[docs] introduce security/encryption/ section (#9836)

blinkov · web-flow · commit 9ebb5c72566d · 2024-09-27T09:03:30.000+03:00
diff --git a/ydb/docs/en/core/security/encryption/data-at-rest.md b/ydb/docs/en/core/security/encryption/data-at-rest.md
@@ -0,0 +1,7 @@
+# Data at rest encryption
+
+{{ ydb-short-name }} supports transparent data encryption at the [DS proxy](../../concepts/glossary.md#ds-proxy) level using the [ChaCha8](https://cr.yp.to/chacha/chacha-20080128.pdf) algorithm. {{ ydb-short-name }} includes two implementations of this algorithm, which switch depending on the availability of the AVX-512F instruction set.
+
+By default, data at rest encryption is disabled. For instructions on enabling it, refer to the [{#T}](../../deploy/configuration/config.md#domains-blob) section.
+
+For more details on the implementation, refer to [dsproxy_encrypt.cpp](https://github.com/ydb-platform/ydb/blob/main/ydb/core/blobstorage/dsproxy/dsproxy_encrypt.cpp) and [ydb/core/blobstorage/crypto](https://github.com/ydb-platform/ydb/tree/main/ydb/core/blobstorage/crypto).
diff --git a/ydb/docs/en/core/security/encryption/data-in-transit.md b/ydb/docs/en/core/security/encryption/data-in-transit.md
@@ -0,0 +1,21 @@
+# Data in transit encryption
+
+As {{ ydb-short-name }} is a distributed system typically running on a cluster, often spanning multiple datacenters or availability zones, user data is routinely transferred over the network. Various protocols can be involved, and each can be configured to run over [TLS](https://en.wikipedia.org/wiki/Transport_Layer_Security). Below is a list of protocols supported by {{ ydb-short-name }}:
+
+* [Interconnect](../../concepts/glossary.md#actor-system-interconnect), a specialized protocol for all communication between {{ ydb-short-name }} nodes.
+* {{ ydb-short-name }} as a server:
+
+  * [gRPC](../../reference/ydb-sdk/overview-grpc-api.md) for external communication with client applications designed to work natively with {{ ydb-short-name }} via the [SDK](../../reference/ydb-sdk/index.md) or [CLI](../../reference/ydb-cli/index.md).
+  * [PostgreSQL wire protocol](../../postgresql/intro.md) for external communication with client applications initially designed to work with [PostgreSQL](https://www.postgresql.org/).
+  * [Kafka wire protocol](../../reference/kafka-api/index.md) for external communication with client applications initially designed to work with [Apache Kafka](https://kafka.apache.org/).
+  * HTTP for running the [Embedded UI](../../reference/embedded-ui/index.md), exposing [metrics](../../devops/manual/monitoring.md), and other miscellaneous endpoints.
+
+* {{ ydb-short-name }} as a client:
+
+  * [LDAP](../../concepts/auth.md#ldap) for user authentication.
+  * [Federated queries](../../concepts/federated_query/index.md), a feature that allows {{ ydb-short-name }} to query various external data sources. Some sources are queried directly from the `ydbd` process, while others are proxied via a separate connector process.
+  * [Tracing](../../reference/observability/tracing/setup.md) data sent to an external collector via gRPC.
+
+* In [asynchronous replication](../../concepts/async-replication.md) between two {{ ydb-short-name }} databases, one serves as a client to the other.
+
+By default, data in transit encryption is disabled and must be enabled separately for each protocol. They can either share the same set of TLS certificates or use dedicated ones. For instructions on how to enable TLS, refer to the [{#T}](../../deploy/configuration/config.md) section.
diff --git a/ydb/docs/en/core/security/encryption/index.md b/ydb/docs/en/core/security/encryption/index.md
@@ -0,0 +1,8 @@
+# Encryption in {{ ydb-short-name }}
+
+{{ ydb-short-name }} provides two main approaches for user data encryption:
+
+* [{#T}](data-at-rest.md)
+* [{#T}](data-in-transit.md)
+
+It is recommended to use both of them simultaneously in any production environments that handle sensitive data.
diff --git a/ydb/docs/en/core/security/encryption/toc_p.yaml b/ydb/docs/en/core/security/encryption/toc_p.yaml
@@ -0,0 +1,5 @@
+items:
+- name: Data at rest
+  href: data-at-rest.md
+- name: Data in transit
+  href: data-in-transit.md
diff --git a/ydb/docs/en/core/security/index.md b/ydb/docs/en/core/security/index.md
@@ -6,6 +6,11 @@ Main resources:
 
 - [{#T}](access-management.md)
 - [{#T}](audit-log.md)
+- Encryption:
+
+  - [{#T}](encryption/data-at-rest.md)
+  - [{#T}](encryption/data-in-transit.md)
+
 - [{#T}](short-access-control-notation.md)
 - Concepts:
 
