數(shù)據(jù)安全是企業(yè)級(jí)應(yīng)用的生命線。TDengine提供完善的安全策略，包括IP白名單、審計(jì)日志和數(shù)據(jù)加密等功能。

一、IP白名單

IP白名單是控制數(shù)據(jù)庫(kù)訪問(wèn)的重要安全手段。

1.1 配置方法

-- 創(chuàng)建用戶(hù)并配置IP白名單
CREATE USER testuser PASS 'password' HOST '192.168.1.0/24';

-- 添加IP到已有用戶(hù)
ALTER USER testuser ADD HOST '10.0.0.0/8';

1.2 查詢(xún)白名單

-- 查看用戶(hù)IP限制
SELECT USER, ALLOWED_HOST FROM INFORMATION_SCHEMA.INS_USERS;

SHOW USERS;

1.3 刪除白名單

-- 刪除用戶(hù)IP限制
ALTER USER testuser DROP HOST '192.168.1.0/24';

1.4 注意事項(xiàng)

要點(diǎn)	說(shuō)明
開(kāi)源版限制	開(kāi)源版可配置但不生效
集群一致性	集群各節(jié)點(diǎn)白名單需一致
自動(dòng)添加	集群節(jié)點(diǎn)IP自動(dòng)加入白名單
默認(rèn)允許	127.0.0.1默認(rèn)在白名單中

二、審計(jì)日志

審計(jì)日志記錄所有用戶(hù)操作，便于安全監(jiān)控和歷史追溯。

2.1 啟用審計(jì)功能

taosd配置（taos.cfg）：

# 啟用審計(jì)
audit 1

# 審計(jì)日志級(jí)別
auditLevel 3

# taosKeeper地址
monitorFqdn localhost
monitorPort 6043

2.2 創(chuàng)建審計(jì)庫(kù)

CREATE DATABASE audit_db IS_AUDIT 1;

2.3 審計(jì)日志結(jié)構(gòu)

{
  "ts": "2024-01-01 10:00:00",
  "user": "admin",
  "operation": "createDatabase",
  "db": "demo",
  "resource": "demo",
  "client_address": "192.168.1.100:12345",
  "details": "CREATE DATABASE demo..."
}

2.4 查看審計(jì)日志

通過(guò)taosExplorer：
系統(tǒng)管理 → 審計(jì) → 查看審計(jì)日志

通過(guò)CLI：

SELECT * FROM audit_db.operations;

三、存儲(chǔ)加密

TDengine支持透明數(shù)據(jù)加密（TDE），防止數(shù)據(jù)泄露。

3.1 生成密鑰

taosk -c /etc/taos \
  --set-cfg-algorithm sm4 \
  --set-meta-algorithm sm4 \
  --encrypt-server \
  --encrypt-database \
  --encrypt-config \
  --encrypt-metadata \
  --encrypt-data

3.2 查看加密狀態(tài)

SELECT * FROM INFORMATION_SCHEMA.INS_ENCRYPT_STATUS;

3.3 密鑰備份

taosk -c /etc/taos --backup --svr-key your_key

3.4 加密算法

算法	說(shuō)明
SM4	國(guó)密算法（默認(rèn)）
AES-128-CBC	國(guó)際標(biāo)準(zhǔn)算法

四、安全部署建議

4.1 網(wǎng)絡(luò)層面

• 配置防火墻規(guī)則
• 使用VPC網(wǎng)絡(luò)隔離
• 啟用IP白名單

4.2 訪問(wèn)控制

• 最小權(quán)限原則
• 定期更換密碼
• 啟用審計(jì)日志

4.3 數(shù)據(jù)保護(hù)

• 啟用存儲(chǔ)加密
• 定期備份數(shù)據(jù)
• 配置副本策略

總結(jié)

TDengine企業(yè)版提供全面的安全策略：

1. IP白名單控制訪問(wèn)來(lái)源
2. 審計(jì)日志記錄操作行為
3. 透明加密保護(hù)數(shù)據(jù)安全
4. 建議綜合使用多種安全手段