![\"twitter\"](\"https:\/\/blog.capdata.fr\/wp-content\/plugins\/social-media-feather\/synved-social\/image\/social\/regular\/48x48\/twitter.png\" "\\"Share")
<\/a><\/a>![\"linkedin\"](\"https:\/\/blog.capdata.fr\/wp-content\/plugins\/social-media-feather\/synved-social\/image\/social\/regular\/48x48\/linkedin.png\" "\\"Share")
<\/a>![\"mail\"](\"https:\/\/blog.capdata.fr\/wp-content\/plugins\/social-media-feather\/synved-social\/image\/social\/regular\/48x48\/mail.png\" "\\"Share")
<\/a>TDE ou Transparent Data Encryption est un produit mis \u00e0 disposition par Cybertec<\/a>. Il permet de faire de l’encryption de donn\u00e9es de mani\u00e8re automatique dans Postgres. Il crypte les donn\u00e9es des tables, des indexes, les tablespaces, les fichiers temporaires, et tous les objets d\u00e9pendants de la base de donn\u00e9es.<\/p>\n L\u2019encryption est r\u00e9alis\u00e9e sur des blocs de 8K entre le disque et la m\u00e9moire.<\/p>\n Il utilise toutes les optimisations possibles fournies par Intel pour fonctionner de mani\u00e8re efficace.<\/p>\n Pour pouvoir disposer de cet outil, il vous faut disposer de la version de postgres recompil\u00e9e par Cybertech.<\/p>\n Les sources sont disponibles \u00e0 l\u2019adresse suivante : https:\/\/download.cybertec-postgresql.com\/postgresql-12.3_TDE_1.0.tar.gz<\/p>\n Une fois les sources t\u00e9l\u00e9charg\u00e9es, vous pouvez les d\u00e9compresser.<\/p>\n L\u2019\u00e9tape suivante est l\u2019\u00e9tape de compilation. Pour que votre code puisse \u00eatre compil\u00e9, vous allez avoir besoin d\u2019un certain nombre de pr\u00e9requis. Ces paquets pr\u00e9 requis sont les m\u00eames que les paquets n\u00e9cessaires pour compiler le code de postgresql.<\/p>\n Une fois la compilation r\u00e9alis\u00e9e, il faut installer les sources.<\/p>\n A la suite de l\u2019installation des sources, vous allez donc vous retrouver avec un dossier pg12tde<\/em> qui contiendra les sources de postgresql.<\/p>\n Charge \u00e0 vous de cr\u00e9er l\u2019utilisateur postgres :<\/p>\n Et de cr\u00e9er le r\u00e9pertoire o\u00f9 vous souhaitez stocker vos donn\u00e9es. Attention, ne d\u00e9marrez pas votre instance d\u00e8s \u00e0 pr\u00e9sent.<\/p>\n Avant de r\u00e9aliser l\u2019initialisation de la base de donn\u00e9es, vous devez d\u00e9finir l\u2019encryptage de votre base de donn\u00e9es. Pour l\u2019exemple, nous avons utilis\u00e9 une m\u00e9thode tr\u00e8s simple : Un fichier de script qui renvoie directement la cl\u00e9 d\u2019encryptage de nos fichiers de donn\u00e9es. Il se pr\u00e9sente sous la forme suivante : (vous pouvez cliquer pour agrandir)<\/em><\/p>\n Attention\u00a0:<\/strong> Il s\u2019agit ici d\u2019un exemple simpliste afin de d\u00e9montrer le fonctionnement de TDE. Dans un environnement de production, il faudra favoriser un serveur de cl\u00e9 KMS type Hashicorp ou autre.<\/p>\n Une fois le fichier de cl\u00e9 clairement identifi\u00e9, vous pouvez passer en utilisateur postgres et faire le initdb pour cr\u00e9er votre base de donn\u00e9es. C\u2019est dans cette commande la que vous allez pouvoir passer votre cl\u00e9 encod\u00e9e \u00e0 l\u2019aide de l\u2019option -K. (vous pouvez cliquer pour agrandir)<\/em><\/p>\n Vous pouvez v\u00e9rifier qu\u2019il a bien prit le fichier d\u2019encryption en allant jeter un oeil au postgresql.conf (vous pouvez cliquer pour agrandir)<\/em><\/p>\n Une fois votre initdb termin\u00e9, vous n\u2019avez plus qu\u2019\u00e0 lancer l\u2019instance, et \u00e0 vous connecter pour profiter d\u2019un PG encrypt\u00e9.