當您的資料庫中有資料需要被保護時,可以使用RDS MySQL全密態資料庫功能,該功能提供的加密解決方案能夠在遵守資料保護法規的前提下保障您的資料安全,使被保護資料免受未授權訪問。本文將詳細介紹RDS MySQL全密態資料庫功能的優勢,協助您高效管理和保護資料隱私。
支援所有已有的SQL計算,且應用透明無感知
業務不需要在用戶端做額外加解密功能,僅需幾行配置命令即可接入全密態資料庫,已有代碼無需任何修改。
支援所有SQL計算,業務SQL可不經修改直接在全密態資料庫上執行。例如,支援明文SQL進行模糊比對查詢。
相容存量資料庫,資料庫可升級到全密態資料庫,也可以復原到明文資料庫。
支援DTS、DMS等生態工具,應用可“0”改造遷移。
開啟資料保護規則後,服務端任意訪問返回資料均為加密
使用者可以基於業務需要,配置資料保護規則(配置方式請參見管理資料保護規則),指定需要被保護的資料以及保護方式(例如加密)。全密態資料庫在查詢過程中,自動識別被保護的資料,並基於規則指定的方式對結果進行預先處理後再返回。即使資料庫帳號泄露,包括資料庫研發和營運人員在內的第三方,都無法看到查詢結果被保護的資料內容。
對各種包含被保護資料的運算式計算結果,例如加減法、彙總運算、Join操作等等,全密態資料庫都會基於使用者指定資料保護規則,從計算來源資料的安全性出發決定是否對計算結果進行保護。
加密控制粒度能精細到表和列層級
資料保護規則控制的加密粒度能精確到表和列層級。
例如,若使用者規則中指定A列為被保護列,且使用加密方式保護,則全密態資料庫會使用使用者提供的密鑰,自動對A列結果進行加密,僅持有密鑰的使用者可以解密獲得A列的明文內容。
效能損耗小
效能損耗小,貼近現有明文資料庫。
查詢效能與使用者查詢返回的資料大小成反比,即查詢返回的資料越多,效能損耗相應增加。
支援使用者指定密鑰,且服務結束時自動銷毀
使用者可以任意選擇己方信任的已有或者第三方Key Management Service,擷取密鑰後,動態傳遞給全密態用戶端(例如傳參)。通過用戶端接入全密態資料庫的方法,請參見用戶端使用說明。
密鑰僅由使用者持有,運行時通過安全分發機制參與資料庫查詢,服務結束時自動銷毀,無需擔心密鑰被外部或者內部使用者竊取。
支援通行金鑰更新、輪轉。
支援多種用戶端接入方式
支援用戶端Driver、SDK接入,支援Java、Go、Python等語言。
用戶端Driver自動完成解密,應用無需更改。
SDK提供靈活的安全調用介面,可以自由控制密態資料的處理過程。
資料保護規則當前僅支援加密保護方式。
用戶端僅支援密文查詢結果解密,暫不支援輸入SQL加密。