PolarDB：產品安全能力

訪問安全

PolarDB提供的叢集白名單功能實現了叢集訪問安全，叢集白名單功能包括叢集IP白名單和安全性群組，建立PolarDB MySQL版叢集後，您需要為叢集設定白名單或設定安全性群組，只有添加到白名單中的IP地址或安全性群組中的ECS執行個體允許訪問該叢集。

• IP白名單。

  IP白名單指允許訪問PolarDB MySQL版叢集的IP清單。設定IP白名單可以讓PolarDB MySQL版叢集得到進階別的訪問安全保護，建議您定期維護白名單。通常需要設定IP白名單的情境如下：

  • 如果您的ECS執行個體需要訪問PolarDB，可在ECS執行個體詳情頁面，查看ECS執行個體的IP地址，然後填寫到白名單中。

    說明

    如果ECS與PolarDB位於同一地區，建議白名單中填寫ECS的私網IP地址；如果ECS與PolarDB位於不同的地區，白名單中填寫ECS的公網IP地址，或者將ECS遷移到PolarDB所在地區後填寫ECS私網IP地址。

  • 如果您本地的伺服器、電腦或其它雲端服務器需要訪問PolarDB，請將其IP地址添加到白名單中。

• 安全性群組。

  若您想通過阿里雲ECS來訪問PolarDB叢集，您可以使用ECS的安全性群組功能，在PolarDB叢集白名單中添加某個安全性群組，該安全性群組中的ECS執行個體可以訪問PolarDB叢集。

資料轉送安全

為了提高鏈路安全性，PolarDB提供了SSL（Secure Sockets Layer）加密功能。SSL在傳輸層對網路連接進行加密，能提升通訊資料的安全性和完整性。

您可以啟用SSL加密，並安裝SSL CA認證到需要的應用服務。更多關於SSL加密的資訊和配置介紹，請參見設定SSL加密。

資料安全

PolarDB的透明資料加密TDE（Transparent Data Encryption）功能可對資料檔案執行即時I/O加密和解密，資料在寫入磁碟之前進行加密，從磁碟讀入記憶體時進行解密，從而保障資料安全。

更多關於TDE的資訊和配置介紹，請參見設定透明資料加密TDE。

資料脫敏

在資料庫使用中，需要即時地從生產環境中的資料庫（即生產庫）擷取最新的客戶資料來進行報表產生、資料分析、開發測試等。但為了不泄露真實的客戶個人資訊（Personal Identifiable Information），需要將這些資料進行脫敏處理後才能提供給第三方使用。

PolarDB通過資料庫代理（Proxy）提供了動態脫敏功能實現資料脫敏。當應用程式發起資料查詢請求時，系統會在資料庫內部對敏感性資料進行變換後再返回給應用程式。開始查詢前，僅需指定需要進行脫敏查詢的資料庫帳號，以及需要脫敏的資料庫、表或列的名稱即可。既有效保證了資料的即時性，又實現了資料脫敏，保障了資料訪問安全。

更多關於動態脫敏的資訊和配置介紹，請參見動態脫敏。

安全審計

PolarDB提供了SQL洞察和審計功能，通過採集和分析SQL原始日誌，協助您洞察資料庫的安全和效能風險。