2023年3月16日,在中国信通院组织的首批“全密态数据库”产品能力评测中,阿里云计算有限公司(以下简称:阿里云)的云原生关系型数据库PolarDB全密态版(以下简称全密态PolarDB)软件顺利完成了首个全密态数据库技术标准的全部四大能力域、三十个能力项能力测试。该测评依据《全密态数据库技术要求》进行,对标准中四个能力域的所有三十个能力项进行测试,涵盖了全周期数据密态、密态数据处理、加密算法与密钥管理、以及数据库基本能力等。
此次参与评测的全密态PolarDB是阿里巴巴自研的新一代云原生数据库,在存储计算分离架构下,利用了软硬件结合的优势,为用户提供具备极致弹性、高性能、海量存储、安全可靠的数据库服务,同时在达摩院数据库与存储实验室加持下,融合密态计算能力构建了数据传输、数据处理、数据存储的全链路安全防护,数据在用户侧加密后传入数据库管理系统,数据明文对于数据库服务端不可见,实现了端到端的数据强安全性。
全密态PolarDB数据库针对用户数据泄露问题,融合了密态计算能力(如TEE可信执行环境、PPE属性保持加密等),使得数据在用户侧(客户端)加密后,在服务器端全程只需要以密文形式存在,但是仍然支持所有的数据库事务、查询、分析等操作,避免云平台软件(如OS、VMM、特权系统管理工具等)、管理人员(如数据库管理员DBA、运维人员、平台人员)接触到明文数据,做到了云数据库内数据的“可用不可见”。同时,全密态PolarDB数据库兼容现有的安装适配及兼容能力、易用性能力,对应用透明,极大降低了用户使用门槛和业务切换的难度,结合阿里云强大的安全防护体系,该产品能够有效防御来自云平台外部和内部的安全威胁,时刻保护用户数据,让云上数据成为用户的私有资产。
相较于传统数据库针对数据所处阶段来制定安全保护措施的,如在数据传输阶段使用安全传输协议 SSL/TLS,在数据持久化存储阶段使用透明存储加密,在返回结果阶段使 用 RLS(Row Level Security)或者数据脱敏策略。全密态数据库使得用户(在客户端)自行加密后的敏感 数据在任何时刻都不以明文形式暴露给服务器,但数据库服务仍然可以在密文数据上支持所有的计算查询、事务等操作,因此全密态数据库具备更强的数据安全防护能力,并且在研发、功能、性能等方面均具备明显优势:
- 研发:应用接入仅需要少量改造,甚至零改造,投入成本低;
- 功能:基于硬件提供的安全防护,任何第三方看不到数据明文,安全性有保障,并且功能上与普通数据库保持一致;此外,能够提供细粒度(加密级别)以及便捷的多密钥管理机制;
- 性能:能够在密文上基于明文语义构建有效的索引,提高密文上的查询性能,应用只需要专注在业务功能逻辑,不需要耗费精力对明文和密文进行区分处理。
- 更高的安全性:数据离开客户端后全程以密文形态存在,除在可信硬件环境(TEE)外始终以密文形态存在,全链路无法触及密钥和数据明文,确保了业务敏感数据在数据库端的安全。
- 更全更易用的数据管理能力:管理密文数据是需要引入繁琐的应用侧逻辑,严重增加了业务研发团队的工程复杂度,如需要对涉及密文计算的SQL进行改写、当明文数据为数值等非文本类型时需要作数据类型的转换、不同数据列对应的密钥需要手动管理等;因此全密态数据库闭环了密态数据处理能力抽象出通用接口给上层业务,大大降低了研发成本。
- 更方便的运维支持:由于业务本身的敏感性,更好的保证敏感数据安全性避免接触线上明文数据,因此给运维在线上故障排查带来了难题,而全密态数据库让运维操作密文无感知。全密态数据库通过将复杂加密操作封装在客户端 SQL 驱动内部,实现完全自动化的敏感信息加密,同时在数据库中存储了所有加密相关的元信息,数据库可以很好的识别和处理对应的加密数据。
随着国家对数据安全和个人敏感信息的加强监管,原子化的数据安全能力无法满足监管要求,国标和行业标准逐渐提出数据全生命周期的安全保障的需求,传统的三方安全加固和客户端加密都在客户成本、架构改造、数据库性能等带来了不同层面的弊端,因此全密态数据库得到了快速发展和行业认可。
从应用视角看,全密态数据库可以解决不同应用场景下的数据安全问题,几种典型场景如下图所示:
- 平台安全运维:该场景主要针对在不可信环境(如第三方平台)下提供的数据库服务的安全防护,保证用户数据在运维过程中的安全。例如,业务将应用数据库迁移到云上,需要应对云平台以及运维人员越权访问数据的潜在威胁;再如,数据应用需要将数据库整体线下部署到客户线下环境,需要防止数据被客户运维非授权获取。
- 敏感数据合规:该场景主要针对在不可信环境(如第三方平台)下提供的应用服务的安全防护,保证终端用户敏感数据的安全。例如,企业使用第三方服务管理其商业数据时,需要应对商业秘密被服务商获取的潜在威胁;再如,个人识别数据(PII)、基因等隐私数据在被第三方管理过程中,要满足全程加密的合规要求。
- 多源数据融合:该场景主要针对多源数据的联合分析,保证在多方数据融合计算时,数据不会被其他参与方获取。例如,在联合风控、跨国服务等场景下,有严格的数据合规要求,组织间无法进行明文数据的合规化获取;再如,在合作营销等场景下,存在组织间的既合作又竞争的复杂关系,难以进行明文数据共享。
纵观未来发展,通过数据库产业侧共同努力我们希望搭建一套安全可信的数据库技术架构,让数据成为私有化资源像我们使用自来水和电一样使用方便操作自如,所有常见的数据库系统均能支持全密态功能、所有明文的数据库操作都能提供对应的全密态操作、应用开发成本与明文数据库无异、性能回退无限趋近于普通数据加密等,使得在任何环境内(如公共云、行业云、本地部署)的数据库均能具备一致的数据机密性保护水位,免除数据拥有者对数据库环境不可信的担忧,促进数据库向中心化、规模化、低成本化方向集中。同时进一步与防篡改、隐私保护、多方安全计算等技术相互结合,保障数据在业务使用中的全方位安全,促进数据的自由流通与有效利用。
