产品概述

背景

随着国家对数据安全和个人敏感信息的加强监管，原子化的数据安全能力无法满足监管要求，国家标准和行业标准逐渐提出数据全生命周期的安全保障的需求，传统的三方安全加固和客户端加密都在客户成本、架构改造、数据库性能等带来了不同层面的弊端，因此全密态数据库得到了快速发展和行业认可。从应用视角看，全密态数据库可以解决不同应用场景下的数据安全问题。

什么是全密态数据库

全密态数据库是达摩院数据库与存储实验室与阿里云数据库团队合作的自研产品，以技术为基石，最小化人员、平台管理等不可控因素造成的潜在数据安全隐患，可以有效杜绝云数据库服务（或应用服务等数据拥有者以外的任何人）接触到用户的明文数据，避免云端数据发生泄漏，且能够防止研发运维窃取数据、无惧数据库账号泄露。

全密态数据库采用机密计算能力，使得数据在用户侧（客户端）加密后，在非受信的服务器端全程只需要以密文形式存在，但是仍然支持所有的数据库事务、查询、分析等操作。避免云平台软件、管理人员（如DBA）、以及其他非授权人员接触到明文数据，做到了数据在数据库内的可用不可见。结合阿里云强大的安全防护体系，全密态数据库能够有效防御来自云平台外部和内部的安全威胁，时刻保护用户数据，让云上数据成为用户的私有资产。

• 全密态数据库如何保证数据不在云端泄漏？

  数据是在客户端时，用户用自己的密钥加密后发送给云数据库的。数据库无法直接接触到数据密钥，因此无法在非受信环境外解密并泄漏数据。

• 全密态数据库如何保证密文数据还能被数据库处理？

  当数据需要被处理时，客户端通过远程证明确认服务端运行在受信环境、且其内运行的代码可信后，将密钥端到端直接传入受信环境。数据和密钥就在受信环境里被处理，外部无法进入窃取数据。

应用场景

全密态数据库的长期目标是设计和研发以数据机密性和完整性为原生能力的新型数据库架构及系统产品。通过相应的设计优化和架构调整，在引入安全能力的同时，仍然保障数据库系统的高性能、高稳定和低成本。

针对不同业务场景所面临的不同数据安全问题，以下列举了一些全密态数据库适用的典型场景：

• 平台安全运维：该场景主要针对在不可信环境（如第三方平台）下提供的数据库服务的安全防护，保证用户数据在运维过程中的安全。在一般的应用场景中，数据的拥有者即为应用服务方。他们希望防止数据库服务及其运维人员接触到任何应用数据，同时保证数据库的正常运作。

  例如：

  • 业务将应用数据库迁移到云上，需要应对云平台以及运维人员越权访问数据的潜在威胁。

  • 数据应用需要将数据库整体线下部署到客户线下环境，需要防止数据被客户运维非授权获取。  

• 敏感数据合规：该场景主要针对在不可信环境（如第三方平台）下提供的应用服务的安全防护，保证终端用户敏感数据的安全。在面向终端用户的应用场景中，部分数据（如健康数据、财务数据等）的拥有者为客户本人。他们希望应用服务只提供数据管理和分析的能力，不能接触私人明文数据。

  例如：

  • 企业使用第三方服务管理其商业数据时，需要应对商业秘密被服务商获取的潜在威胁。

  • 个人识别数据（PII）、基因等隐私数据在被第三方管理过程中，要满足全程加密的合规要求。  

• 多源数据融合：该场景主要针对多源数据的联合分析，保证在多方数据融合计算时，数据不会被其他参与方获取。由于加密数据的密钥只由数据拥有者持有，任何其他角色都无法接触明文数据。在需要将部分数据与第三方分享时，用户希望在不泄漏自身密钥的前提下完成加密数据的分享，同时满足合规要求。

  例如：

  • 在联合风控、跨国服务等场景下，有严格的数据合规要求，组织间无法进行明文数据的合规化获取。

  • 在合作营销等场景下，存在组织间的既合作又竞争的复杂关系，难以进行明文数据共享。  

全密态数据库安全分级

从安全视角，云数据库能防护的安全威胁，安全性由弱到强可分为以下几个安全分级阶梯（阶梯越高，安全性越强）：

• 常规云数据库服务：基于云安全服务，能够拦截绝大部分外部攻击，但仍然需要信任数据库实例内的操作系统、数据库软件、IaaS运维人员、以及数据库用户。

• 全密态数据库（基础版）：推荐使用。结合全密态访问控制模块，限制数据库内数据库用户对数据操作的访问控制，避免非授权访问，可以确保数据对包括DBA在内的任何数据库用户是可用不可见的，实现数据私有化。仅需信任数据库实例内的操作系统、数据库软件、以及IaaS运维人员。

• 全密态数据库（硬件加固版）：在全密态数据库（基础版）的基础上，进一步基于 TEE 技术（例如Intel SGX/TDX、ARM TrustZone、AMD SEV/海光CSV、机密容器等），使得整个全密态数据库（基础版）服务运行在可信区域内，基于可信区域的隔绝任何数据库实例外部的安全威胁。仅需信任数据库实例内的操作系统、数据库软件。