OpenPie 拓数派

PieCloudDB Database,在云原生时代构筑数据安全防线

2022-10-27

随着数据量和计算能力的爆发式增长,云计算技术的迅猛发展,云原生时代应运而生。公有云带来了可以按需申请/释放的无限的计算资源、无限的存储池和低价的对象存储,让云原生数据库 PieCloudDB Database 摆脱PC架构的限制,完美解决传统数据库的缺陷,实现了基于云计算平台的元数据层-计算层-存储层三层分离架构。PieCloudDB Database 的弹性伸缩、降本增效、即开即用等众多优势,为用户带来更高的性价比和更便捷的使用体验。


在享受 PieCloudDB Database 带来了的便捷的同时,常有人对安全性产生疑问:在云环境下,系统所面临的风险远多于私有环境。作为一款云原生数据库,PieCloudDB Database 是如何保障其数据库安全呢?


传统数据库安全的运行模式


在介绍 PieCloudDB Database 的安全性之前,我们先来探讨一下传统数据库的运行层次。传统数据库的运行层次主要分为三个层次:


  • 用户层


传统数据库的用户层包含了主要普通用户的操作,连接数据库至客户端运行业务,进行数据的加载、创建数据表、查询计算等相关操作。


  • DBA层


传统数据库的DBA层可以进行DBA用户的主要操作,可进行管理数据库和业务审计等工作,包括创建数据库、创建Schema、授予和管理权限、维护监控等操作。


  • 基础架构层


基础架构层可进行系统管理员的主要操作。主要进行的运维相关的工作,包括管理集群、数据备份恢复、数据库升级、扩容等操作。


PieCloudDB Database 的数据安全


PieCloudDB 作为一款云原生数据库,实现了存算分离。存储侧支持标准对象存储,大大降低了灾备的成本PieCloudDB通过智能可视化平台,简化了传统DBA的工作量。同时,基于云化特性,PieCloudDB也简化了数据库在基础架构层的运维工作,并且将平台运维分离至云平台系统,将用户从运维完全解放了出来,运行层次也简化为用户层和基础架构层两个层次。


PieCloudDB Database 用户层


在用户层,PieCloudDB 高度兼容 SQL:2016 标准和标准数据库接口,并通过智能可视化标准平台降低了操作门槛,为用户的权限管理、用户管理、集群管理提供了可视化的能力,保证数据安全。


1.    智能可视化标准平台


PieCloudDB 为用户提供了智能可视化标准平台。通过可视化的操作,PieCloudDB 为用户在权限管理、用户管理和集群管理操作上降低了门槛,让数据库使用体验上了一个台阶。 PieCloudDB 基于 RBAC(Role-Based Access Control,基于角色的访问控制)模型设计权限,将用户通过角色与权限进行关联。在这种模型中,用户与角色之间,角色与权限之间,一般是多对多的关系。


  • 权限管理


PieCloudDB 对于权限管理的目标是实现可见即可管。PieCloudDB提供了租户下的角色管理模块,支持创建角色,建立基于系统角色的基本角色架构,对不同的角色完成角色的继承、用户的关联、权限的赋予等操作;通过可视化操作和图表结构帮助用户理解当前系统角色关系。


  • 用户管理


PieCloudDB 实现了租户下的用户管理功能,支持创建用户、查找用户、修改用户信息、重置密码、赋予用户角色、删除用户等操作;可视化的管理界面让用户管理变得更加便捷。



  • 集群管理


PieCloudDB 为用户提供了集群操作管理和集群精细化管理模块,支持将创删集群等操作分配给不同角色来实现集群权限管理,拥有授权的用户可以按需对集群进行扩容或缩容、启停或删除等操作;


同时,因为PieCloudDB是多集群架构,在不久的将来将实现集群精细化管理,使用户可以按照每个集群为最小对象进行角色授权管理。




2.    SQL标准和标准数据库接口


PieCloudDB 高度兼容SQL:2016标准,完全支持SQL:1992标准、大部分的SQL:1999和部分SQL:2003标准(主要支持其中的OLAP 特性),支持包括窗函数、汇总、数据立方体和各种其他表达功能。此外,PieCloudDB 完全支持和认证标准数据库接口(PostgreSQL、 SQL、ODBC、JDBC 等) 。


