全部产品
Search
文档中心

云数据库 RDS:全密态数据库(公测)

更新时间:Feb 07, 2025

全密态数据库是阿里云数据库的一项数据安全功能。在RDS PostgreSQL实例中开启并使用该功能,您可以对数据库表中的敏感数据列进行加密,这些列中的敏感数据将以密文进行传输、计算和存储。

背景

随着国家对数据安全和个人敏感信息的加强监管,原子化的数据安全能力无法满足要求。国家和行业标准提出数据全生命周期的安全保障需求。传统的三方安全加固和客户端加密在客户成本、架构改造、数据库性能等方面存在弊端。因此,全密态数据库得到了快速发展和行业认可。从应用视角看,全密态数据库可以解决不同应用场景下的数据安全问题。

什么是全密态数据库

全密态数据库是达摩院数据库与存储实验室与阿里云数据库团队合作的自研产品,通过技术手段最小化人员、平台管理等不可控因素造成的潜在数据安全隐患,杜绝云数据库服务(或应用服务等数据拥有者以外的任何人)接触用户明文数据,避免云端数据发生泄漏,且能够防止研发运维窃取数据、无惧数据库账号泄露。

image.png

全密态数据库采用机密计算技术,数据在用户侧(客户端)加密后,在非受信的服务器端全程以密文形式存在,支持所有的数据库事务、查询、分析等操作。避免云平台软件、管理人员(如DBA),以及其他非授权人员接触到明文数据,做到了数据在数据库内的可用不可见。结合阿里云的安全防护体系,全密态数据库能够有效防御外部和内部的安全威胁,保护用户数据。

  • 全密态数据库如何保证数据不在云端泄漏

    用户在客户端用密钥加密数据后发送给云数据库,数据库无法接触密钥,确保数据不泄漏。

  • 全密态数据库如何保证密文数据还能被数据库处理?

    处理数据时,客户端确认服务端受信后,将密钥传入受信环境,确保数据和密钥在受信环境内处理,防止外部窃取。

应用场景

全密态数据库的目标是研发以数据机密性和完整性为原生能力的新型数据库架构及系统产品。通过相应的设计优化和架构调整,在引入安全能力的同时,仍然保障数据库系统的高性能、高稳定和低成本。

以下是全密态数据库适用的典型场景:

image.png

  • 平台安全运维:在不可信环境(如第三方平台)下,确保数据库服务的安全,保证用户数据在运维过程中的安全。在一般的应用场景中,数据的拥有者即为应用服务方。他们希望防止数据库服务及其运维人员接触到任何应用数据,同时保证数据库的正常运作。

    例如:

    • 业务将应用数据库迁移到云上,需要应对云平台以及运维人员越权访问数据的潜在威胁。

    • 数据应用需要将数据库整体线下部署到客户线下环境,以防止数据被客户运维非授权获取。  

  • 敏感数据合规:在不可信环境(如第三方平台)下,提供应用服务的安全防护,保证终端用户敏感数据的安全。在面向终端用户的应用场景中,部分数据(如健康数据、财务数据等)的拥有者为客户本人。他们希望应用服务只提供数据管理和分析的能力,不能接触私人明文数据。

    例如:

    • 企业使用第三方服务管理其商业数据时,需要应对商业秘密被服务商获取的潜在威胁。

    • 个人识别数据(PII)、基因等隐私数据在被第三方管理过程中,要满足全程加密的合规要求。  

  • 多源数据融合:在多源数据的联合分析中,保证在多方数据融合计算时,数据不会被其他参与方获取。由于加密数据的密钥只由数据拥有者持有,任何其他角色都无法接触明文数据。在需要将部分数据与第三方分享时,用户希望在不泄漏自身密钥的前提下完成加密数据的分享,同时满足合规要求。

    例如:

    • 在联合风控、跨国服务等场景下,有严格的数据合规要求,组织间无法进行明文数据的合规获取。

    • 在合作营销等场景下,存在组织间的既合作又竞争的复杂关系,难以进行明文数据共享。  

全密态数据库安全分级

image.png

从安全视角,云数据库的安全性由弱到强可分为以下几个阶梯(阶梯越高,安全性越强):

  • 常规云数据库服务:基于云安全服务,拦截绝大部分外部攻击,但仍然需要信任数据库实例内的操作系统、数据库软件、IaaS运维人员和数据库用户。

  • 全密态数据库(基础版):推荐使用。结合全密态访问控制模块,限制数据库用户对数据操作的访问,避免非授权访问,确保数据对包括DBA在内的任何数据库用户是可用不可见的,实现数据私有化。仅需信任数据库实例内的操作系统、数据库软件和IaaS运维人员。

  • 全密态数据库(硬件加固版):在基础版的基础上,进一步基于 TEE 技术(例如Intel SGX/TDX、ARM TrustZone、AMD SEV/海光CSV、机密容器等),使全密态数据库(基础版)服务运行在可信区域内,隔绝任何数据库实例外部的安全威胁。仅需信任数据库实例内的操作系统和数据库软件。

说明

全密态数据库的所有安全分级版本具备一致的功能,且所有版本均具备高级密码学能力(例如保属性加密等)。

  • 全密态基础版适用于所有规格(除了Intel SGX 安全增强型规格)的RDS PostgreSQL实例。

  • 全密态硬件加固版适用于Intel SGX 安全增强型规格的RDS PostgreSQL实例。

详细的产品规格请参见RDS PostgreSQL主实例规格列表