'n Databasisdump stel niks bloot nie.

Elke gebruiker se persoonlike data word in rus geënkripteer met sleutels per tenant wat nooit die databasis raak nie. 'n Uitgelekte bergingsgeloofsbrief of 'n gesteelde rugsteun lewer slegs syferteks — nie e-posadresse, nie name, nie telefoonnommers nie.

Hoe dit werk

  • Enkripsie vind buite die databasis plaas. Waardes word geënkripteer en gedekripteer deur HashiCorp Vault Transit — die toepassing hou nooit die sleutelmateriaal nie, en die databasis sien nooit 'n sleutel nie.
  • Elke tenant het sy eie sleutel. Wanneer 'n tenant geskrap word, word sy sleutel kripto-verskeur, wat al daardie tenant se data permanent onherstelbaar maak — sonder dat ry-vir-ry-uitwissing nodig is.
  • Gerandomiseerde AES-256-GCM beskerm elke waarde, sodat identiese insette nooit identiese syferteks lewer nie.

Geënkripteer, en steeds deursoekbaar

Enkripsie beteken gewoonlik dat jy soekvermoë prysgee. Nie hier nie. Langs elke geënkripteerde waarde stoor ons "blind index"-tekens met sleutel-HMAC — sodat aanmelding-per-e-pos, admin-soektog-per-naam, en "almal by acme.com" almal as presiese en voorvoegsel-opsoekings werk oor data wat nooit in duidelike teks gestoor word nie. Die indekssleutels is ook HMACs: 'n dump van die indekstabelle onthul ook niks nie.

Wat beskerm word

E-posadresse, voor- en van, telefoonnommers, maatskappyname, en enige pasgemaakte eienskappe wat jy stoor — almal in rus geënkripteer. Wagwoorde is nooit omkeerbaar gestoor nie (hulle word eenrigting-verhaas met 'n moderne KDF). Rol-toewysings, ondeursigtige ID's, en tydstempels is nie persoonlike data nie en word in duidelike teks gelaat sodat die stelsel bedryfbaar bly.

Die dreiging waarteen ons ontwerp het

Die scenario is 'n uitgelekte bergingsgeloofsbrief of 'n blootgestelde rugsteun — iemand kry 'n rou kopie van die tabelle. Deursigtige skyfvlak-enkripsie (kliënt-bestuurde sleutels) help nie in daardie geval nie: dit dekripteer outomaties vir enigiets wat die berging kan lees, sodat 'n dump in duidelike teks uitkom. Toepassingsvlak-enkripsie help wel — die sleutels woon in Vault, geïsoleer van die data, sodat 'n kopie van die tabelle 'n kopie van syferteks is.

Ook tydens oordrag

Data word tydens oordrag (TLS 1.2+) sowel as in rus geënkripteer. Ons help graag ondernemingskliënte om ons sekuriteitsbeheermaatreëls onder 'n NDA te deurloop.

Rapportering van 'n kwesbaarheid

Iets gevind? Stuur 'n e-pos aan [email protected]. Ons masjienleesbare kontakbesonderhede word gepubliseer by /.well-known/security.txt.