データベース サーバーに暗号化が必要な機密データ (電子メールなど) があり、サーバーが侵害された場合に、攻撃者がこれらのデータを解読できないようにしたいとします。 (少なくともそれを難しくします)。
私はいくつかの解決策をオンラインで読みましたが、どちらかができるようです
ハードウェア セキュリティ モジュール (つまり、Amazon KMS/Vault) を使用して、別のサーバーで暗号化/復号化を処理します。公開鍵暗号化を使用します (データベース サーバーの公開鍵がデータを暗号化し、秘密鍵が復号化のみを処理する別のサーバーに格納されます)。お互いのトレードオフは何ですか?また、どちらを選択しますか?