PolarDB产品的安全能力可以从访问安全、数据传输安全、数据安全、数据脱敏和安全审计5个方面体现。
访问安全
PolarDB提供的集群白名单功能实现了集群访问安全,集群白名单功能包括集群IP白名单和安全组,创建PolarDB MySQL版集群后,您需要为集群设置白名单或设置安全组,只有添加到白名单中的IP地址或安全组中的ECS实例允许访问该集群。
- IP白名单。
IP白名单指允许访问PolarDB MySQL版集群的IP清单。设置IP白名单可以让PolarDB MySQL版集群得到高级别的访问安全保护,建议您定期维护白名单。通常需要设置IP白名单的场景如下:
- 如果您的ECS实例需要访问PolarDB,可在ECS实例详情页面,查看ECS实例的IP地址,然后填写到白名单中。 说明 如果ECS与PolarDB位于同一地域,建议白名单中填写ECS的私网IP地址;如果ECS与PolarDB位于不同的地域,白名单中填写ECS的公网IP地址,或者将ECS迁移到PolarDB所在地域后填写ECS私网IP地址。
- 如果您本地的服务器、电脑或其它云服务器需要访问PolarDB,请将其IP地址添加到白名单中。
- 如果您的ECS实例需要访问PolarDB,可在ECS实例详情页面,查看ECS实例的IP地址,然后填写到白名单中。
- 安全组。
若您想通过阿里云ECS来访问PolarDB集群,您可以使用ECS的安全组功能,在PolarDB集群白名单中添加某个安全组,该安全组中的ECS实例可以访问PolarDB集群。
数据传输安全
为了提高链路安全性,PolarDB提供了SSL(Secure Sockets Layer)加密功能。SSL在传输层对网络连接进行加密,能提升通信数据的安全性和完整性。
您可以启用SSL加密,并安装SSL CA证书到需要的应用服务。更多关于SSL加密的信息和配置介绍,请参见设置SSL加密。
数据安全
PolarDB的透明数据加密TDE(Transparent Data Encryption)功能可对数据文件执行实时I/O加密和解密,数据在写入磁盘之前进行加密,从磁盘读入内存时进行解密,从而保障数据安全。
更多关于TDE的信息和配置介绍,请参见设置透明数据加密TDE。
数据脱敏
在数据库使用中,需要实时地从生产环境中的数据库(即生产库)获取最新的客户数据来进行报表生成、数据分析、开发测试等。但为了不泄露真实的客户个人信息(Personal Identifiable Information),需要将这些数据进行脱敏处理后才能提供给第三方使用。
PolarDB通过数据库代理(Proxy)提供了动态脱敏功能实现数据脱敏。当应用程序发起数据查询请求时,系统会在数据库内部对敏感数据进行变换后再返回给应用程序。开始查询前,仅需指定需要进行脱敏查询的数据库账号,以及需要脱敏的数据库、表或列的名称即可。既有效保证了数据的实时性,又实现了数据脱敏,保障了数据访问安全。
更多关于动态脱敏的信息和配置介绍,请参见动态脱敏。
安全审计
PolarDB提供了SQL洞察和审计功能,通过采集和分析SQL原始日志,帮助您洞察数据库的安全和性能风险。