功能概述

什么是全密态数据库

全密态数据库采用机密计算能力，支持所有的数据库事务、查询、分析等操作，并对查询结果在返回前进行加密，使得数据在除了应用客户端以及数据库内的外部流动中全程以密文形式存在。该功能可以避免云平台软件、管理人员（如DBA）以及其他非授权人员接触到明文数据，防止研发和运维人员窃取数据，实现了数据在数据库内可用不可见。结合阿里云强大的安全防护体系，全密态数据库能够有效防御来自云平台外部和内部的安全威胁，时刻保护用户数据，让云上数据成为用户的私有资产。

• 全密态数据库如何保证数据不在云端泄露？

  全密态数据库在对返回查询结果中包含的被保护数据始终进行加密，即使数据库账号泄露也不会造成被保护数据泄露。可结合云盘加密（推荐）或TDE加密的数据落盘加密，实现多层数据加密能力。

  说明

  全密态数据库和数据落盘加密，两者并非绑定关系，请根据业务需求选择。

• 全密态数据库如何保证密文数据还能被数据库处理？

  当数据需要被处理时，客户端在确认服务端运行在受信环境且其内运行的代码可信后，将密钥端到端直接传入受信环境。数据和密钥就在受信环境里被处理，外部无法进入窃取数据。

应用场景

全密态数据库的长期目标是设计和研发以数据机密性和完整性为原生能力的新型数据库架构及系统产品。通过相应的设计优化和架构调整，在引入安全能力的同时，仍然保障数据库系统的高性能、高稳定和低成本。

针对不同业务场景所面临的不同数据安全问题，以下列举了一些全密态数据库适用的典型场景：

• 平台安全运维：该场景主要针对在不可信环境（如第三方平台）下提供的数据库服务的安全防护，保证用户数据在运维过程中的安全。在一般的应用场景中，数据的拥有者即为应用服务方。他们希望防止数据库服务及其运维人员接触到任何应用数据，同时保证数据库的正常运作。

  例如：

  • 业务将应用数据库迁移到云上，需要应对云平台以及运维人员越权访问数据的潜在威胁。

  • 数据应用需要将数据库整体线下部署到客户线下环境，需要防止数据被客户运维非授权获取。  

• 被保护数据合规：该场景主要针对在不可信环境（如第三方平台）下提供的应用服务的安全防护，保证终端用户被保护数据的安全。在面向终端用户的应用场景中，部分数据（如健康数据、财务数据等）的拥有者为客户本人。他们希望应用服务只提供数据管理和分析的能力，不能接触私人明文数据。

  例如：

  • 企业使用第三方服务管理其商业数据时，需要应对商业秘密被服务商获取的潜在威胁。

  • 个人识别数据（PII）、基因等隐私数据在被第三方管理过程中，要满足全程加密的合规要求。  

• 多源数据融合：该场景主要针对多源数据的联合分析，保证在多方数据融合计算时，数据不会被其他参与方获取。由于加密数据的密钥只由数据拥有者持有，任何其他角色都无法接触明文数据。在需要将部分数据与第三方分享时，用户希望在不泄露自身密钥的前提下完成加密数据的分享，同时满足合规要求。

  例如：

  • 在联合风控、跨国服务等场景下，有严格的数据合规要求，组织间无法进行明文数据的合规化获取。

  • 在合作营销等场景下，存在组织间的既合作又竞争的复杂关系，难以进行明文数据共享。  

全密态数据库安全分级

从安全视角来看，云数据库能防护安全威胁，其安全性由弱到强可分为以下几个阶梯（阶梯越高，安全性越强）：

• 常规云数据库服务：基于云安全服务，能够拦截绝大部分外部攻击，但仍然需要信任数据库实例内的操作系统、数据库软件、IaaS运维人员以及数据库用户。

• 全密态数据库（基础版）：推荐使用。结合全密态访问控制模块，限制数据库内数据库用户对数据操作的访问控制，避免非授权访问，可以确保数据对包括DBA在内的任何数据库用户是可用不可见的，实现数据私有化。仅需信任数据库实例内的操作系统、数据库软件以及IaaS运维人员。

• 全密态数据库（硬件加固版）：在全密态数据库（基础版）的基础上，进一步基于TEE技术（例如Intel SGX/TDX、ARM TrustZone、AMD SEV/海光CSV、机密容器等），使得整个全密态数据库（基础版）服务运行在可信区域内，隔绝任何数据库实例外部的安全威胁。仅需信任数据库实例内的操作系统、数据库软件。