数据安全无小事:揭秘华为云GaussDB(openGauss)全密态数据库
发布网友
发布时间:2024-09-25 18:05
共1个回答
热心网友
时间:2024-09-27 20:35
全密态数据库,专门用于处理密文数据的数据库系统,数据以加密形态存储在数据库服务器中,数据库支持对密文数据的检索与计算。面对云基础设施的快速增长和成熟,云数据库服务层出不穷,为传统企业和移动消费者提供了便捷性。然而,数据库的核心任务是保证数据的安全性,包括不丢失、隐私不泄露、不被篡改以及服务不中断,因此需要数据库具备多层次的安全防御机制。
当前数据库安全技术手段包括数据库防火墙的入侵防御、基于AI的攻击识别及智能防御、强认证机制、权限管理、数据加密存储机制、多副本备份和审计机制等,形成了一套纵深防御的安全体系。然而,随着云数据库服务的开放性增强,它面临的风险更为多样化和复杂化,包括应用程序漏洞、系统配置错误、恶意管理员等。
全密态数据库的概念应运而生,旨在解决云数据库场景中的数据安全隐私保护问题。它允许数据在客户端以密文形态存在,数据在数据库服务器中进行检索与计算时仍保持加密状态。这意味着数据库管理员无法接触到明文数据,从而提升了数据的安全性。全密态数据库通过用户侧的加密和解密操作,实现数据的全生命周期隐私保护,包括数据传输、存储、查询和返回结果等阶段。
GaussDB(openGauss)全密态数据库解决方案结合了软件和硬件模式的优点,实现了软硬件模式的自由切换,支持公有云、混合云以及终端智慧业务,同时保持用户无感知。该方案通过最小粒度的隔离级别和一系列密钥安全保障机制,实现了硬件环境中的数据及密钥安全,降低了硬件安全问题导致的数据泄露风险。同时,GaussDB支持多种密码学算法,构建出不同的密态查询引擎,实现数据等值查询、范围查询、保序查询、表达式计算等功能。通过引入确定性加密机制和基于GS-OPE算法的密文索引技术,实现数据的增删改查、表字段关联、等值检索等基本操作。
为了解决客户端进行加解密带来的复杂性问题,GaussDB实现了全自动客户端加密驱动,自动完成敏感信息加密替换和加密相关的元信息存储,减少了客户端的复杂安全管理及操作难度,实现用户应用开发无感知。此外,GaussDB利用算子级隔离策略显著降低了安全风险,通过精心设计实现敏感数据检索和计算模块,深度优化了REE与TEE之间的性能和数据传输方式,将性能影响降到最低。
全密态数据库技术为数据库安全隐私保护提供了高级防御手段,但仍面临算法安全性、性能损耗等挑战。未来,全密态数据库将更加专注于敏感数据的使用,通过数据库本身提供的多方位数据保护机制,构建全方位的数据安全保护体系。GaussDB将逐步开源全密态数据库能力到openGauss,与社区共同推进和完善解决方案,共同构建数据库安全生态。
