บังคับใช้การเข้ารหัสแบบโปร่งใส (TDE) บนตาราง MySQL (เวอร์ชัน Windows)

ปรับปรุงหน้า : วันอาทิตย์ที่ 28 เมษายน พ.ศ. 2567

วันที่สร้างเพจ : วันอังคารที่ 16 มกราคม พ.ศ. 2567

สภาพแวดล้อมในการทํางาน

MySQL

MySQL 8.0 รุ่นชุมชน

หน้าต่าง

หน้าต่าง 11

เบื้องต้น

MySQL

MySQL 8.0 รุ่นชุมชน
MySQL 8.0 องค์กร Edition

หน้าต่าง

หน้าต่าง 11
หน้าต่าง 10

เซิร์ฟเวอร์ Windows

เซิร์ฟเวอร์ Windows 2022
เซิร์ฟเวอร์ Windows 2019
เซิร์ฟเวอร์ Windows 2016
R2 Windows Server ๒๐๑๒

เงื่อนไขเบื้องต้น

มีการติดตั้งฐานข้อมูลสําหรับ MySQL

เกี่ยวกับการเข้ารหัสแบบโปร่งใส

การเข้ารหัสข้อมูลแบบโปร่งใสขององค์กรตามชื่อหมายถึงเป็นเทคโนโลยีการเข้ารหัสที่ปลอดภัยกว่าสิ่งที่ไม่มี โดยปกติเมื่อเข้ารหัสมักเป็นภาระของผู้ดําเนินการเนื่องจากจําเป็นต้องดําเนินการเข้ารหัสและถอดรหัส ความหมายของชื่อนี้ "โปร่งใส" คือสามารถเข้ารหัสได้โดยไม่ต้องให้ผู้ดําเนินการทําการเปลี่ยนแปลงใด ๆ กับกระบวนการ ดังนั้นหากคุณทําการเปลี่ยนแปลงการตั้งค่าเล็กน้อยในตอนเริ่มต้นส่วนที่เหลือจะถูกเข้ารหัสโดยไม่ได้รับอนุญาตดังนั้นจึงเป็นมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพมาก

อย่างไรก็ตามตามวลีที่" ไม่จําเป็นต้องเปลี่ยนแปลงอะไร" แนะนําหากคุณลงชื่อเข้าใช้ฐานข้อมูลจริงคุณสามารถดูข้อมูลได้ตามปกติและหากคุณได้รับบันทึกฐานข้อมูลจากโปรแกรมคุณสามารถดูข้อมูลได้ตามปกติ หากข้อมูลที่ได้มาถูกเข้ารหัสจําเป็นต้องเปลี่ยนกระบวนการดังนั้นจึงไม่ตรงกับถ้อยคํา "ไม่จําเป็นต้องเปลี่ยนกระบวนการ"

จากนั้นใน MySQL การเข้ารหัสแบบโปร่งใสคืออะไรจะถูกเข้ารหัส "ไฟล์ฐานข้อมูลที่เก็บไว้" หรือ "ไฟล์ตาราง" อาจมีการเข้ารหัส ในขณะที่เราจะตรวจสอบในภายหลังแม้ว่าคุณจะเปิดไฟล์โดยตรง แต่ก็เข้ารหัสเฉพาะเพื่อให้คุณไม่เห็นเนื้อหาดังนั้นจึงจําเป็นต้องใช้งานเพื่อไม่ให้ลงชื่อเข้าใช้ฐานข้อมูลในการใช้งานจริง

สร้างตารางตามปกติและตรวจสอบเนื้อหา

ก่อนอื่นเรามาสร้างตารางและบันทึกตามปกติ คุณสามารถสร้างได้ตามที่คุณต้องการ แต่ในกรณีนี้ เราจะสร้างโดยดําเนินการ SQL ใน Workbench ในกรณีนี้เราวางแผนที่จะตั้งค่าการเข้ารหัสแบบโปร่งใสสําหรับตารางดังนั้นเราจะสร้างฐานข้อมูลตามปกติ

CREATE DATABASE `test_database`

โต๊ะยังทําตามปกติ เนื้อหาของคอลัมน์สามารถเป็นอะไรก็ได้

CREATE TABLE `plain_user` (
  `id` int NOT NULL,
  `name` varchar(32) ,
  `age` int ,
  `address` varchar(256) ,
  `phone` varchar(32) ,
  `email` varchar(128) ,
  `remarks` varchar(1024) ,
  `height` decimal(5, 2) ,
PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci;

