#数据安全网关(云访问安全代理)
免应用改造字段级加密解决方案
什么是云访问安全代理(CASB)
云访问安全代理(CASB,Cloud Access Security Broker)是一种网络安全技术,它部署在用户和云服务之间,用于监控和过滤用户对云应用和服务的访问。通过实时监测和分析用户行为、数据流动等信息,CASB能够及时发现并阻止潜在的安全威胁,保护企业数据和云应用的安全性。
举例:腾讯云为企业用户提供了一种名为“腾讯云访问管理(Cloud Access Management,CAM)”的CASB服务。CAM能够帮助企业实现精细化的访问控制,通过创建、管理和分发用户身份和权限,确保用户只能访问特定的云资源和应用,从而降低安全风险。此外,CAM还支持多因素认证(MFA)、日志审计等安全功能,为企业提供全面的安全防护。... 展开详请
应用读取加密字段时失败或返回密文?全量解密任务无法解密字段?
已采纳
现象:无法解密已加密的数据字段。
原因:已加密数据的加密策略被删除,加解密使用非同一个密钥、算法。
操作步骤:
为被删除策略的数据表设置新的策略:当数据修复完成后,系统会根据新的策略进行数据的加密,然后可通过 Proxy 连接获取明文。
策略设置完成后,再进行创建数据修复类型的全量任务。... 展开详请
如何统计数据库中存在的明文数据数量?
已采纳
现象:已配置加密策略的数据库中,某字段存在明文数据。
原因:①配置了加密策略,但字段未加密成功; ②通过非代理情况连接数据库,写入了明文数据。
操作步骤:
为存在明文数据的数据库配置原有的策略。
任务完成后,查看任务执行详情 > 执行结果,其中:
结果展示的格式为:db.table.column: num(数据库名:表名:字段名: 明文数量)。
例如:d1.t1.c1: 10(说明数据库 d1,表 t1 的字段 c1 有10条明文记录)。... 展开详请
云访问安全代理中的密钥如何管理?
已采纳
云访问安全代理的密钥由 密钥管理系统 管理,采用三级密钥管理机制,根密钥由硬件加密机生成和存储,由跟密钥生成 用户主密钥 (CMK),最终基于用户主密钥生成数据加密密钥 DEK,对应用数据进行加解密。
云访问安全代理何时会调用 KMS?
已采纳
- 在控制台上创建工作密钥时会调用 KMS。
- 在实时加解密、全量加解密等使用工作密钥的场景会调用 KMS,代理节点会在内存中缓存工作密钥,同一代理节点同一工作密钥在缓存有效期内只会调用一次。
加密后的密文字段长度怎么计算?
已采纳
明文数据加密时,密文需要保存数据内容、校验数据等信息,明文加密后的密文长度会有较大的增长,若数据库字段长度不足,可能导致明文无法加密、密文数据被截断、密文无法解密等问题,在实施数据加密前需要着重考虑字段长度的扩展,并为字段设置不小于最大密文大小的长度。
加密后密文数据长度可使用 密文长度计算 工具计算。
加解密失败、脱敏失败、数据截断等事件可前往 监控日志 页面查看。
加解密失败、脱敏失败、数据截断等事件可参见 事件告警规则 配置告警。!工具中待输入明文长度为字符串 utf8编码的字节数,而非字符数。... 展开详请
数据库支持加密哪些字段类型?
已采纳
- MySQL 支持的字段类型详情,请参见 MySQL。
- PostgreSQL 支持的字段类型详情,请参见 PostgreSQL。
- MongoDB 支持的字段类型详情,请参见 MongoDB。
数据库中的存量数据,在数据库中明文存储,应该如何处理?
表结构变更后,加解密策略没有同步更新?
若密文长度超过字段定义长度要如何处理?
已采纳
问题特征:2020-08-17 15:35:39 [ERROR] com.tencent.cloud.aoe.plugin.engine.wrapper.PreparedStatementWrapper - 密文长度超过字段定义长度,将存入明文!字段: orders.payer_phone, 定义长度: 20, 实际长度: 63
com.ciphergateway.ciphersuite.CipherSuiteException: 密文长度超过字段定义长度,将存入明文!字段: orders.payer_phone, 定义长度: 20, 实际长度: 63
解决方案:
1. 根据加密长度计算公式对数据库字段扩容。
2. 重新提取数据库格式,并在 CASB 管理平台的策略管理页面,找到对应数据源,并在数据源详情中更新对应表结构信息。
3. (可选)若问题依然出现,请 联系我们 进行排查处理。... 展开详请
若出现调用加密算法错误要如何处理?
已采纳
问题特征:插件异常日志:2020-08-18 15:00:41 [ERROR] com.tencent.cloud.aoe.plugin.engine.wrapper.ResultSetWrapper - 调用解密算法发生错误!密文:MDFCVTFZoWSGuk************oF5BAGDLk5+WoyZPI22kWzkxpAVrMz8xwkSOxb, algorithm: AES_GCM, keyId: 129*********1808513, metadata: f0e7****************b867d02c6d88, iv: 5baf***********5b97c66e55d3ff1b1
com.ciphergateway.ciphersuite.CipherSuiteException: 调用解密算法发生错误!密文:MDFCVTFZoWSGuk************oF5BAGDLk5+WoyZPI22kWzkxpAVrMz8xwkSOxb, algorithm: AES_GCM, keyId: 129*********1808513, metadata: f0e7****************b867d02c6d88, iv: 5baf***********5b97c66e55d3ff1b1
at com.ciphergateway.aoe.tools.CryptoUtil.decrypt(CryptoUtil.java:128)
解决方案:
- 检查环境变量是否配置正确。
- 检查 SDK 是否匹配。... 展开详请
若在执行 SQL 语句过程中,出现“UndefinedSqlTableException”异常如何处理?
