PostgreSQL 透明数据加密 (TDE)

在数据库管理系统中，静态数据加密指对未被使用或访问的数据进行加密处理以保障安全，这一操作通常用于防止敏感数据被未授权访问或窃取。通过透明数据加密（TDE），加密过程对用户完全透明，用户可像往常一样访问和操作数据，无需关注加密与解密的具体流程。根据企业特定的安全需求，TDE 可应用于不同层级，如数据库级、列级或单元格级。实施 TDE 有助于确保敏感数据仅能被持有正确解密密钥的授权用户访问。

什么是透明数据加密（TDE）？

透明数据加密（TDE）是一种在存储层对数据进行加密的安全机制，可保护磁盘上数据库文件中包含的敏感数据。数据写入或读取存储介质时，TDE 会实时对其进行加密与解密，且无需修改应用程序代码。这一特性确保数据在静态状态下始终处于加密状态，为物理安全控制失效场景下的未授权访问提供了关键安全保障。

自诞生以来，TDE 的理念已发生显著演变，如今已成为各类平台数据库安全策略的标准组成部分。其最初设计目的是应对日益严峻的数据泄露风险与合规要求，而后续发展则反映了网络威胁的不断升级，以及需要对终端用户和应用程序透明的全面数据保护方案，这种需求正日益迫切。

TDE 能有效保护个人识别码、财务信息等敏感数据，帮助企业满足数据保护相关的法律法规要求。

透明数据加密（TDE）的优势

对于处理敏感信息的企业而言，透明数据加密（TDE）是一种高效的数据安全解决方案。TDE 通过对静态数据加密提供多层保护，确保数据免受未授权访问。以下为实施 TDE 的核心优势及其在全面安全策略中的作用：

1. 增强数据安全性

TDE 通过对磁盘上的数据库文件加密，大幅提升数据安全性，使未授权用户无法访问敏感数据。即便攻击者绕过网络安全措施获取存储介质的物理访问权限，加密状态的数据仍能保持安全，有效防范数据泄露与窃取风险。

2. 满足合规要求

众多行业需遵守严格的监管标准，这些标准强制要求对敏感数据进行保护。TDE 通过简洁的静态数据加密方案，帮助企业符合《通用数据保护条例》（GDPR）、《健康保险流通与责任法案》（HIPAA）、《支付卡行业数据安全标准》（PCI DSS）等规范。合规不仅能避免法律处罚，还能通过展现企业对数据安全的重视，增强客户信任。

3. 无缝集成

TDE 的一个核心优势是能无缝集成到现有数据库环境中，无需修改应用程序代码。这种便捷的集成方式简化了加密流程，企业无需对现有系统进行大幅改造，也不会影响终端用户体验，即可快速启用 TDE。

4. 集中化密钥管理

TDE 采用集中化方式管理加密密钥，简化了密钥的运维流程。这种方式确保密钥的安全存储与备份，且仅授权人员可访问密钥，最大限度降低密钥意外泄露或丢失的风险。同时，集中化管理还能简化密钥生命周期管理，便于执行安全策略与流程。

5. 对性能影响极小

尽管增加了加密层级，但 TDE 的设计目标是尽可能减少对数据库性能的影响。现代加密算法与硬件性能的提升，使数据加密与解密过程具备高效性，在实现数据安全的同时，仅会造成极小的性能损耗。这意味着企业无需牺牲系统性能或用户体验，即可提升数据安全性。

配置 pg_tde

要使用pg_tde进行数据加密，需先启用该扩展，并配置 PostgreSQL 在启动时加载它。此设置可确保加密操作所需的必要钩子和共享内存处于可用状态。

pg_tde 扩展需要额外的共享内存，因此需配置 PostgreSQL 在启动时预加载该扩展。

1. 配置 shared_preload_libraries 参数

可通过以下两种方式配置shared_preload_libraries参数：

方式一：修改 postgresql.conf 文件

在postgresql.conf文件中添加以下内容：

shared_preload_libraries = 'pg_tde'

方式二：使用 ALTER SYSTEM 命令

以超级用户身份在psql中执行以下命令：

ALTER SYSTEM SET shared_preload_libraries = 'pg_tde';

2. 重启 PostgreSQL 集群

重启 postgresql 集群以使配置生效。

• Debian 与 Ubuntu 系统：

  sudo systemctl restart postgresql.service
  

• RHEL 及衍生系统：

  sudo systemctl restart postgresql-18
  

3. 创建扩展

重启 PostgreSQL 后，以超级用户或数据库所有者身份连接psql，并执行以下命令：

CREATE EXTENSION pg_tde;

注意：pg_tde扩展仅在当前数据库中创建。若需为其他数据库启用该扩展，需在每个目标数据库中分别执行上述命令。

4. 默认启用 pg_tde（可选）

若希望所有新创建的数据库都自动启用 pg_tde，可修改template1模板数据库（PostgreSQL 中所有新数据库默认基于template1创建）：

psql -d template1 -c 'CREATE EXTENSION pg_tde;'

建议：推荐使用外部密钥管理服务（KMS，Key Management System）管理加密密钥。

透明数据加密（TDE）的应用场景

透明数据加密（TDE）在多种场景中对数据保护至关重要，为敏感信息提供额外安全层级。其应用场景广泛，不同领域对数据保护和隐私有各自的要求，以下为TDE的核心应用场景：

1. 金融服务行业的敏感数据保护

在金融服务行业，保护关键客户数据与交易信息至关重要。TDE 通过对静态数据（包括账户详情、交易记录、个人识别数据）加密，降低数据泄露与金融欺诈风险。作为数据安全策略的基础环节，TDE 为大量敏感数据的安全处理与存储提供可靠保障。

2. 医疗行业的数据安全

医疗行业处理的患者信息极具敏感性，数据安全是首要任务。TDE 帮助医疗机构对患者病历（包括病史、治疗方案、个人标识信息）进行加密，防止未授权访问。这不仅能保护患者隐私，还能帮助医疗服务提供者符合HIPAA等数据保护标准。

3. 云数据存储

TDE 为云存储数据提供无缝加密解决方案，数据存储到云端前先经过加密处理，无论云服务商的底层安全措施如何，都能防止未授权访问，确保敏感信息的隐私性。

4. 跨行业合规需求

众多行业受监管标准约束，这些标准强制要求对敏感数据加密。TDE 通过加密静态数据，帮助企业满足 GDPR、PCI DSS 等法规要求，避免因不合规面临罚款或处罚。

参考

pg_tde：https://github.com/percona/pg_tde