ฉันจะใส่บันทึกแบบสุ่มเพื่อตรวจสอบการเข้ารหัส

INSERT INTO `test_database`.`plain_user` (`id`,`name`,`age`,`address`,`phone`,`email`,`remarks`,`height`) VALUES ('1','名前1','11','宮城県仙台市1','000-0000-0001','example1@example.com','備考1','170.00');
INSERT INTO `test_database`.`plain_user` (`id`,`name`,`age`,`address`,`phone`,`email`,`remarks`,`height`) VALUES ('2','名前2','12','宮城県仙台市2','000-0000-0002','example2@example.com','備考2','171.01');
INSERT INTO `test_database`.`plain_user` (`id`,`name`,`age`,`address`,`phone`,`email`,`remarks`,`height`) VALUES ('3','名前3','13','宮城県仙台市3','000-0000-0003','example3@example.com','備考3','172.02');
INSERT INTO `test_database`.`plain_user` (`id`,`name`,`age`,`address`,`phone`,`email`,`remarks`,`height`) VALUES ('4','名前4','14','宮城県仙台市4','000-0000-0004','example4@example.com','備考4','173.03');
INSERT INTO `test_database`.`plain_user` (`id`,`name`,`age`,`address`,`phone`,`email`,`remarks`,`height`) VALUES ('5','名前5','15','宮城県仙台市5','000-0000-0005','example5@example.com','備考5','174.04');
INSERT INTO `test_database`.`plain_user` (`id`,`name`,`age`,`address`,`phone`,`email`,`remarks`,`height`) VALUES ('6','名前6','16','宮城県仙台市6','000-0000-0006','example6@example.com','備考6','175.05');
INSERT INTO `test_database`.`plain_user` (`id`,`name`,`age`,`address`,`phone`,`email`,`remarks`,`height`) VALUES ('7','名前7','17','宮城県仙台市7','000-0000-0007','example7@example.com','備考7','176.06');
INSERT INTO `test_database`.`plain_user` (`id`,`name`,`age`,`address`,`phone`,`email`,`remarks`,`height`) VALUES ('8','名前8','18','宮城県仙台市8','000-0000-0008','example8@example.com','備考8','177.07');
INSERT INTO `test_database`.`plain_user` (`id`,`name`,`age`,`address`,`phone`,`email`,`remarks`,`height`) VALUES ('9','名前9','19','宮城県仙台市9','000-0000-0009','example9@example.com','備考9','178.08');
INSERT INTO `test_database`.`plain_user` (`id`,`name`,`age`,`address`,`phone`,`email`,`remarks`,`height`) VALUES ('10','名前10','20','宮城県仙台市10','000-0000-0010','example10@example.com','備考10','179.09');

เมื่อคุณสร้างฐานข้อมูลหรือตาราง ฐานข้อมูลหรือตารางนั้นจะถูกสร้างขึ้นในโฟลเดอร์ต่อไปนี้ตามค่าเริ่มต้น

C : \\ ProgramData \\ MySQL \\ MySQL Server 8.0 \\ ข้อมูล

ProgramData โฟลเดอร์ถูกซ่อนไว้ดังนั้นทําให้มองเห็นได้ในการตั้งค่า Explorer

มีโฟลเดอร์ที่มีชื่อของฐานข้อมูลที่คุณสร้างในโฟลเดอร์ดังนั้นให้เปิด

ข้างในมีแฟ้มแบบตารางต่อโต๊ะ

เปิดไฟล์นี้ในโปรแกรมแก้ไขข้อความ เช่น Notepad เนื่องจากเป็นไฟล์ไบนารีฉันคิดว่าโดยพื้นฐานแล้วมีบรรทัดข้อความที่ฉันไม่เข้าใจดี หากคุณดูที่ด้านล่างคุณจะเห็นข้อความของบันทึกที่ลงทะเบียน

หากไม่ได้เข้ารหัสด้วยวิธีนี้เนื้อหาของเรกคอร์ดจะเป็นที่รู้จักแม้ว่าไฟล์จะถูกเปิดโดยตรง คุณไม่จําเป็นต้องเข้าสู่ระบบฐานข้อมูลเพื่อทราบว่ามีอะไรอยู่ข้างใน