已采纳
问题特征:2020-08-14 14:17:08 [INFO] com.tencent.cloud.aoe.plugin.core.AOETableStructure - Request of https://#{ip}:443/sem/v1/aoe/get-table-structure: {"dbContextId":"1288******91648513","version":0}
2020-08-14 14:17:08 [INFO] com.ciphergateway.aoe.tools.HttpClient - 当前占位符#{ip}所指ip为:172.xx.xxx.19
2020-08-14 14:17:21 [ERROR] com.tencent.cloud.aoe.plugin.core.AOEInformation - Undefined table:tables
com.tencent.cloud.aoe.plugin.sql.exception.UndefinedSqlTableException: Undefined table:tables
at com.tencent.cloud.aoe.plugin.sql.analyze.OriginalSqlTable.init(OriginalSqlTable.java:13)
at com.tencent.cloud.aoe.plugin.sql.analyze.OriginalSqlTable.<init>(OriginalSqlTable.java:30)
at com.tencent.cloud.aoe.plugin.sql.analyze.SqlTableBuilder.build(SqlTableBuilder.java:17)
解决方案:
- 检查日志中 SQL 语句具体错误信息。
- 检查被测应用中的 SQL 语句是否符合支持的规格。... 展开详请
若在执行 SQL 语句过程中,出现“UndefinedSqlColumnException”异常如何处理?
已采纳
问题特征:2020-08-14 14:51:07 [ERROR] com.tencent.cloud.aoe.plugin.core.AOEInformation - Undefined Column: 1 AS id
com.tencent.cloud.aoe.plugin.sql.exception.UndefinedSqlColumnException: Undefined Column: 1 AS id
at com.tencent.cloud.aoe.plugin.sql.analyze.SqlTableAdaptor.getColumn(SqlTableAdaptor.java:58)
at com.tencent.cloud.aoe.plugin.sql.analyze.SqlTableAdaptor.select(SqlTableAdaptor.java:130)
at com.tencent.cloud.aoe.plugin.sql.SqlTableAnalyzeVisitor.visit(SqlTableAnalyzeVisitor.java:125)
解决方案:
- 检查日志中 SQL 语句具体错误信息。
- 检查被测应用中的 SQL 语句是否符合支持的规格。... 展开详请
VPC 中存在一个被 CASB 占用的`/20`网段子网?
已采纳
CASB新增云服务器(CVM)上自建的元数据时,需要在 CASB 代理和 CVM 之间建立一个专用网络连接,会默认创建VPC一个子网来打通网络连接。删除释放已绑定此 CVM 的元数据后,才可以删除和释放此子网。
? 可创建一个 CLB 绑定到 CVM 上,新增自建元数据时,选择绑定 CLB 到 CASB,通过这种方式绑定的元数据不会创建子网。... 展开详请
如何查看 CASB 日志?
已采纳
打开客户端工具目录下的 cg-casb.properties 文件,查看 LOG_PATH 字段:LOG_PATH=/opt/casb/logs/1294182275314880513
客户端工具初始化失败如何处理?
已采纳
问题特征:
java.lang.RuntimeException: SMCipher init result error, result is -1
解决方案:
1. 查看系统日志文件 /var/log/messages,查看 OPENSSL_ENGINES 环境变量所对应的路径,确认路径是否正确,若不正确,需填写正确路径。
2. 若路径正确,检查 OPENSSL_ENGINES 路径下是否存在 LICENSE 文件,若不存在,需重新安装客户端工具。
3. 若 OPENSSL_ENGINES 路径下存在 LICENSE 文件,确认系统时间是否调整,如果有调整,需重新下载安装客户端工具。
4. 若系统时间没有调整,确认当前用户对 LICENSE 是否有读写权限,若没有,请添加读写权限。
5. 若前用户对 LICENSE 有读写权限,请检查 jar 包是否正确。
6. 若上述情况均正确,依然发生错误依旧,请 联系我们 进行排查。... 展开详请
jni 库初始化失败如何处理?
已采纳
问题特征:
Exception in thread "main" java.lang.UnsatisfiedLinkError: /opt/casb/CipherSuite_Sdk/lib/CipherSuite_Sdk/libCSCipherJNI-release-2.2.7.so: libCipherSuite_Sdk.so: cannot open shared object file: No such file or directory
解决方案:
- 检查环境变量 LD_LIBRARY_PATH 所设置的路径是否正确。
- 检查 libCSCipherJNI-release-2.2.7.so 文件依赖库是否正确,例如 ldd libCSCipherJNI-release-2.2.7.so。... 展开详请
如遇网络问题要如何处理?
如遇证书问题要如何处理?
已采纳
问题特征:
-9002: The certificate isn't authoriazed by KMS
解决方案:
- 检查证书是否正确,若不正确,重装客户端恢复证书。
- 如果无法确认该错误,而仍然产生9002错误,则重新签发证书。
- OpenSSL 版本(1.1.1)过高导致,导致 SSL alert number 50,需要替换为 OpenSSL 版本(1.0.2)。... 展开详请
如遇解密相关问题要如何处理?
已采纳
问题特征1:
-9301: The format of encrypted message is not valid
解决方案:
查看密文格式是否正确,或 联系我们 进行排查。
问题特征2:
-9302: Verify MAC failed
解决方案:
- 检查密文是否被篡改。
- 检查加密算法与解密算法是否一致。
- 检查传入的 key 值是否正确。
问题特征3:
-9303: Decryption failed
解决方案:
查看插件日志中的具体错误信息。... 展开详请
腾讯云开发者
