PolarDB產品的安全能力可以從訪問安全、資料轉送安全、資料安全、資料脫敏和安全審計5個方面體現。
訪問安全
PolarDB提供的叢集白名單功能實現了叢集訪問安全,叢集白名單功能包括叢集IP白名單和安全性群組,建立PolarDB MySQL版叢集後,您需要為叢集設定白名單或設定安全性群組,只有添加到白名單中的IP地址或安全性群組中的ECS執行個體允許訪問該叢集。
- IP白名單。
IP白名單指允許訪問PolarDB MySQL版叢集的IP清單。設定IP白名單可以讓PolarDB MySQL版叢集得到進階別的訪問安全保護,建議您定期維護白名單。通常需要設定IP白名單的情境如下:
如果您的ECS執行個體需要訪問PolarDB,可在ECS執行個體詳情頁面,查看ECS執行個體的IP地址,然後填寫到白名單中。
說明如果ECS與PolarDB位於同一地區,建議白名單中填寫ECS的私網IP地址;如果ECS與PolarDB位於不同的地區,白名單中填寫ECS的公網IP地址,或者將ECS遷移到PolarDB所在地區後填寫ECS私網IP地址。
如果您本地的伺服器、電腦或其它雲端服務器需要訪問PolarDB,請將其IP地址添加到白名單中。
- 安全性群組。
若您想通過阿里雲ECS來訪問PolarDB叢集,您可以使用ECS的安全性群組功能,在PolarDB叢集白名單中添加某個安全性群組,該安全性群組中的ECS執行個體可以訪問PolarDB叢集。
資料轉送安全
為了提高鏈路安全性,PolarDB提供了SSL(Secure Sockets Layer)加密功能。SSL在傳輸層對網路連接進行加密,能提升通訊資料的安全性和完整性。
您可以啟用SSL加密,並安裝SSL CA認證到需要的應用服務。更多關於SSL加密的資訊和配置介紹,請參見設定SSL加密。
資料安全
PolarDB的透明資料加密TDE(Transparent Data Encryption)功能可對資料檔案執行即時I/O加密和解密,資料在寫入磁碟之前進行加密,從磁碟讀入記憶體時進行解密,從而保障資料安全。
更多關於TDE的資訊和配置介紹,請參見設定透明資料加密TDE。
資料脫敏
在資料庫使用中,需要即時地從生產環境中的資料庫(即生產庫)擷取最新的客戶資料來進行報表產生、資料分析、開發測試等。但為了不泄露真實的客戶個人資訊(Personal Identifiable Information),需要將這些資料進行脫敏處理後才能提供給第三方使用。
PolarDB通過資料庫代理(Proxy)提供了動態脫敏功能實現資料脫敏。當應用程式發起資料查詢請求時,系統會在資料庫內部對敏感性資料進行變換後再返回給應用程式。開始查詢前,僅需指定需要進行脫敏查詢的資料庫帳號,以及需要脫敏的資料庫、表或列的名稱即可。既有效保證了資料的即時性,又實現了資料脫敏,保障了資料訪問安全。
更多關於動態脫敏的資訊和配置介紹,請參見動態脫敏。
安全審計
PolarDB提供了SQL洞察和審計功能,通過採集和分析SQL原始日誌,協助您洞察資料庫的安全和效能風險。