<\/p>\n Pour l\u2019exemple, nous allons cr\u00e9er une base de donn\u00e9es fictive, une table fictive, et des donn\u00e9es fictives, et nous allons v\u00e9rifier l\u2019\u00e9tat du fichier de donn\u00e9es, afin de voir si nous pouvons le d\u00e9crypter. (vous pouvez cliquer pour agrandir)<\/em><\/p>\n Pour cela il suffit d\u2019aller voir dans le r\u00e9pertoire data de l\u2019instance, et de chercher \u00e0 ouvrir l\u2019un des fichiers. Vous devriez obtenir un r\u00e9sultat tel que ci-dessous : (vous pouvez cliquer pour agrandir)<\/em><\/p>\n On voit donc bien que nos fichiers sont crypt\u00e9s.<\/p>\n Attention cependant : l\u2019encryption n\u2019est pas effective sur les dumps de donn\u00e9es. En effet, extraire des donn\u00e9es avec pg_dump ne rentre pas dans la couverture de TDE, contrairement \u00e0 pg_basebackup.<\/p>\n Nous avons test\u00e9 de r\u00e9importer un pg_basebackup depuis une base crypt\u00e9e avec TDE vers une base vanilla et cette derni\u00e8re n\u2019est pas parvenue \u00e0 lire le fichier de backup.<\/p>\n L\u2019\u00e9diteur parle d\u2019un gap de 30% de performance au maximum avec l\u2019utilisation de TDE par rapport \u00e0 une version vanilla de postgres.<\/p>\n Nous avons r\u00e9alis\u00e9 des tests avec pgbench, et voici les r\u00e9sultats.<\/p>\n La volum\u00e9trie de la base choisie est la suivante : (vous pouvez cliquer pour agrandir)<\/em><\/p>\n Cette volum\u00e9trie \u00e0 \u00e9t\u00e9 choisie par rapport \u00e0 la taille de la m\u00e9moire sur la machine o\u00f9 les tests ont \u00e9t\u00e9 r\u00e9alis\u00e9s. Il s\u2019agissait ici de forcer des lectures et \u00e9critures physiques afin de r\u00e9ellement constater l\u2019impact de TDE sur les performances.<\/p>\n Avec TDE, j’ai r\u00e9alis\u00e9 un premier tir avec une g\u00e9n\u00e9ration de 1000 requ\u00eates sur 10 threads diff\u00e9rents qui appellent la base en m\u00eame temps. La capture d’\u00e9cran qui suit montre le r\u00e9sultats de pgbench en terme\u00a0 de temps de r\u00e9ponse de la simulation : (vous pouvez cliquer pour agrandir)<\/em><\/p>\n Pendant que la simulation \u00e9tait en cours, nous surveillons \u00e9galement l’activit\u00e9 du serveur gr\u00e2ce \u00e0 une commande VMstat afin de voir en temps r\u00e9el la consommation de pgbench en terme de ressources: (vous pouvez cliquer pour agrandir)<\/em><\/p>\n Afin de pouvoir faire une moyenne de temps d’ex\u00e9cution, nous avons lanc\u00e9 une deuxi\u00e8me fois pgbench mais cette fois-ci sur un plus gros \u00e9chantillon de requ\u00eates afin de mettre encore plus la base de donn\u00e9es sous tension. Il s’agissait ici d’un test de 10.000 requ\u00eates sur 10 threads (100.000 requ\u00eates)\u00a0 : (vous pouvez cliquer pour agrandir)<\/em><\/p>\n Et comme pour l’essai pr\u00e9c\u00e9dent, nous surveillons l’\u00e9tat du serveur avec VMStat pour constater les pics d’utilisation de pgbench sur les ressources syst\u00e8me : (vous pouvez cliquer pour agrandir)<\/em><\/p>\n Deuxi\u00e8me \u00e9tape de notre test, afin de comparer les r\u00e9sultats obtenus, nous avons r\u00e9aliser les m\u00eames test avec la m\u00eame volum\u00e9trie sur une installation classique de postgresql. (vous pouvez cliquer pour agrandir)<\/em><\/p>\n Pour le plus petit \u00e9chantillon de requ\u00eates (les 1000 sur 10 threads) voici les temps de r\u00e9ponses que nous avons obtenus avec pgbench : (vous pouvez cliquer pour agrandir)<\/em><\/p>\n Pareillement que pour la premi\u00e8re partie du test, nous avons v\u00e9rifier les consommations syst\u00e8me de pgbench : (vous pouvez cliquer pour agrandir)<\/em><\/p>\n Et enfin, comme pour la premi\u00e8re partie, nous avons r\u00e9aliser le m\u00eame test avec une volum\u00e9tries de requ\u00eates