背景信息

隨著國家對數據安全和個人敏感信息的加強監管，原子化的數據安全能力已無法滿足監管要求，國家標準和行業標準逐漸提出數據全生命周期的安全保障的需求，傳統的三方安全加固和客戶端加密都在客戶成本、架構改造、數據庫性能等帶來了不同層面的弊端，因此全密態數據庫得到了快速發展和行業認可。從應用視角看，全密態數據庫可以解決不同應用場景下的數據安全問題。

什么是全密態數據庫

全密態數據庫是數據庫與存儲實驗室與阿里云數據庫團隊合作的自研產品，以技術為基石，最小化人員、平臺管理等不可控因素造成的潛在數據安全隱患，可以有效杜絕云數據庫服務（或應用服務等數據擁有者以外的任何人）接觸到用戶的明文數據，避免云端數據發生泄漏，且能夠防止研發運維竊取數據、無懼數據庫賬號泄露。

全密態數據庫采用機密計算能力，使得數據在用戶側（客戶端）加密后，在非受信的服務器端全程只需要以密文形式存在，但是仍然支持所有的數據庫事務、查詢、分析等操作。避免云平臺軟件、管理人員（如DBA）、以及其他非授權人員接觸到明文數據，做到了數據在數據庫內的可用不可見。結合阿里云強大的安全防護體系，全密態數據庫能夠有效防御來自云平臺外部和內部的安全威脅，時刻保護用戶數據，讓云上數據成為用戶的私有資產。

• 全密態數據庫如何保證數據不在云端泄漏？

  數據是在客戶端時，用戶用自己的密鑰加密后發送給云數據庫的。數據庫無法直接接觸到數據密鑰，因此無法在非受信環境外解密并泄漏數據。

• 全密態數據庫如何保證密文數據還能被數據庫處理？

  當數據需要被處理時，客戶端通過遠程證明確認服務端運行在受信環境、且其內運行的代碼可信后，將密鑰端到端直接傳入受信環境。數據和密鑰就在受信環境里被處理，外部無法進入竊取數據。

應用場景

全密態數據庫的長期目標是設計和研發以數據機密性和完整性為原生能力的新型數據庫架構及系統產品。通過相應的設計優化和架構調整，在引入安全能力的同時，仍然保障數據庫系統的高性能、高穩定和低成本。

針對不同業務場景所面臨的不同數據安全問題，以下列舉了一些全密態數據庫適用的典型場景：

• 平臺安全運維：該場景主要針對在不可信環境（如第三方平臺）下提供的數據庫服務的安全防護，保證用戶數據在運維過程中的安全。在一般的應用場景中，數據的擁有者即為應用服務方。他們希望防止數據庫服務及其運維人員接觸到任何應用數據，同時保證數據庫的正常運作。

  例如：

  • 業務將應用數據庫遷移到云上，需要應對云平臺以及運維人員越權訪問數據的潛在威脅。

  • 數據應用需要將數據庫整體線下部署到客戶線下環境，需要防止數據被客戶運維非授權獲取。  

• 敏感數據合規：該場景主要針對在不可信環境（如第三方平臺）下提供的應用服務的安全防護，保證終端用戶敏感數據的安全。在面向終端用戶的應用場景中，部分數據（如健康數據、財務數據等）的擁有者為客戶本人。他們希望應用服務只提供數據管理和分析的能力，不能接觸私人明文數據。

  例如：

  • 企業使用第三方服務管理其商業數據時，需要應對商業秘密被服務商獲取的潛在威脅。

  • 個人識別數據（PII）、基因等隱私數據在被第三方管理過程中，要滿足全程加密的合規要求。  

• 多源數據融合：該場景主要針對多源數據的聯合分析，保證在多方數據融合計算時，數據不會被其他參與方獲取。由于加密數據的密鑰只由數據擁有者持有，任何其他角色都無法接觸明文數據。在需要將部分數據與第三方分享時，用戶希望在不泄漏自身密鑰的前提下完成加密數據的分享，同時滿足合規要求。

  例如：

  • 在聯合風控、跨國服務等場景下，有嚴格的數據合規要求，組織間無法進行明文數據的合規化獲取。

  • 在合作營銷等場景下，存在組織間的既合作又競爭的復雜關系，難以進行明文數據共享。  

全密態數據庫安全分級

從安全視角，云數據庫能防護的安全威脅，安全性由弱到強可分為以下幾個安全分級階梯（階梯越高，安全性越強）：

• 常規云數據庫服務：基于云安全服務，能夠攔截絕大部分外部攻擊，但仍然需要信任數據庫集群內的操作系統、數據庫軟件、IaaS運維人員、以及數據庫用戶。

• 全密態數據庫（基礎版）：推薦使用。結合全密態訪問控制模塊，限制數據庫內數據庫用戶對數據操作的訪問控制，避免非授權訪問，可以確保數據對包括DBA在內的任何數據庫用戶是可用不可見的，實現數據私有化。僅需信任數據庫集群內的操作系統、數據庫軟件、以及IaaS運維人員。

• 全密態數據庫（硬件加固版）：在全密態數據庫（基礎版）的基礎上，進一步基于 TEE 技術（例如Intel SGX/TDX、ARM TrustZone、AMD SEV/海光CSV、機密容器等），使得整個全密態數據庫（基礎版）服務運行在可信區域內，基于可信區域的隔絕任何數據庫集群外部的安全威脅。僅需信任數據庫集群內的操作系統、數據庫軟件。