数据库在企业核心系统建设中发挥着重要作用,尤其在金融、政企、电信等关键行业,面临数据泄露、数据破坏等风险更是身肩重任。什么样的数据库能真正为企业数据安全提供有力保障呢?对此,华为云GaussDB交出了亮眼的成绩单——GaussDB企业级分布式数据库内核正式获得全球权威信息技术安全性评估标准CC EAL4+级别认证,开启了国内数据库国际安全高等级认证从0到1的突破。
CC标准是国际范围内30多个国家官方认可的通用标准,也是国际公认计算机维度的顶级安全认证。标准设置了EAL1~EAL7的不同评估等级和相应增强级,等级越高,表示通过认证需要满足的安全保障要求越多,系统的安全特性越可靠。其中,EAL4+是目前数据库领域的最高级别认证,而GaussDB是国内首个通过该等级认证的数据库产品,这说明其安全能力在国际范围内得到了高度认可,GaussDB究竟是如何做到的呢?
数据安全面临的挑战
数据是数字化时代下经济发展的核心驱动力,数据安全更直接关系到国家安全,是国家基础性战略资源。但当前权限滥用、隐私泄露、数据恶意篡改等问题频发,数据安全形势日益严峻,给数字化转型的持续深化带来严重威胁。在外部数据监管要求和内部安全保障需求的双重驱动下,企业亟需全面的数据安全风险分析和应对措施,这要求数据库必须建立起系统化的安全防御体系,保证数据在存储、传输、查询、运维等全生命周期的数据安全。
数据安全面临的挑战
华为云GaussDB数据库
整体安全能力结构
作为华为主打政企核心业务负载的企业级分布式数据库旗舰产品,GaussDB结合软硬全栈优势,构建起了多层级、体系化、整体的安全能力架构,从各环节保障数据库在应用中的安全。
该架构通过数据库防火墙的入侵防御、基于AI的攻击识别及智能防御,做到“攻不破”;通过数据库服务端的安全认证机制让攻击者“进不来”;通过完善的访问控制机制让恶意用户“拿不走”;通过数据加密和数据脱敏机制确保数据在被非法窃取后攻击者“看不懂”;通过数据库的防篡改部署让攻击者“改不了”;通过系统内部细粒度审计机制、记录用户操作行为,让攻击行为“赖不掉”;通过联合第三方评估测试机构进行安全测试,让用户“信得过”。一个完整的防御架构如下图所示。
GaussDB数据库多层级安全防御架构
GaussDB数据库
内核安全架构及能力
在这套整体的纵深防御安全体系中,GaussDB还结合云上业务场景和面临的风险,建立起了牢固的内核安全架构及能力。因为在云服务场景下,企业对数据安全的需求更加严苛:
开放环境下的隐私保护:云数据库部署网络由“私有环境”转向“开放环境”后,用户数据被更充分地暴露给攻击者,极有可能遭受恶意攻击,需要从根本上提升用户数据隐私保护能力;
更全面的追踪和审计:在数字货币、政务、食品安全等领域,云运营人员可以篡改数据并擦除篡改痕迹,企业难以有效追踪,更加渴望实现全向追踪管理,防止数据篡改与作弊;
更高要求的第三方可信:企业数据上云后,运维管理由“用户自管理”向“第三方托管管理”过渡,运维管理员可通过权限提升来访问和篡改数据,这更加要求云服务第三方的可信度。
GaussDB的内核安全架构及能力能够从服务器端彻底解决覆盖数据全生命周期的隐私保护问题,满足企业以上诉求。架构提供全密态数据库解决方案和防篡改数据库解决方案,且打造了全密态、行级访问控制、认证鉴权、细粒度审计机制、防篡改、透明数据加密、动态数据脱敏等诸多特性,构建起全方位完整的基础安全能力,为数据全流程环节提供多层安全防护。
GaussDB数据库内核安全能力架构
全密态数据库——为数据提供全生命周期安心守护
针对数据泄露、恶意攻击和数据篡改等问题,GaussDB全密态数据库解决方案能为数据提供全生命周期的安全守护。方案支持用户自己持有数据加解密密钥,加解密过程仅在客户侧完成,数据在存储、传输、查询整个生命周期过程中均以密文形态存在,并在服务端完成查询运算。
因此无论数据处于何种状态,攻击者都无法获取到有效信息,从而保障了企业数据在云上全生命周期的隐私安全;因密钥掌握在用户自己手上,企业能更好地解决与第三方之间的信任问题;再者,数据加密将帮助企业更好地遵守个人隐私保护方面的法律法规。
