什么是 HDFS 透明加密

HDFS Encryption Zone 加密空間，即HDFS透明加密，是一種端到端的加密模式，其中加解密過程對于客戶端來說是完全透明的。數據在客戶端寫操作時被加密，數據在客戶端讀操作時被解密，hdfs服務端本省并不是主要參與者。主要作用是保證加密空間內的數據不被非法查詢。

HDFS的透明加密支持兩種方式的加密：靜態（at-rest）數據加密，比如持久化保存在磁盤上的數據，傳輸（in-transit）數據加密，比如通過網絡傳輸的數據。

傳統數據管理軟件或者硬件的加密包含了不同的層級，在不同的層級加密有不同的優點和缺點。

• 應用層加密，這是最安全也是最靈活的方式。加密內容最終由應用程序來控制，并且可以精確的反映用戶的需求。但是，編寫應用程序來實現加密一般都比較困難，而且有些應用程序可能不支持加密。

• 數據庫層加密，類似于應用程序加密。大多數數據庫廠商都提供某種形式的加密，但是可能會有性能問題，另外比如說索引沒辦法加密。

• 文件系統層加密，這種方式對性能影響不大，而且對應用程序是透明的，一般也比較容易實施。但是應用程序細粒度的要求策略，可能無法完全滿足。比如，多租戶應用程序可能需要對最終用戶進行加密，數據庫可能需要對單個文件里的每個列進行不同的加密設置。

• 磁盤層加密，易于部署和高性能，但是相當不靈活，只能防止用戶從物理層面盜竊數據。

HDFS的透明加密屬于數據庫層和文件系統層的加密。它有很多好處，比如不錯的性能，對于現有的應用程序是透明的。在制定策略時，HDFS也比傳統的文件系統有更多的選擇。

HDFS加密可以防止在文件系統或之下的攻擊，也叫操作系統級別的攻擊（OS-level attacks）。操作系統和磁盤只能與加密的數據進行交互，因為數據已經被HDFS加密了。

回答所涉及的環境：聯想天逸510S、Windows 10。