การกําหนดการตั้งค่าการเข้ารหัสแบบโปร่งใส

หากต้องการเปิดใช้งานการเข้ารหัสแบบโปร่งใส คุณต้องติดตั้งปลั๊กอิน ขั้นแรก ให้ตรวจสอบว่าปลั๊กอินรวมอยู่ในคําสั่งหรือไม่

เริ่มต้นด้วยการเลือก "MySQL 8.0 Command Line Client" จากเมนูเริ่ม

หลังจากป้อนรหัสผ่านและเข้าสู่ระบบแล้ว ให้ป้อนคําสั่งต่อไปนี้:

SELECT PLUGIN_NAME,PLUGIN_STATUS FROM INFORMATION_SCHEMA.PLUGINS WHERE PLUGIN_NAME LIKE 'keyring%';

เนื่องจากคุณยังไม่ได้ติดตั้ง จึงควรว่างเปล่า

ตอนนี้เรามาตั้งค่าปลั๊กอินกัน ขั้นแรก ให้สร้างโฟลเดอร์ต่อไปนี้: ในความเป็นจริงไม่สําคัญว่าคุณจะสร้างมันขึ้นมาที่ไหนหรือชื่ออะไร ระบุเป็นตําแหน่งที่คุณต้องการบันทึกไฟล์คีย์ในภายหลัง

C:\ProgramData\MySQL\mysql-พวงกุญแจ

จากนั้นเปิดไฟล์ต่อไปนี้ในโปรแกรมแก้ไขข้อความ:

C : \\ ProgramData \\ MySQL \\ MySQL Server 8.0 \\ my.ini

เพิ่มข้อความต่อไปนี้ลงในพื้นที่ว่างที่ด้านล่างและบันทึก ถ้าคุณไม่สามารถบันทึกด้วยสิทธิ์ของผู้ดูแลระบบ คุณสามารถบันทึกไปยังตําแหน่งอื่นแล้วเขียนทับไฟล์ได้

early-plugin-load=keyring_file.dll
keyring_file_data=C:\ProgramData\MySQL\mysql-keyring\keyring

เริ่มบริการ MySQL ใหม่ คุณยังสามารถรีสตาร์ทได้ด้วยคําสั่ง

เมื่อคุณรีสตาร์ทไฟล์จะถูกสร้างขึ้นโดยอัตโนมัติในโฟลเดอร์ที่ระบุ

คุณสามารถตรวจสอบได้ว่ามีการติดตั้งปลั๊กอินแล้ว โดยการเรียกใช้คําสั่งตรวจสอบปลั๊กอินอีกครั้ง

SELECT PLUGIN_NAME,PLUGIN_STATUS FROM INFORMATION_SCHEMA.PLUGINS WHERE PLUGIN_NAME LIKE 'keyring%';

การสร้างตารางที่เข้ารหัสลับ

ตอนนี้เรามาสร้างตารางที่เข้ารหัส สร้างตารางที่คล้ายกับตารางก่อนหน้า แต่คราวนี้เพิ่ม ENCRYPTION='Y' ตัวเลือก การตั้งค่าการเข้ารหัสนี้ดูเหมือนจะไม่สามารถทําได้ใน GUI ในขณะนี้ ดังนั้นจึงต้องตั้งค่าด้วยคําสั่ง

CREATE TABLE `encrypt_user` (
  `id` int NOT NULL,
  `name` varchar(32) ,
  `age` int ,
  `address` varchar(256) ,
  `phone` varchar(32) ,
  `email` varchar(128) ,
  `remarks` varchar(1024) ,
  `height` decimal(5, 2) ,
PRIMARY KEY (`id`)
) ENCRYPTION='Y' ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci;

อย่างไรก็ตามก่อนที่จะกําหนดค่าปลั๊กอินแม้ว่าคุณจะพยายามสร้างตารางที่เข้ารหัสข้อผิดพลาดต่อไปนี้จะปรากฏขึ้น
Can't find master key from keyring, please check in the server log if a keyring is loaded and initialized successfully.
キーリングからマスターキーが見つかりません。キーリングが正常にロードされ、初期化されているかどうかをサーバーログで確認してください。

หากคุณไม่มีข้อมูลใด ๆ คุณไม่รู้ว่ามันถูกเข้ารหัสหรือไม่ดังนั้นฉันจะพยายามใส่ข้อมูลเดียวกัน

