🔹 什么是审计日志？

记录所有数据库操作行为，用于安全审计、合规检查、异常检测。

• 记录内容：登录、查询、修改、权限变更等
• 插件支持：MySQL Enterprise Audit（企业版）或开源插件（如 MariaDB Audit Plugin）

✅ 作用

• 满足 SOC 2、ISO 27001、等保等合规要求
• 追溯数据泄露或误操作
• 检测暴力破解、SQL 注入等攻击

🛠️ 实施关键步骤（以企业版为例）

步骤 1：安装 Audit Plugin

INSTALL PLUGIN audit_log SONAME 'audit_log.so';

步骤 2：配置 my.cnf

[mysqld]
# 启用审计日志
plugin-load=audit_log.so
audit_log_format=JSON          # 推荐 JSON 格式，易解析
audit_log_policy=ALL           # 记录所有事件（也可设为 LOGINS, QUERIES）
audit_log_include_accounts='admin@%'  # 仅审计特定账户
audit_log_exclude_accounts='monitor@%' # 排除监控账户
audit_log_file=/mysql/logs/audit.log
audit_log_rotate_on_size=1073741824  # 1GB 轮转

步骤 3：重启 MySQL

sudo systemctl restart mysql

步骤 4：验证审计日志

tail /mysql/logs/audit.log

输出示例（JSON）：

{
  "timestamp": "2025-04-05T10:00:00Z",
  "user": "admin@192.168.1.100",
  "command": "Query",
  "sql_text": "SELECT * FROM users WHERE id=1",
  "status": 0
}

步骤 5：日志分析与告警

• 使用 SIEM 工具（如 Splunk、ELK、Graylog）集中分析
• 设置告警规则：
  • 多次登录失败
  • 非工作时间访问
  • DROP TABLE 操作
  • 敏感表访问

⚠️ 注意事项

• 审计日志会增加 I/O 负担，建议：
  • 仅审计关键账户或操作
  • 使用异步写入
• 日志必须防篡改：写入只读存储、WORM、集中日志服务器
• 定期归档和保留（建议 6 个月以上）

✅ 三者对比总结

📌 最佳实践建议

1. 分层防护：TDE（防物理泄露） + 列加密（防逻辑泄露） + 审计日志（防内部滥用）
2. 密钥管理：绝不硬编码，使用 KMS 或 Vault
3. 最小权限：仅授权必要人员访问敏感数据和日志
4. 定期审计：每月审查审计日志，形成报告
5. 备份加密：确保备份文件也受保护（TDE 自动加密 ibd 文件）

🎯 一句话总结：
TDE 保护“盘”上的数据，列加密保护“字段”里的敏感信息，审计日志记录“谁”做了“什么”——三者结合，构建完整的 MySQL 安全防线。