全密态数据库机制下,一个用户体验良好的业务数据流图如下图所示。假定数据列c1已经以密文形态存放在数据库服务端,用户发起查询任务指令。用户发起的查询任务无需进行特殊化改造,对于查询中涉及的与敏感数据c1相关联的参数,在客户端按照与数据相同的加密策略(加密算法,加密密钥等)完成加密,如图中关联参数“123”被加密成“0xfe31da05”。参数加密完成后整个查询任务被变更成一个加密的查询任务,并通过安全传输通道发送到数据库服务端,由数据库服务端完成基于密文的查询检索。检索得到的结果仍然为密文,并最终返回客户端进行解密。
密态数据库业务流端到端流程
基于密文数据信息进行等值查询实现敏感数据保护
全自动加密驱动实现用户数据库操作无感知
GaussDB还实现了完全自动化的敏感信息加密替换,同时在数据库中存储所有加密相关的元信息,使数据库可以很好地识别和处理对应的加密数据。
如下图,由于SQL语句中与敏感信息相关的参数也被加密处理,使得发送至数据库服务侧的查询任务(图中ciphertext query)不会泄露用户查询意图,从而减少客户端安全管理及操作的难度,实现用户应用开发无感知,使用户在任务迁移时获得极大的便捷性。
全自动客户端加密驱动
高强度密钥体系保障密钥安全
整个全密态数据库解决方案中,除数据本身是敏感信息外,最为敏感的就是数据加解密密钥。GaussDB通过三层密钥体系,让各层密钥各司其职,真正做到密钥高强度的安全保护。
第一层为数据密钥,对不同的字段采用不同的密钥,对相同字段的不同数据采用不同的盐值,以实现不同字段之间的加密隔离。即使某一列数据的加密密钥被泄露,也不会影响到其他数据的安全,提升整体数据的安全性。
第二层为用户密钥,对不同的用户使用不同的密钥,以实现用户之间的加密隔离。用户密钥永远不会离开用户可信环境,即使包括管理员在内的其他用户窃取了数据的访问权限,也无法解密最终数据。
第三层为设备密钥,对不同的密钥存储设备或工具使用不同的密钥进行保护,实现设备间的加密隔离,大大增加了想要通过攻击用户密钥存储设备或工具从而破解密钥的难度。
防篡改数据库——全流程追溯实现数据完整性保护
面对第三方系统运维管理员可能出现的恶意篡改数据、擦除篡改痕迹,企业无法有效追踪等问题,GaussDB防篡改数据库解决方案能够帮助企业进行更加全面的审计和历史追溯。
该方案可对防篡改账本表进行数据的增、删、改操作,语法与普通表一致,因此对业务层面无感知;可记录行级数据的操作追溯信息和变化追溯信息,并基于密码学算法生成校验信息,通过对校验信息的保护、比对、验证,对重要数据进行完整性保护;账本表可以和其他表关联,进行事务或查询;账本表中数据行与行之间没有必然联系,因此还支持并发更改。
其逻辑是基于账本表、历史表、全局表三者的一致性保证,来验证数据库中的敏感信息是否发生恶意篡改,从而有效提高数据库的防篡改能力。
防篡改账本机制
账本表:用于存储数据,支持全量的增、删、改、查操作,在用户看来仅比普通表多了一列hash列。
全局表:用于存储数据的操作历史,将记录操作的SQL语句和操作造成的摘要更改。
历史表:用于存储数据的变化历史,只记录hash摘要,不记录数据。
账本表中的数据增删改操作均会被记录到历史表、全局表中,通过历史表和全局表可校验信息的记录,对数据进行全流程追踪审计,每一步都能结合校验信息进行篡改校验,并将导出的数据与库内的数据进行关联校验,从而保证数据全生命周期的追踪。
高效可信的持续交付
除了技术上的能力,华为已经构建起一套完整的软件可信工程,在每个系统的业务意图(功能性诉求)之外,将韧性、Security安全性、隐私性、Safety安全性、可靠性、可用性六大特征作为基本诉求,打造了高效可信的持续交付能力。
韧性:服务宕机是否能够自动拉起来?系统能否经受住大规模并发冲击?
安全性:这里有两个单词代表安全性特质,即Security和Safety。其中Security侧重数据安全、信息安全,Safety侧重环境安全等。
除此以外,还需要考虑隐私性、可靠性、可用性等特质。
本次认证过程中,华为云GaussDB研发团队严格遵守软件可信工程的管理规则和交付流程,结合认证的测试要求,最终持续快速地完成了项目交付。
于行业实践中发挥数据价值
GaussDB不仅聚焦技术创新,也专注于在实践中挖掘数据价值,当前已应用到2500+大客户的核心业务中。在华为集团流程IT ERP系统改造的世界级攻坚任务中,GaussDB通过全密态能力,实现核心账务数据的密文查询和计算,从各个环节避免了数据泄露,全生命周期保护企业隐私。GaussDB有信心、有实力为更多企业核心系统建设提供更加坚实可靠的数据库服务,做企业数字化转型的坚实后盾。
戳“阅读原文”,了解更多