对SQL的全面支持使得 PieCloudDB 可以无缝集成业内常见的提取/转换/加载(ETL)和BI(商业智能)工具。企业只需安排少量的集成工作,就可以使用现有的使用标准 SQL 结构和接口的分析工具让应用在 PieCloudDB 上运行。从而避免了企业受制于供应商,帮助企业在控制业务风险的同时推动创新。


此外, SQL:1999中定义的RBAC(Role-Based Access Control,基于角色的访问控制)模型设计权限,成为PieCloudDB权限管理的设计理念,为用户的数据安全保驾护航。


PieCloudDB 基础架构层


数据库本身作为一个软件,往往会出现缺乏对硬件和系统的控制。由于系统运维人员需要登录到系统进行运维操作,如果不对数据进行加密,运维人员通常可以直接访问数据库二进制文件、和数据文件。在公有云环境中,企业的全部数据暴露在服务提供商中。如果数据文件为明文形式保存,那企业的数据就会轻易被公有云运维人员访问,造成很大的数据安全隐患。


数据库加密是数据保护的一种最可靠的方法。它利用密码技术对数据进行加密,实现数据屏蔽,从而起到保护信息安全的作用。对数据库中的数据进行加密,可以防止数据在存储和传输过程中失密。


基于对机密数据的保护,知识产权保护,以及审计要求等方面的考虑,用户对数据加密的需求与日俱增。而云数据库的数据部署在云上,需要更完备的数据加密功能来保证数据的安全。PieCloudDB 提供企业级透明数据加密,通过实时加密(on-the-fly)、高强度算法、多级密钥、传输加密等技术为企业数据的安全性保驾护航。


1.    实时加密


PieCloudDB 支持数据实时加密,即对数据文件执行实时I/O加密和解密,实现原生用户数据(包括表数据、辅助数据、磁盘缓存文件)的自动加解密,无需修改查询语句且性能损失小。


PieCloudDB 数据加密



数据实时加密让数据在通过优化器、执行器的处理后,自动加密并存储到 PieCloudDB 存储层。需要进行读取时,将自动对(已加密)数据进行解密,并推入数据缓冲区进行优化。整个过程做到内核原生、对用户和数据库透明无感知,无需改造业务改造。并利用CPU加密指令集保证高性能和高安全性。 PieCloudDB 支持基于云端硬件加密特性,将加密对性能的影响降至最低。同时,PieCloudDB 计划接入云厂商/用户自带的 KMS(密钥管理系统),进一步提升数据库存储数据的安全性,并满足用户对安全审计的不同要求。


PieCloudDB 数据解密



2.    高强度算法


PieCloudDB 采用高级加密标准 AES-256 。 高級加密标准 AES-256是加密信息的方法之一,众多银行、证券等行业机构都在使用这种近乎严苛的高级加密标准。PieCloudDB 做到了分组密码,分组密码将数据分为多个块,AES-256 使用256位块大小,提供了更高性能的加密过程,大大加强了加密的安全性。


3.    多级密钥


PieCloudDB使用三层密钥结构,第一级密钥为主密钥,用来加解密第二级密钥,第二级密钥为各个数据表的表密钥,用来加解密第三层密钥,第三级密钥为各个数据文件的密钥,用来加解密对应的数据文件。三层密钥确保了 PieCloudDB用户的数据安全。


PieCloudDB 多级密钥



4.    传输加密


实时加密(on-the-fly)、高强度算法、多级密钥等技术确保了PieCloudDB系统层的数据安全。 在数据传输过程中,PieCloudDB 支持 SSL/TLS 加密,只需消耗极少计算资源就可以完成节点间数据传输通道

的传输加密,有效的解除了中间人攻击带来的安全性威胁,保证了数据在节点传输过程中的安全与稳定。


作为一款云原生 eMPP(elastic MPP)数据库,在不久的将来,PieCloudDB Database 会推出用户自定义密钥、数据保险箱、存储过程加密等功能,进一步地为用户的业务稳定和数据安全筑造新防线,助力企业实现数据价值最大化,打造高质量发展优势。


相关博文

暂无相关推荐