可查询加密
简介
可查询加密允许执行以下任务:
从客户端加密敏感数据字段。
将敏感数据字段以完全随机化的加密数据形式存储在数据库服务器端。
对加密数据运行表达性查询。
这些任务都是在服务器不了解其正在处理的数据的情况下完成的。
敏感数据在其整个生命周期内(传输中、静态存储时、使用中、日志中、备份中)都被加密,只有在客户端才会被解密,因为只有您有权访问加密密钥。
Queryable Encryption 引入了业内首创的快速可搜索加密方案,此方案由加密搜索领域的先驱开发。此功能支持等值搜索,并计划在未来版本中支持更多查询类型,例如范围、前缀、后缀和子字符串查询。
您可以使用以下机制设置可查询加密:
自动加密:让您能够执行加密读写操作,而无需编写代码来指定如何加密字段。
显式加密:让您能够通过 MongoDB 驱动程序的加密库执行加密读写操作。您必须在整个应用程序中指定使用此库进行加密的逻辑。
考虑因素
在实施使用 Queryable Encryption 的应用程序时,请考虑安全注意事项中列出的要点。
有关其他限制,请参阅可查询加密限制。
兼容性
下表展示了不同 MongoDB Server 产品分别支持哪些 Queryable Encryption 机制:
产品名称 | 支持自动加密 | 支持显式加密 |
|---|---|---|
MongoDB Atlas | 是 | 是 |
MongoDB Enterprise Advanced | 是 | 是 |
MongoDB Community Edition | 否 | 是 |
要了解哪些 MongoDB 驱动程序支持 Queryable Encryption,请参阅 Queryable Encryption 兼容性。
MongoDB 支持限制
在集合上启用 Queryable Encryption 会导致某些诊断命令中的字段被脱敏,并且查询日志中会省略一些操作。这限制了 MongoDB 的支持工程师获取可用的数据,特别是在分析查询性能时。要衡量操作对加密集合的影响,可使用第三方应用程序性能监控工具来收集指标。
有关详细信息,请参阅日志校订。
功能
要了解 Queryable Encryption 为应用程序带来的安全优势,请参阅功能页面。
安装
要了解使用 Queryable Encryption 必须安装哪些工具,请参阅安装要求页面。
快速入门
要开始使用 Queryable Encryption,请参阅快速入门。
基础知识
如需了解可查询加密的工作原理和设置方法,请参阅“基础知识”部分。
基础部分包含以下页面:
教程
要了解如何使用 Queryable Encryption 执行特定任务,请参阅教程部分。
参考
要学习如何开发启用了 Queryable Encryption 的应用程序,请参阅参考资料部分。
参考资料部分包含以下页面: