共计 2888 个字符,预计需要花费 8 分钟才能阅读完成。
随着数据量和计算能力的爆发式增长,云计算技术的迅猛发展,云原生时代应运而生。私有云带来了能够按需申请 / 开释的有限的计算资源、有限的存储池和高价的对象存储,让云原生数据库 PieCloudDB 解脱 PC 架构的限度,完满解决传统数据库的缺点,实现了基于云计算平台的元数据层 – 计算层 – 存储层三层拆散架构。PieCloudDB 的弹性伸缩、降本增效、即开即用等泛滥劣势,为用户带来更高的性价比和更便捷的应用体验。
在享受 PieCloudDB 所带来便捷的同时,常有人对安全性产生疑难:在云环境下,零碎所面临的危险远多于公有环境。作为一款云原生数据库,PieCloudDB 是如何保障其数据库安全呢?
在介绍 PieCloudDB 的安全性之前,咱们先来探讨一下传统数据库的运行档次。传统数据库的运行档次次要分为三个档次:
PieCloudDB 作为一款云原生数据库,以云计算架构为设计根底,全面解脱 PC 架构解放,实现存算拆散。存储侧反对规范对象存储,大大降低了灾备的老本。PieCloudDB 通过智能可视化平台,简化了传统 DBA 的工作量。同时,基于云化个性,PieCloudDB 也简化了数据库在基础架构层的运维工作,并且将平台运维拆散至云平台零碎,将用户从运维齐全解放了进去,运行档次也简化为用户层和基础架构层两个档次。
在用户层,PieCloudDB 高度兼容 SQL:2016 规范和规范数据库接口,并通过智能可视化规范平台升高了操作门槛,为用户的权限治理、用户治理、集群治理提供了可视化的能力,保障数据安全。
PieCloudDB 为用户提供了智能可视化规范平台。通过可视化的操作,PieCloudDB 为用户在权限治理、用户治理和集群治理操作上升高了门槛,让数据库应用体验上了一个台阶。PieCloudDB 基于 RBAC(Role-Based Access Control,基于角色的访问控制)模型设计权限,将用户通过角色与权限进行关联。在这种模型中,用户与角色之间,角色与权限之间,个别是多对多的关系。
PieCloudDB 对于权限治理的指标是实现可见即可管。PieCloudDB 提供了租户下的角色治理模块,反对创立角色,建设基于零碎角色的根本角色架构,对不同的角色实现角色的继承、用户的关联、权限的赋予等操作;通过可视化操作和图表构造帮忙用户了解以后零碎角色关系。
PieCloudDB 实现了租户下的用户治理性能,反对创立用户、查找用户、批改用户信息、重置明码、赋予用户角色、删除用户等操作;可视化的治理界面让用户治理变得更加便捷。
PieCloudDB 为用户提供了集群操作治理和集群精细化治理模块,反对将创删集群等操作调配给不同角色来实现集群权限治理,领有受权的用户能够按需对集群进行扩容或缩容、启停或删除等操作;
同时,因为 PieCloudDB 是多集群架构,在不久的未来将实现集群精细化治理,使用户能够依照每个集群为最小对象进行角色受权治理。
PieCloudDB 高度兼容 SQL:2016 规范,齐全反对 SQL:1992 规范、大部分的 SQL:1999 和局部 SQL:2003 规范(次要反对其中的 OLAP 个性),反对包含窗函数、汇总、数据立方体和各种其余表白性能。此外,PieCloudDB 齐全反对和认证规范数据库接口 (PostgreSQL、SQL、ODBC、JDBC 等)。
对 SQL 的全面反对使得 PieCloudDB 能够无缝集成业内常见的提取 / 转换 / 加载(ETL)和 BI(商业智能)工具。企业只需安顿大量的集成工作,就能够应用现有的应用规范 SQL 构造和接口的剖析工具让利用在 PieCloudDB 上运行。从而防止了企业受制于供应商,帮忙企业在升高业务危险的同时推动翻新。
此外,SQL:1999 中定义的 RBAC(Role-Based Access Control,基于角色的访问控制)模型设计权限,成为 PieCloudDB 权限治理的设计理念,为用户的数据安全保驾护航。
数据库自身作为一个软件,往往会呈现不足对硬件和零碎的管制。因为零碎运维人员须要登录到零碎进行运维操作,如果不对数据进行加密,运维人员通常能够间接拜访数据库二进制文件、和数据文件。在私有云环境中,企业的全副数据裸露在服务提供商中。如果数据文件为明文模式保留,那企业的数据就会轻易被私有云运维人员拜访,造成很大的数据安全隐患。
数据库加密是数据保护的一种最牢靠的办法。它利用明码技术对数据进行加密,实现数据屏蔽,从而起到爱护信息安全的作用。对数据库中的数据进行加密,能够避免数据在存储和传输过程中失密。
基于对秘密数据的爱护,知识产权爱护,以及审计要求等方面的思考,用户对数据加密的需要一劳永逸。而云数据库的数据部署在云上,须要更齐备的数据加密性能来保证数据的平安。PieCloudDB 提供企业级通明数据加密,通过实时加密(on-the-fly)、高强度算法、多级密钥、传输加密等技术为企业数据的安全性保驾护航。
PieCloudDB 反对数据实时加密,即对数据文件执行实时 I/O 加密和解密,实现原生用户数据(包含表数据、辅助数据、磁盘缓存文件)的主动加解密,无需批改查问语句且性能损失小。
数据实时加密让数据在通过优化器、执行器的解决后,主动加密并存储到 PieCloudDB 存储层。须要进行读取时,将主动对(加密)数据进行解密,并推入数据缓冲区进行优化。整个过程做到内核原生、对用户和数据库通明无感知,无需革新业务革新。并利用 CPU 加密指令集保障高性能和高安全性。PieCloudDB 反对基于云端硬件加密个性,将加密对性能的影响降至最低。同时,PieCloudb 打算接入云厂商 / 用户自带的 KMS(密钥管理系统),进一步晋升数据库存储数据的安全性,并满足用户对平安审计的不同要求。
PieCloudDB 采纳高级加密规范 AES-256。高級加密规范 AES-256 是加密信息的办法之一,泛滥银行、证券等行业机构都在应用这种近乎严苛的高级加密规范。PieCloudDB 做到了分组明码,分组明码将数据分为多个块,AES-256 应用 256 位块大小,提供了更高性能的加密过程,大大增强了加密的安全性。
PieCloudDB 应用三层密钥构造,第一级密钥为主密钥,用来加解第二级密钥,第二级密钥为各个数据表的表密钥,用来加解密第三层密钥,第三级密钥为各个数据文件的密钥,用来加解密对应的数据文件。三层密钥确保了 PieCloudDB 用户的数据安全。
实时加密(on-the-fly)、高强度算法、多级密钥等技术确保了 PieCloudDB 零碎层的数据安全。在数据传输过程中,PieCloudDB 反对 SSL/TLS 加密,只需耗费极少计算资源就能够实现节点间数据传输通道的传输加密,无效地解除了中间人攻打带来的安全性威逼,保障了数据在节点传输过程中的平安、稳固。
作为一款云原生 eMPP(elastic MPP)数据库,在不久的未来,PieCloudDB 会推出用户自定义密钥、数据保险箱、存储过程加密等性能,进一步为用户的业务稳固和数据安全筑造新防线,助力企业实现数据价值最大化,打造高质量倒退劣势。
