可查询加密
简介
可查询加密允许执行以下任务:
从客户端加密敏感数据字段。
将敏感数据字段以完全随机化的加密数据形式存储在数据库服务器端。
对加密数据运行表达性查询。
这些任务都是在服务器不了解其正在处理的数据的情况下完成的。
敏感数据在其整个生命周期内(传输中、静态存储时、使用中、日志中、备份中)都被加密,只有在客户端才会被解密,因为只有您有权访问加密密钥。
可Queryable Encryption引入了业界首个快速可搜索加密方案,该方案由加密搜索领域的先驱者开发。 该功能支持相等和范围搜索,并计划在未来版本中提供其他查询类型,例如前缀、后缀和子字符串。
您可以使用以下机制设置可查询加密:
自动加密:让您能够执行加密读写操作,而无需编写代码来指定如何加密字段。
显式加密:让您能够通过 MongoDB 驱动程序的加密库执行加密读写操作。您必须在整个应用程序中指定使用此库进行加密的逻辑。
Considerations
在实现使用可查询加密的应用程序时,请考虑安全注意事项中列出的几点。
有关其他限制,请参阅 Queryable Encryption 限制。
兼容性
下表展示了不同 MongoDB Server 产品分别支持哪些 Queryable Encryption 机制:
产品名称 | 支持自动加密 | 支持显式加密 |
|---|---|---|
MongoDB Atlas | Yes | Yes |
MongoDB Enterprise Advanced | Yes | Yes |
MongoDB Community Edition | No | Yes |
要了解哪些 MongoDB 驱动程序支持 Queryable Encryption,请参阅 Queryable Encryption 兼容性。
MongoDB 支持限制
在集合上启用 Queryable Encryption 会导致某些诊断命令中的字段被脱敏,并且查询日志中会省略一些操作。这限制了 MongoDB 的支持工程师获取可用的数据,特别是在分析查询性能时。要衡量操作对加密集合的影响,可使用第三方应用程序性能监控工具来收集指标。
有关详细信息,请参阅日志校订。
功能
要了解 Queryable Encryption 为应用程序带来的安全优势,请参阅功能页面。
安装
要了解使用 Queryable Encryption 必须安装哪些工具,请参阅安装要求页面。
快速入门
要开始使用 Queryable Encryption,请参阅快速入门。
Fundamentals
如需了解可查询加密的工作原理和设置方法,请参阅“基础知识”部分。
基础部分包含以下页面:
Tutorials
要了解如何使用 Queryable Encryption 执行特定任务,请参阅教程部分。
参考
要学习如何开发启用了 Queryable Encryption 的应用程序,请参阅参考资料部分。
参考资料部分包含以下页面: