背景

隨著國家對(duì)數(shù)據(jù)安全和個(gè)人敏感信息的加強(qiáng)監(jiān)管，原子化的數(shù)據(jù)安全能力無法滿足監(jiān)管要求，國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)逐漸提出數(shù)據(jù)全生命周期的安全保障的需求，傳統(tǒng)的三方安全加固和客戶端加密都在客戶成本、架構(gòu)改造、數(shù)據(jù)庫性能等帶來了不同層面的弊端，因此全密態(tài)數(shù)據(jù)庫得到了快速發(fā)展和行業(yè)認(rèn)可。從應(yīng)用視角看，全密態(tài)數(shù)據(jù)庫可以解決不同應(yīng)用場景下的數(shù)據(jù)安全問題。

什么是全密態(tài)數(shù)據(jù)庫

全密態(tài)數(shù)據(jù)庫是達(dá)摩院數(shù)據(jù)庫與存儲(chǔ)實(shí)驗(yàn)室與阿里云數(shù)據(jù)庫團(tuán)隊(duì)合作的自研產(chǎn)品，以技術(shù)為基石，最小化人員、平臺(tái)管理等不可控因素造成的潛在數(shù)據(jù)安全隱患，可以有效杜絕云數(shù)據(jù)庫服務(wù)（或應(yīng)用服務(wù)等數(shù)據(jù)擁有者以外的任何人）接觸到用戶的明文數(shù)據(jù)，避免云端數(shù)據(jù)發(fā)生泄漏，且能夠防止研發(fā)運(yùn)維竊取數(shù)據(jù)、無懼?jǐn)?shù)據(jù)庫賬號(hào)泄露。

全密態(tài)數(shù)據(jù)庫采用機(jī)密計(jì)算能力，使得數(shù)據(jù)在用戶側(cè)（客戶端）加密后，在非受信的服務(wù)器端全程只需要以密文形式存在，但是仍然支持所有的數(shù)據(jù)庫事務(wù)、查詢、分析等操作。避免云平臺(tái)軟件、管理人員（如DBA）、以及其他非授權(quán)人員接觸到明文數(shù)據(jù)，做到了數(shù)據(jù)在數(shù)據(jù)庫內(nèi)的可用不可見。結(jié)合阿里云強(qiáng)大的安全防護(hù)體系，全密態(tài)數(shù)據(jù)庫能夠有效防御來自云平臺(tái)外部和內(nèi)部的安全威脅，時(shí)刻保護(hù)用戶數(shù)據(jù)，讓云上數(shù)據(jù)成為用戶的私有資產(chǎn)。

• 全密態(tài)數(shù)據(jù)庫如何保證數(shù)據(jù)不在云端泄漏？

  數(shù)據(jù)是在客戶端時(shí)，用戶用自己的密鑰加密后發(fā)送給云數(shù)據(jù)庫的。數(shù)據(jù)庫無法直接接觸到數(shù)據(jù)密鑰，因此無法在非受信環(huán)境外解密并泄漏數(shù)據(jù)。

• 全密態(tài)數(shù)據(jù)庫如何保證密文數(shù)據(jù)還能被數(shù)據(jù)庫處理？

  當(dāng)數(shù)據(jù)需要被處理時(shí)，客戶端通過遠(yuǎn)程證明確認(rèn)服務(wù)端運(yùn)行在受信環(huán)境、且其內(nèi)運(yùn)行的代碼可信后，將密鑰端到端直接傳入受信環(huán)境。數(shù)據(jù)和密鑰就在受信環(huán)境里被處理，外部無法進(jìn)入竊取數(shù)據(jù)。

應(yīng)用場景

全密態(tài)數(shù)據(jù)庫的長期目標(biāo)是設(shè)計(jì)和研發(fā)以數(shù)據(jù)機(jī)密性和完整性為原生能力的新型數(shù)據(jù)庫架構(gòu)及系統(tǒng)產(chǎn)品。通過相應(yīng)的設(shè)計(jì)優(yōu)化和架構(gòu)調(diào)整，在引入安全能力的同時(shí)，仍然保障數(shù)據(jù)庫系統(tǒng)的高性能、高穩(wěn)定和低成本。

針對(duì)不同業(yè)務(wù)場景所面臨的不同數(shù)據(jù)安全問題，以下列舉了一些全密態(tài)數(shù)據(jù)庫適用的典型場景：

• 平臺(tái)安全運(yùn)維：該場景主要針對(duì)在不可信環(huán)境（如第三方平臺(tái)）下提供的數(shù)據(jù)庫服務(wù)的安全防護(hù)，保證用戶數(shù)據(jù)在運(yùn)維過程中的安全。在一般的應(yīng)用場景中，數(shù)據(jù)的擁有者即為應(yīng)用服務(wù)方。他們希望防止數(shù)據(jù)庫服務(wù)及其運(yùn)維人員接觸到任何應(yīng)用數(shù)據(jù)，同時(shí)保證數(shù)據(jù)庫的正常運(yùn)作。

  例如：

  • 業(yè)務(wù)將應(yīng)用數(shù)據(jù)庫遷移到云上，需要應(yīng)對(duì)云平臺(tái)以及運(yùn)維人員越權(quán)訪問數(shù)據(jù)的潛在威脅。

  • 數(shù)據(jù)應(yīng)用需要將數(shù)據(jù)庫整體線下部署到客戶線下環(huán)境，需要防止數(shù)據(jù)被客戶運(yùn)維非授權(quán)獲取。  

• 敏感數(shù)據(jù)合規(guī)：該場景主要針對(duì)在不可信環(huán)境（如第三方平臺(tái)）下提供的應(yīng)用服務(wù)的安全防護(hù)，保證終端用戶敏感數(shù)據(jù)的安全。在面向終端用戶的應(yīng)用場景中，部分?jǐn)?shù)據(jù)（如健康數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)等）的擁有者為客戶本人。他們希望應(yīng)用服務(wù)只提供數(shù)據(jù)管理和分析的能力，不能接觸私人明文數(shù)據(jù)。

  例如：

  • 企業(yè)使用第三方服務(wù)管理其商業(yè)數(shù)據(jù)時(shí)，需要應(yīng)對(duì)商業(yè)秘密被服務(wù)商獲取的潛在威脅。

  • 個(gè)人識(shí)別數(shù)據(jù)（PII）、基因等隱私數(shù)據(jù)在被第三方管理過程中，要滿足全程加密的合規(guī)要求。  

• 多源數(shù)據(jù)融合：該場景主要針對(duì)多源數(shù)據(jù)的聯(lián)合分析，保證在多方數(shù)據(jù)融合計(jì)算時(shí)，數(shù)據(jù)不會(huì)被其他參與方獲取。由于加密數(shù)據(jù)的密鑰只由數(shù)據(jù)擁有者持有，任何其他角色都無法接觸明文數(shù)據(jù)。在需要將部分?jǐn)?shù)據(jù)與第三方分享時(shí)，用戶希望在不泄漏自身密鑰的前提下完成加密數(shù)據(jù)的分享，同時(shí)滿足合規(guī)要求。

  例如：

  • 在聯(lián)合風(fēng)控、跨國服務(wù)等場景下，有嚴(yán)格的數(shù)據(jù)合規(guī)要求，組織間無法進(jìn)行明文數(shù)據(jù)的合規(guī)化獲取。

  • 在合作營銷等場景下，存在組織間的既合作又競爭的復(fù)雜關(guān)系，難以進(jìn)行明文數(shù)據(jù)共享。  

全密態(tài)數(shù)據(jù)庫安全分級(jí)

從安全視角，云數(shù)據(jù)庫能防護(hù)的安全威脅，安全性由弱到強(qiáng)可分為以下幾個(gè)安全分級(jí)階梯（階梯越高，安全性越強(qiáng)）：

• 常規(guī)云數(shù)據(jù)庫服務(wù)：基于云安全服務(wù)，能夠攔截絕大部分外部攻擊，但仍然需要信任數(shù)據(jù)庫實(shí)例內(nèi)的操作系統(tǒng)、數(shù)據(jù)庫軟件、IaaS運(yùn)維人員、以及數(shù)據(jù)庫用戶。

• 全密態(tài)數(shù)據(jù)庫（基礎(chǔ)版）：推薦使用。結(jié)合全密態(tài)訪問控制模塊，限制數(shù)據(jù)庫內(nèi)數(shù)據(jù)庫用戶對(duì)數(shù)據(jù)操作的訪問控制，避免非授權(quán)訪問，可以確保數(shù)據(jù)對(duì)包括DBA在內(nèi)的任何數(shù)據(jù)庫用戶是可用不可見的，實(shí)現(xiàn)數(shù)據(jù)私有化。僅需信任數(shù)據(jù)庫實(shí)例內(nèi)的操作系統(tǒng)、數(shù)據(jù)庫軟件、以及IaaS運(yùn)維人員。

• 全密態(tài)數(shù)據(jù)庫（硬件加固版）：在全密態(tài)數(shù)據(jù)庫（基礎(chǔ)版）的基礎(chǔ)上，進(jìn)一步基于 TEE 技術(shù)（例如Intel SGX/TDX、ARM TrustZone、AMD SEV/海光CSV、機(jī)密容器等），使得整個(gè)全密態(tài)數(shù)據(jù)庫（基礎(chǔ)版）服務(wù)運(yùn)行在可信區(qū)域內(nèi)，基于可信區(qū)域的隔絕任何數(shù)據(jù)庫實(shí)例外部的安全威脅。僅需信任數(shù)據(jù)庫實(shí)例內(nèi)的操作系統(tǒng)、數(shù)據(jù)庫軟件。