MongoDB中的客戶端字段級加密（CSFLE）通過五個關(guān)鍵步驟設(shè)置。首先，使用OpenSL生成96字節(jié)本地加密密鑰，然後安全地存儲。其次，確保您的MongoDB驅(qū)動程序支持CSFLE並安裝任何必需的依賴項，例如MongoDB Crypt共享庫。第三，以JSON格式定義自動加密架構(gòu)，指定要加密的字段及其加密方法。第四，使用AutoCoctryptiveOpts配置MongoDB客戶端，以引用密鑰文件和架構(gòu)映射，從而在插入和查詢操作過程中啟用自動加密。第五，實施安全的密鑰管理實踐，包括計劃遷移到公里，避免了硬編碼鑰匙，並在必要時管理手動密鑰旋轉(zhuǎn)。遵循以下步驟確保敏感數(shù)據(jù)在離開應(yīng)用程序保護隱私和合規(guī)性的情況下加密敏感數(shù)據(jù)，而無需將未加密的數(shù)據(jù)暴露到數(shù)據(jù)庫中。

MongoDB中的設(shè)置和管理客戶端字段級加密（CSFLE），可以通過加密敏感字段在離開您的應(yīng)用程序之前對數(shù)據(jù)安全性進行精細(xì)的控制。這意味著數(shù)據(jù)庫永遠不會看到未加密的數(shù)據(jù)，這對於合規(guī)性和隱私非常有用。但這不是插件 - 有幾個步驟可以正確。

生成本地密鑰並設(shè)置您的環(huán)境

在開始加密任何內(nèi)容之前，您需要一個加密密鑰。使用CSFLE，此鑰匙停留在您身邊 - 因此“客戶端”。您可以使用openssl這樣的工俱生成96字節(jié)的本地密鑰：

 openssl rand 96> master-key.bin

該文件將用作您的本地密鑰。確保將其安全存儲 - 它是加密設(shè)置的根源。

接下來，確保您的MongoDB驅(qū)動程序支持CSFLE。 Node.js，Python，Java等的官方驅(qū)動程序確實支持它，但是您可能需要安裝其他依賴項或庫，例如MongoDB Crypt共享庫。

定義您的加密模式

CSFLE要求您提前定義要加密的字段以及如何加密。這是通過稱為自動加密模式的特殊模式來完成的。您以JSON格式指定此內(nèi)容，將收集名稱空間映射到其加密字段。

這是一個名為mydb.persons的集合的基本示例，我們想使用AEAD_AES_256_CBC_HMAC_HMAC_SHA_SHA_SHA_SHA_512-DETERMINISTISTE加密來加密ssn字段：

 {
  “ mydb.persons”：{
    “特性”： {
      “ SSN”：{
        “加密”：{
          “ bsontype”：“ string”，
          "演算法":"
        }
      }
    }，，
    “必需”：[“ SSN”]
  }
}

配置MongoDB客戶端時，您將引用此模式。加密會在插入和查詢操作過程中自動發(fā)生 - 假設(shè)其他所有內(nèi)容都正確設(shè)置。

使用自動加密設(shè)置配置MongoDB客戶端

準(zhǔn)備好鍵並準(zhǔn)備好架構(gòu)後，您需要配置MongoDB客戶端以使用它們。

在代碼中，這通常涉及設(shè)置指向您的密鑰文件和架構(gòu)映射的AutoEncryptionOpts對象。這是Python中的簡化示例：

來自Pymongo進口雜種
來自pymongo.Encryption_options導(dǎo)入自動關(guān)聯(lián)opts

auto_encryption_opts = autoConcryptimatptionOpts（
    KEY_VAULT_NAMESPACE =“ eNcryption .__ keyVault”，
    kms_providers = {“ local”：{“鍵”：open（“ master-key.bin”，“ rb”）。 read（）}}，
    schema_map =架構(gòu)＃架構(gòu)命令
）

客戶端= mongoclient（auto_encryption_opts = auto_encryption_opts）

使用此設(shè)置，將其插入mydb.persons將在將其發(fā)送到服務(wù)器之前自動加密ssn字段。 ssn的查詢也將自動解密。

請記?。?/p>

• 除非加密是確定性的，否則加密字段上的索引將無法工作。
• 您必須仔細(xì)管理模式 - 如果模式缺少字段，則不會加密。
• 不要丟失加密密鑰 - 沒有它，您的數(shù)據(jù)就變得不可讀。

仔細(xì)處理密鑰管理並旋轉(zhuǎn)鍵

雖然本指南使用本地密鑰來簡單，但實際設(shè)置經(jīng)常使用鍵管理服務(wù)（KMS），例如AWS KMS或Azure密鑰庫。這些提供更好的鍵旋轉(zhuǎn)，審核和訪問控制。

如果您是從本地密鑰開始的，請計劃最終遷移到公里。另外，請勿在應(yīng)用程序中的硬碼鍵 - 從安全的配置文件或環(huán)境變量中加載它們。

密鑰旋轉(zhuǎn)也不是自動的。如果更改密鑰，則需要手動重新加入現(xiàn)有數(shù)據(jù)。這就是為什麼許多團隊堅持使用一個長期的鑰匙來給定數(shù)據(jù)集，尤其是在不需要追溯更改的情況下。

這基本上就是您在MongoDB中設(shè)置和管理CSFLE的方式。它增加了一層保護層，在正確完成時很難擊敗，但是確實需要仔細(xì)規(guī)劃圖式，鑰匙和基礎(chǔ)架構(gòu)。

以上是如何在MongoDB中設(shè)置和管理客戶端字段級加密（CSFLE）？的詳細(xì)內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！