分布式数据库的安全策略不能简单套用单机数据库的防护思路,需围绕数据分布、节点自治、网络通信和一致性协议等特性设计。核心是“分层控制、动态验证、最小权限、端到端可审计”。
节点身份与通信加密必须强制启用
各数据库节点(如tidb的TiKV、CockroachDB的Node)在集群内互信前,需完成双向TLS认证。禁用明文rpc或http管理接口;所有跨节点数据同步、心跳、事务协调流量必须走mTLS通道。配置时注意:证书需绑定节点IP+主机名,CA根证书须独立于业务密钥体系管理,轮换周期建议≤90天。
- 例如TiDB中,启动TiKV时需显式指定–cert-path、–key-path和–ca-path,且PD组件也需对应开启–client-secure
- CockroachDB默认启用TLS,但需确认–advertise-host与证书SAN一致,否则客户端连接会因主机名不匹配失败
跨节点敏感操作需统一鉴权与审计溯源
用户执行DDL、备份、权限变更等高危操作时,不能仅依赖单节点本地账号体系。应通过中心化元数据服务(如TiDB的Privilege Manager、YugabyteDB的Ysql ACL)同步授权策略,并将审计日志实时写入独立安全存储(如Syslog服务器或SIEM平台),而非本地磁盘。
- 避免使用GRANT ALL ON *.*,按租户/业务域划分角色,例如为报表服务账号仅开放select和USAGE权限
- 开启细粒度审计:TiDB设置audit-log.enable=true并配置audit-log.Filter-types包含Connect,Query,DDL;CockroachDB使用SET CLUSTER SETTING audit.log.enabled = true
分片数据静态加密需按租户隔离密钥
分布式数据库通常支持TDE(Transparent Data Encryption),但密钥管理必须支持多租户场景。不能所有分片共用同一主密钥(Master Key),而应为每个逻辑租户或关键业务表空间分配独立密钥,并由外部KMS(如HashiCorp Vault、阿里云KMS)托管。加密粒度建议至少到Region(TiDB)或Range(CockroachDB)级别。
- TiDB v7.1+支持CREATE table … ENCRYPTION=’Y’,但需提前在PD配置中启用encryption.data-encryption-method并关联KMS插件
- YugabyteDB中,启用TDE需在启动tserver时加入–enable_ysql_tde=true,并通过yb-admin工具为特定tablegroup绑定密钥ID
故障恢复与备份过程不可绕过安全校验
分布式环境下的备份(如BR工具、CockroachDB dump)和恢复操作,常因性能压力被默认关闭校验。这会导致恶意篡改的备份包被还原,引发数据污染。必须强制开启备份完整性签名(如SHA256+RSA签名)和恢复前自动校验,且签名密钥与数据库运行密钥物理隔离。
- BR备份时添加–checksum=true –send-credentials-to-tikv=true,确保备份文件含校验块且TiKV参与验证
- CockroachDB恢复前,先用cockroach debug zip提取元数据快照比对,再执行IMPORT INTO时启用WITH skip_foreign_keys, decompress=’gzip’等可控选项,禁用skip_constraints类高风险参数