数据加密与密钥分层（Envelope Encryption、KMS、透明加密）

数据加密与密钥分层（Envelope Encryption、KMS、透明加密）概述信封加密通过数据密钥（DEK）与主密钥（KEK）分层管理，便于轮换与权限控制；透明加密在存储层提供加密保障。关键实践与参数DEK/KEK：用随机 DEK 加密数据；使用 KMS 管理 KEK 对 DEK 加密（封装）。轮换策略：周期性轮换 KEK 并重新封装 DEK；敏感数据可轮换 DEK。透明加密：数据库/对象存储的加密选项（如 AES-256），结合 KMS 管理。验证方法在构建与运行阶段校验加密与解密路径；注入模拟密钥失效与撤销。审计日志包含密钥使用与轮换记录；监控失败与异常。性能评估加密开销；对比不同算法与硬件加速支持。注意事项最小权限与短期凭证；禁止在代码中硬编码密钥。备份与恢复流程需加密与密钥分离存储。合规与地区法规需满足数据跨境与隐私条款。