1、安全认证
GBase 8a MPP Cluster分布式数据库可以基于操作系统用户和数据库用户之间的绑定,并与AD、LDAP等目录服务和认证服务集成提供基于Kerberos协议的用户认证能力。具体实现机制如下:
GBase 8a MPP Cluster可以通过LDAP和Kerberos联合使用来进行账号和认证管理。LDAP(例如使用AD)用来做账号管理,Kerberos作为认证。Kerberos需要最终用户(client,ODBC,JDBC,C API)有一个有效的Kerberos证书。当配置为使用LDAP时,把GBase 8a MPP Cluster数据库coordinator看作为一个LDAP客户端(shell,ODBC,JDBC,c api等)发送其用户名和密码到coordinator,然后coordinator将用户名和密码发送给LDAP服务器并尝试登录。coordinator发出LDAP“绑定”操作。如果LDAP服务器为该次登陆尝试返回成功,则coordinator接受用户的连接。LDAP只用于验证外部的客户(如shell,ODBC,JDBC,c api)。所有其他后端认证由Kerberos进行处理。
2、数据传输安全
在数据传输安全保护方面,系统在应用层和传输层上支持SSL和TLS安全协议,有效防止远程管理过程中的信息泄露问题。GBase 8a MPP Cluster的加密数据算法为数据的安全传输提供了另一层有效保护,即使数据文件丢失也无法被使用。
通过以上技术保证了数据的安全传输,防止数据库在数据传输(包括数据的外部读取以及节点间传输)过程中数据被窃取、篡改。
3、支持C2级安全标准及数据加密
GBase 8a MPP Cluster数据库产品达到NCSC的C2级安全标准,并且内置安全加密功能模块,当数据库各节点进行数据存储和读取时,完成数据加解密/解密处理,实现对表中指定列和敏感数据的透明加解密,其中支持md5、SHA1、SHA224/256/384/512、AES、PGP等加密算法。此外,系统提供密钥的管理和保存支持,使用户无法访问密钥。
