* SOC2审计报告:即 Report on System and Organization Controls, 是由美国注册会计师协会(AICPA)指定的、针对服务商的内部控制情况进行审计而出具的第三方独立报告,是具有高度客观性、持续性和高认可度的详式报告,已经成为全球公认的数据安全审计标准。类型二报告体现了 OceanBase 已经按照 SOC 准则和标准要求,设计并实施了一套完善的内部控制体系和安全管理流程及技术。
报告显示:公司针对 OceanBase Cloud 服务设计并实施了一系列与安全性、可用性和保密性相关的功能与能力。
例如:OceanBase Cloud 采用多租户架构,通过唯一的租户 ID实现多租户间的资源隔离,确保各租户仅能访问与其自身相关的资源。网络联通方面,OceanBase Cloud 采用的是内网连接模式,用户默认仅能使用相同 VPC 下的服务器通过内网访问数据库实例。若用户需要实现跨 VPC 的数据库实例访问,须使用 OceanBase Cloud 提供的 IP 白名单功能,通过配置IP 白名单访问规则,实现跨 VPC 的访问并确保其数据库实例仅响应来自白名单中 IP 地址的访问请求。此外,为实现数据的安全加固,OceanBase Cloud 禁止用户加载动态链接库。
此次审计的 OceanBase Cloud 服务包括三个版本:阿里云版 OceanBase 公有云服务、多云版 OceanBase 公有云服务、AWS MarketPlace 版 OceanBase 公有云服务,三个版本均可以为客户在云上提供监控、诊断、开发、备份、恢复的端到端数据库服务化解决方案。
中国网络安全审查技术与认证中心 CCRC 是国内权威的网络安全审查和认证机构。EAL 认证遵循 GB/T 20273-2019《信息安全技术 数据库管理系统安全技术要求》 标准进行,其中 EAL4 级别是数据库产品在该认证体系中最严苛的标准,足以证明产品在信息及网络安全领域中具备领先而稳固的安全效果。
此次评估涵盖了产品安全能力、研发过程安全能力和公司流程管控能力等多方面,进一步证明了 OceanBase 全流程的安全管控水平。
OceanBase 潜心打磨 12 载,未来,OceanBase 也将坚持长期主义,持续增强产品及服务的安全能力,确保行业数字化转型的数据安全、业务稳定,成为用户可信赖的数据底座。