INSERT INTO `test_database`.`encrypt_user` (`id`,`name`,`age`,`address`,`phone`,`email`,`remarks`,`height`) VALUES ('1','名前1','11','宮城県仙台市1','000-0000-0001','example1@example.com','備考1','170.00');
INSERT INTO `test_database`.`encrypt_user` (`id`,`name`,`age`,`address`,`phone`,`email`,`remarks`,`height`) VALUES ('2','名前2','12','宮城県仙台市2','000-0000-0002','example2@example.com','備考2','171.01');
INSERT INTO `test_database`.`encrypt_user` (`id`,`name`,`age`,`address`,`phone`,`email`,`remarks`,`height`) VALUES ('3','名前3','13','宮城県仙台市3','000-0000-0003','example3@example.com','備考3','172.02');
INSERT INTO `test_database`.`encrypt_user` (`id`,`name`,`age`,`address`,`phone`,`email`,`remarks`,`height`) VALUES ('4','名前4','14','宮城県仙台市4','000-0000-0004','example4@example.com','備考4','173.03');
INSERT INTO `test_database`.`encrypt_user` (`id`,`name`,`age`,`address`,`phone`,`email`,`remarks`,`height`) VALUES ('5','名前5','15','宮城県仙台市5','000-0000-0005','example5@example.com','備考5','174.04');
INSERT INTO `test_database`.`encrypt_user` (`id`,`name`,`age`,`address`,`phone`,`email`,`remarks`,`height`) VALUES ('6','名前6','16','宮城県仙台市6','000-0000-0006','example6@example.com','備考6','175.05');
INSERT INTO `test_database`.`encrypt_user` (`id`,`name`,`age`,`address`,`phone`,`email`,`remarks`,`height`) VALUES ('7','名前7','17','宮城県仙台市7','000-0000-0007','example7@example.com','備考7','176.06');
INSERT INTO `test_database`.`encrypt_user` (`id`,`name`,`age`,`address`,`phone`,`email`,`remarks`,`height`) VALUES ('8','名前8','18','宮城県仙台市8','000-0000-0008','example8@example.com','備考8','177.07');
INSERT INTO `test_database`.`encrypt_user` (`id`,`name`,`age`,`address`,`phone`,`email`,`remarks`,`height`) VALUES ('9','名前9','19','宮城県仙台市9','000-0000-0009','example9@example.com','備考9','178.08');
INSERT INTO `test_database`.`encrypt_user` (`id`,`name`,`age`,`address`,`phone`,`email`,`remarks`,`height`) VALUES ('10','名前10','20','宮城県仙台市10','000-0000-0010','example10@example.com','備考10','179.09');

encrypt_user เนื่องจากไฟล์ตารางถูกสร้างขึ้นมาตรวจสอบเนื้อหากัน

แฟ้มถูกเข้ารหัสลับ และไม่สามารถตรวจสอบเนื้อหาของเรกคอร์ดได้

ในขณะนี้ คุณไม่ต้องกังวลว่าบุคคลที่สามจะอ่านบันทึกภายในอีกต่อไปเพียงแค่ลงชื่อเข้าใช้เซิร์ฟเวอร์และขโมยไฟล์ตารางโดยตรง ไม่จําเป็นต้องเปลี่ยนการใช้งานเลย ดังนั้นฉันคิดว่ามันเป็นการตั้งค่าความปลอดภัยที่ง่าย

อย่างไรก็ตาม หากคุณเข้าสู่ระบบฐานข้อมูล คุณสามารถดูข้อมูลได้ตามปกติ หากคุณต้องการเพิ่มระดับความปลอดภัยคุณต้องจัดการบัญชีเข้าสู่ระบบฐานข้อมูลให้ดีและแนะนํากลไกการเข้ารหัสแยกต่างหาก

แปลงเป็นตารางที่เข้ารหัสไปพร้อมกัน

หากคุณสร้างตารางที่ไม่ได้เข้ารหัสในตอนแรก คุณสามารถแปลงเป็นตารางที่เข้ารหัสได้ในภายหลัง ในกรณีนั้น คุณสามารถแปลงด้วย SQL ต่อไปนี้:

use <データベース名>;
ALTER TABLE <テーブル名> ENCRYPTION='Y';

ตัวอย่าง

use test_database;
ALTER TABLE plain_user ENCRYPTION='Y';

อย่างไรก็ตาม โปรดทราบว่าจะใช้เวลาหากมีระเบียนจํานวนมาก เนื่องจากไฟล์ตารางทั้งหมดจะถูกเขียนใหม่

การสํารองและกู้คืนฐานข้อมูล MySQL (เวอร์ชัน Windows)