diff --git a/ydb/docs/en/core/security/toc_p.yaml b/ydb/docs/en/core/security/toc_p.yaml
@@ -3,5 +3,10 @@ items:
   href: access-management.md
 - name: Audit log
   href: audit-log.md
+- name: Encryption
+  href: encryption/index.md
+  include:
+    mode: link
+    path: encryption/toc_p.yaml
 - name: Short access control notation
   href: short-access-control-notation.md
diff --git a/ydb/docs/ru/core/security/encryption/data-at-rest.md b/ydb/docs/ru/core/security/encryption/data-at-rest.md
@@ -0,0 +1,7 @@
+# Шифрование данных при хранении
+
+{{ ydb-short-name }} поддерживает прозрачное шифрование данных на уровне [прокси распределённого хранилища](../../concepts/glossary.md#ds-proxy) с использованием алгоритма [ChaCha8](https://cr.yp.to/chacha/chacha-20080128.pdf). {{ ydb-short-name }} включает две реализации этого алгоритма, которые переключаются в зависимости от доступности набора инструкций AVX-512F.
+
+По умолчанию шифрование данных при хранении отключено. Инструкции по его включению можно найти в разделе [{#T}](../../deploy/configuration/config.md#domains-blob).
+
+Более подробную информацию о реализации можно найти в [dsproxy_encrypt.cpp](https://github.com/ydb-platform/ydb/blob/main/ydb/core/blobstorage/dsproxy/dsproxy_encrypt.cpp) и [ydb/core/blobstorage/crypto](https://github.com/ydb-platform/ydb/tree/main/ydb/core/blobstorage/crypto).
diff --git a/ydb/docs/ru/core/security/encryption/data-in-transit.md b/ydb/docs/ru/core/security/encryption/data-in-transit.md
@@ -0,0 +1,21 @@
+# Шифрование данных при передаче
+
+Так как {{ ydb-short-name }} является распределённой системой, обычно работающей на кластере, часто расположенным в нескольких датацентрах или зонах доступности, пользовательские данные регулярно передаются по сети. Могут использоваться различные протоколы, каждый из которых может быть настроен для работы с использованием [TLS](https://en.wikipedia.org/wiki/Transport_Layer_Security). Ниже приведён список протоколов, поддерживаемых {{ ydb-short-name }}:
+
+* [Интерконнект](../../concepts/glossary.md#actor-system-interconnect) — специализированный протокол для общения между узлами {{ ydb-short-name }}.
+* {{ ydb-short-name }} в роли сервера:
+
+  * [gRPC](../../reference/ydb-sdk/overview-grpc-api.md) — для внешнего взаимодействия с клиентскими приложениями, разработанными для нативной работы с {{ ydb-short-name }} через [SDK](../../reference/ydb-sdk/index.md) или [CLI](../../reference/ydb-cli/index.md).
+  * [Протокол PostgreSQL](../../postgresql/intro.md) — для внешнего взаимодействия с клиентскими приложениями, изначально разработанными для работы с [PostgreSQL](https://www.postgresql.org/).
+  * [Протокол Kafka](../../reference/kafka-api/index.md) — для внешнего взаимодействия с клиентскими приложениями, изначально разработанными для работы с [Apache Kafka](https://kafka.apache.org/).
+  * HTTP — для работы с [встроенным UI](../../reference/embedded-ui/index.md), публикации [метрик](../../devops/manual/monitoring.md) и других вспомогательных конечных эндпоинтов.
+
+* {{ ydb-short-name }} в роли клиента:
+
+  * [LDAP](../../concepts/auth.md#ldap) — для аутентификации пользователей.
+  * [Федеративные запросы](../../concepts/federated_query/index.md) — функциональность, позволяющая {{ ydb-short-name }} выполнять запросы к различным внешним источникам данных. Запросы к некоторым источникам отправляются напрямую из процесса `ydbd`, в то время как другие проксируются через отдельный процесс-коннектор.
+  * [Трассировочные](../../reference/observability/tracing/setup.md) данные отправляются во внешний сборщик через gRPC.
+
+* В [асинхронной репликации](../../concepts/async-replication.md) между двумя базами данных {{ ydb-short-name }} одна из них выступает в роли клиента для другой.
+
+По умолчанию шифрование данных при передаче отключено и должно быть включено отдельно для каждого протокола. Они могут использовать общий набор TLS-сертификатов или отдельные. Инструкции по включению TLS можно найти в разделе [{#T}](../../deploy/configuration/config.md).
diff --git a/ydb/docs/ru/core/security/encryption/index.md b/ydb/docs/ru/core/security/encryption/index.md
@@ -0,0 +1,8 @@
+# Шифрование в {{ ydb-short-name }}
+
+{{ ydb-short-name }} предоставляет два основных подхода к шифрованию пользовательских данных:
+
+* [{#T}](data-at-rest.md)
+* [{#T}](data-in-transit.md)
+
+Рекомендуется использовать их оба во всех производственных средах, где обрабатываются чувствительные данные.
diff --git a/ydb/docs/ru/core/security/encryption/toc_p.yaml b/ydb/docs/ru/core/security/encryption/toc_p.yaml
@@ -0,0 +1,5 @@
+items:
+- name: При хранении
+  href: data-at-rest.md
+- name: При передаче
+  href: data-in-transit.md
diff --git a/ydb/docs/ru/core/security/index.md b/ydb/docs/ru/core/security/index.md
@@ -6,7 +6,13 @@
 
 - [{#T}](access-management.md)
 - [{#T}](audit-log.md)
+- Шифрование:
+
+  - [{#T}](encryption/data-at-rest.md)
+  - [{#T}](encryption/data-in-transit.md)
+
 - [{#T}](short-access-control-notation.md)
 - Концепции:
+
   - [{#T}](../concepts/auth.md)
   - [{#T}](../concepts/connect.md)
diff --git a/ydb/docs/ru/core/security/toc_p.yaml b/ydb/docs/ru/core/security/toc_p.yaml
@@ -1,7 +1,12 @@
 items:
 - name: Управление доступом
   href: access-management.md
-- name: Аудитный лог 
+- name: Аудитный лог
   href: audit-log.md
+- name: Шифрование
+  href: encryption/index.md
+  include:
+    mode: link
+    path: encryption/toc_p.yaml
 - name: Краткая запись управления доступом
   href: short-access-control-notation.md
