数据安全是企业级应用的生命线。TDengine提供完善的安全策略,包括IP白名单、审计日志和数据加密等功能。
一、IP白名单
IP白名单是控制数据库访问的重要安全手段。
1.1 配置方法
-- 创建用户并配置IP白名单
CREATE USER testuser PASS 'password' HOST '192.168.1.0/24';
-- 添加IP到已有用户
ALTER USER testuser ADD HOST '10.0.0.0/8';1.2 查询白名单
-- 查看用户IP限制
SELECT USER, ALLOWED_HOST FROM INFORMATION_SCHEMA.INS_USERS;
SHOW USERS;1.3 删除白名单
-- 删除用户IP限制
ALTER USER testuser DROP HOST '192.168.1.0/24';1.4 注意事项
| 要点 | 说明 |
|---|---|
| 开源版限制 | 开源版可配置但不生效 |
| 集群一致性 | 集群各节点白名单需一致 |
| 自动添加 | 集群节点IP自动加入白名单 |
| 默认允许 | 127.0.0.1默认在白名单中 |
二、审计日志
审计日志记录所有用户操作,便于安全监控和历史追溯。
2.1 启用审计功能
taosd配置(taos.cfg):
# 启用审计
audit 1
# 审计日志级别
auditLevel 3
# taosKeeper地址
monitorFqdn localhost
monitorPort 60432.2 创建审计库
CREATE DATABASE audit_db IS_AUDIT 1;2.3 审计日志结构
{
"ts": "2024-01-01 10:00:00",
"user": "admin",
"operation": "createDatabase",
"db": "demo",
"resource": "demo",
"client_address": "192.168.1.100:12345",
"details": "CREATE DATABASE demo..."
}2.4 查看审计日志
通过taosExplorer:
系统管理 → 审计 → 查看审计日志
通过CLI:
SELECT * FROM audit_db.operations;三、存储加密
TDengine支持透明数据加密(TDE),防止数据泄露。
3.1 生成密钥
taosk -c /etc/taos \
--set-cfg-algorithm sm4 \
--set-meta-algorithm sm4 \
--encrypt-server \
--encrypt-database \
--encrypt-config \
--encrypt-metadata \
--encrypt-data3.2 查看加密状态
SELECT * FROM INFORMATION_SCHEMA.INS_ENCRYPT_STATUS;3.3 密钥备份
taosk -c /etc/taos --backup --svr-key your_key3.4 加密算法
| 算法 | 说明 |
|---|---|
| SM4 | 国密算法(默认) |
| AES-128-CBC | 国际标准算法 |
四、安全部署建议
4.1 网络层面
- 配置防火墙规则
- 使用VPC网络隔离
- 启用IP白名单
4.2 访问控制
- 最小权限原则
- 定期更换密码
- 启用审计日志
4.3 数据保护
- 启用存储加密
- 定期备份数据
- 配置副本策略
总结
TDengine企业版提供全面的安全策略:
- IP白名单控制访问来源
- 审计日志记录操作行为
- 透明加密保护数据安全
- 建议综合使用多种安全手段