envoy\u00e9es sup\u00e9rieures (100.000 requ\u00eates) : (vous pouvez cliquer pour agrandir)<\/em><\/p>\n Et le r\u00e9sultat sur vmstat : (vous pouvez cliquer pour agrandir)<\/em><\/p>\n On constate donc qu\u2019il y a bien une diff\u00e9rence, surtout sur les traitements d\u2019un grand nombre de donn\u00e9es. L\u2019instance vanilla a une moyenne de traitement \u00e0 169 ms tandis que l\u2019instance TDE a une moyenne \u00e0 207 ms. Ce qui repr\u00e9sente quand m\u00eame une augmentation du temps de traitement de l\u2019ordre de 22%. (vous pouvez cliquer pour agrandir)<\/em><\/p>\n TDE est un outil pratique pour l\u2019encryption des donn\u00e9es. Il est relativement facile \u00e0 configurer, pour peu que vous acceptiez d\u2019utiliser une version fournie par Cybertech que vous devez compiler vous-m\u00eame.<\/p>\n Il faut cependant garder en m\u00e9moire que sur des traitements cons\u00e9quents, les performances peuvent \u00eatre impact\u00e9 de l\u2019ordre de 30%.<\/p>\n TDE ou Transparent Data Encryption est un produit mis \u00e0 disposition par Cybertec. Il permet de faire de l’encryption de donn\u00e9es de mani\u00e8re automatique dans Postgres. Il crypte les donn\u00e9es des tables, des indexes, les tablespaces, les fichiers temporaires, et… Continuer la lecture Installation :<\/h1>\n
\r\n\r\nwget https:\/\/download.cybertec-postgresql.com\/postgresql-12.3_TDE_1.0.tar.gz\r\n\r\n<\/pre>\n
\r\n\r\ntar xvfz postgresql-12.3_TDE_1.0.tar.gz\r\n\r\n<\/pre>\n
\r\n\r\n.\/configure --prefix=\/usr\/local\/pg12tde --with-openssl --with-perl \\ --with-python --with-ldap\r\n\r\n<\/pre>\n
\r\n\r\nmake install\r\n\r\ncd contrib\r\n\r\nmake install\r\n\r\n<\/pre>\n
\r\n\r\naddgroup postgres\r\nadduser postgres\r\n\r\n<\/pre>\n
\r\n\r\nmkdir -p \/usr\/local\/pg12tde\/data\r\nchown postgres \/usr\/local\/pg12tde\/data\r\n\r\n<\/pre>\n
![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2022\/04\/putty_dfCz4jicII-300x31.png\")
<\/a><\/p>\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2022\/04\/putty_DRhv0GZF5w-300x190.png\")
<\/a><\/p>\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2022\/04\/putty_bnzhsGwCzY-300x28.png\")
<\/a><\/p>\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2022\/04\/putty_OJQS4HLTWY-300x127.png\")
<\/a><\/p>\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2022\/04\/putty_HMc3kMKa0D-300x36.png\")
<\/a><\/p>\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2022\/04\/putty_AO1pw3NRO4-300x167.png\")
<\/a><\/p>\nAu niveau des performances :<\/h1>\n
![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2022\/04\/putty_GZuJcePMoO-300x10.png\")
<\/a><\/p>\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2022\/04\/1-300x84.png\")
<\/a><\/p>\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2022\/04\/2-300x83.png\")
<\/a><\/p>\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2022\/04\/3-300x68.png\")
<\/a><\/p>\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2022\/04\/4-300x190.png\")
<\/a><\/p>\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2022\/04\/5-300x10.png\")
<\/a><\/p>\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2022\/04\/6-300x106.png\")
<\/a><\/p>\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2022\/04\/7-300x121.png\")
<\/a><\/p>\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2022\/04\/8-300x108.png\")
<\/a><\/p>\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2022\/04\/10-300x278.png\")
<\/a><\/p>\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2022\/04\/EXCEL_rOHJTItEP1-300x181.png\")
<\/a><\/p>\nConclusion\u00a0:<\/h1>\n
<\/a><\/a><\/a>","protected":false},"excerpt":{"rendered":"