全部產品
Search
文件中心

ApsaraDB RDS:全密態資料庫(公測)

更新時間:Dec 03, 2024

全密態資料庫是阿里雲資料庫的一項資料安全功能。在RDS PostgreSQL執行個體中開啟並使用該功能,您可以對資料庫表中的敏感性資料列進行加密,這些列中的敏感性資料將以密文進行傳輸、計算和儲存。

背景

隨著國家對資料安全和個人敏感資訊的加強監管,原子化的資料安全能力無法滿足監管要求,國家標準和行業標準逐漸提出資料全生命週期的安全保障的需求,傳統的三方安全強化和用戶端加密都在客戶成本、架構改造、資料庫效能等帶來了不同層面的弊端,因此全密態資料庫得到了快速發展和行業認可。從應用視角看,全密態資料庫可以解決不同應用情境下的資料安全問題。

什麼是全密態資料庫

全密態資料庫是達摩院資料庫與儲存實驗室與阿里雲資料庫團隊合作的自研產品,以技術為基石,最小化人員、平台管理等不可控因素造成的潛在資料安全隱患,可以有效杜絕雲資料庫服務(或應用服務等資料擁有者以外的任何人)接觸到使用者的明文資料,避免雲端資料發生泄漏,且能夠防止研發營運竊取資料、無懼資料庫帳號泄露。

image.png

全密態資料庫採用機密計算能力,使得資料在使用者側(用戶端)加密後,在非受信的伺服器端全程只需要以密文形式存在,但是仍然支援所有的資料庫事務、查詢、分析等操作。避免雲平台軟體、管理員(如DBA)、以及其他非授權人員接觸到明文資料,做到了資料在資料庫內的可用不可見。結合阿里雲強大的安全防護體系,全密態資料庫能夠有效防禦來自雲平台外部和內部的安全威脅,時刻保護使用者資料,讓雲上資料成為使用者的私人資產。

  • 全密態資料庫如何保證資料不在雲端泄漏

    資料是在用戶端時,使用者用自己的祕密金鑰加密後發送給雲資料庫的。資料庫無法直接接觸到資料密鑰,因此無法在非受信環境外解密並泄漏資料。

  • 全密態資料庫如何保證密文資料還能被資料庫處理?

    當資料需要被處理時,用戶端通過遠程證明確認服務端運行在受信環境、且其內啟動並執行代碼可信後,將密鑰端到端直接傳入受信環境。資料和密鑰就在受信環境裡被處理,外部無法進入竊取資料。

應用情境

全密態資料庫的長期目標是設計和研發以資料機密性和完整性為原生能力的新型資料庫結構描述及系統產品。通過相應的設計最佳化和架構調整,在引入安全能力的同時,仍然保障資料庫系統的高效能、高穩定和低成本。

針對不同業務情境所面臨的不同資料安全問題,以下列舉了一些全密態資料庫適用的典型情境:

image.png

  • 平台安全營運:該情境主要針對在不可信環境(如第三方平台)下提供的資料庫服務的安全防護,保證使用者資料在營運過程中的安全。在一般的應用情境中,資料的擁有者即為應用服務方。他們希望防止資料庫服務及其營運人員接觸到任何應用資料,同時保證資料庫的正常運作。

    例如:

    • 業務將應用程式資料庫遷移到雲上,需要應對雲平台以及營運人員越權訪問資料的潛在威脅。

    • 資料應用需要將資料庫整體線下部署到客戶線下環境,需要防止資料被客戶營運非授權擷取。  

  • 敏感性資料合規:該情境主要針對在不可信環境(如第三方平台)下提供的應用服務的安全防護,保證終端使用者敏感性資料的安全。在面向終端使用者的應用情境中,部分資料(如健康資料、財務資料等)的擁有者為客戶本人。他們希望應用服務只提供資料管理和分析的能力,不能接觸私人明文資料。

    例如:

    • 企業使用第三方服務管理其商業資料時,需要應對商業秘密被服務商擷取的潛在威脅。

    • 個人識別資料(PII)、基因等隱私資料在被第三方管理過程中,要滿足全程加密的合規要求。  

  • 多來源資料融合:該情境主要針對多來源資料的聯合分析,保證在多方資料融合計算時,資料不會被其他參與方擷取。由於加密資料的密鑰只由資料擁有者持有,任何其他角色都無法接觸明文資料。在需要將部分資料與第三方分享時,使用者希望在不泄漏自身密鑰的前提下完成加密資料的分享,同時滿足合規要求。

    例如:

    • 在聯合風控、跨國服務等情境下,有嚴格的資料合規要求,組織間無法進行明文資料的合規化擷取。

    • 在合作營銷等情境下,存在組織間的既合作又競爭的複雜關係,難以進行明文資料共用。  

全密態資料庫安全分級

image.png

從安全視角,雲資料庫能防護的安全威脅,安全性由弱到強可分為以下幾個安全分級階梯(階梯越高,安全性越強):

  • 常規雲資料庫服務:雲端式安全服務,能夠攔截絕大部分外部攻擊,但仍然需要信任資料庫執行個體內的作業系統、資料庫軟體、IaaS營運人員、以及資料庫使用者。

  • 全密態資料庫(基礎版):推薦使用。結合全密態存取控制模組,限制資料庫內資料庫使用者對資料操作的存取控制,避免非授權訪問,可以確保資料對包括DBA在內的任何資料庫使用者是可用不可見的,實現資料私人化。僅需信任資料庫執行個體內的作業系統、資料庫軟體、以及IaaS營運人員。

  • 全密態資料庫(硬體加固版):在全密態資料庫(基礎版)的基礎上,進一步基於 TEE 技術(例如Intel SGX/TDX、ARM TrustZone、AMD SEV/海光CSV、機密容器等),使得整個全密態資料庫(基礎版)服務運行在可信地區內,基於可信地區的隔絕任何資料庫執行個體外部的安全威脅。僅需信任資料庫執行個體內的作業系統、資料庫軟體。

說明

全密態資料庫的所有安全分級版本具備一致的功能,且所有版本均具備進階密碼學能力(例如保屬性加密等)。

  • 全密態基礎版適用於所有規格(除了Intel SGX 安全增強型規格)的RDS PostgreSQL執行個體。

  • 全密態硬體加固版適用於Intel SGX 安全增強型規格的RDS PostgreSQL執行個體。

詳細的產品規格請參見RDS PostgreSQL主執行個體規格列表