从 IDC 数据库安全报告，看 OceanBase 安全能力

2023-05-10
浙江
本文字数：4681 字
阅读完需：约 15 分钟

欢迎访问 OceanBase 官网获取更多信息：https://www.oceanbase.com/

作为数据的承载工具，数据库自身安全能力对于数据安全至关重要。数据库软件诞生至今，经过了几十年的发展和演进，已经成为 IT 系统中不可或缺的关键技术。但是随着数据呈海量、高速增长态势，数据类型越来越多、数据部署环境日益复杂、数据安全风险递增等原因，数据库自身的安全性已经成为必不可少的重要属性。提升数据库本身的原生安全能力，将会极大提升数据存储环节的安全性，大幅增强数据的安全水平，有助于企业保障自身的数据安全。

近日，国际权威市场研究机构 IDC 正式发布《中国数据库原生安全能力洞察 2022》研究报告， OceanBase 凭借领先的数据一致性、数据访问控制、数据加密、高可用等数据库原生安全能力，作为中国数据库的代表厂商入选此报告。

本次 IDC 报告从实际业务及产品技术视角出发，结合 IDC 研究的方法论为 CIO 提供科学的客观展现，供实际选择数据库过程中做参考。重点考察数据库软件的自身健壮性以及数据库原生的安全能力,包括数据存储加密、通信加密、白名单控制、TEE、脱敏等能力、监控预警、安全审计和可靠性等技术措施，以保护数据库的数据资产安全。

入选该报告，意味着 OceanBase 原生安全能力的卓越表现得到了国际权威机构的认可。 OceanBase 提供了全面的安全体系，包括身份标识与鉴别、访问控制、数据安全、资源管控、监控预警、安全审计等功能，并从数据一致性、网络传输、用户认证、操作审计、存储安全、高可用等多个方面全面保护客户数据的安全。

为何数据库安全性至关重要？

数据库安全事件的频发使企业和用户意识到保障数据库安全的重要性和迫切性。在实际情况中，企业通常会使用第三方安全工具加强系统整体安全性，但是却忽视了数据库自身的原生安全能力的重要性。

而数据安全防护难度大，易攻难守。因此，数据库原生安全可以从根本上提升数据安全防护的水平。尽管通过复杂的工具和技术可以提高数据库整体安全性，但是本质上将会带来更为复杂的操作过程，甚至有些难以实现。 因此，数据库原生安全能力将使得数据安全建设事半功倍，也是未来数据库发展的大趋势。

OceanBase 安全能力为何备受国际市场研究机构认可？

OceanBase 从数据一致性、网络传输、用户认证、操作审计、存储安全、高可用等多个方面全面保护客户数据安全。OceanBase 的安全体系包括身份标识与鉴别、访问控制、数据安全、资源管控、监控预警、安全审计，目前已经支持比较完整的企业级安全特性，这些安全特性能够有效保障用户的数据安全。

▋ 数据一致性，避免数据丢失

无论是因为磁盘静默错误导致的数据丢失，还是由于服务器时间被篡改而导致数据混乱，都会对数据的一致性和正确性产生影响，这是分布式数据库面临的巨大挑战。对于磁盘静默错误，传统的磁盘冗余（Raid）方案并不可行，传统数据库也无法有效处理静态数据的静默错误。然而，磁盘静默错误引起的数据丢失，在很多视数据为生命线的行业中是无法接受的。

OceanBase 实施了三项技术手段，包括存量数据一致性主动校验、链式校验和磁盘静默错误防御机制，以应对传统数据库在数据一致性、正确性和安全性方面所面临的挑战：

1）存量数据一致性主动校验及主备集群校验

传统数据库缺乏对存量数据的校验机制，包括对主备库之间存量数据的校验。OceanBase 实现了主动校验机制，打破了传统数据库无存量数据校验的惯例。同时，主集群内的多副本校验，可以确保主集群内多个副本数据的一致性。

2）链式校验 —— 区块链级的防篡改

传统数据库的数据文件中有数据块（block）的校验和存在两个盲区：数据表和索引表的数据是否一致，以及高级黑客篡改数据块（block）是否能被识别。OceanBase 构建了全场景的校验和机制，包括微块、宏块（2M）、分区、表级、索引的校验和机制，同时涵盖物理校验（二进制校验）和逻辑校验（列校验）两个维度，弥补了传统数据库在数据校验领域的不足。

3）磁盘静默错误防御机制 —— 避免数据丢失

金融行业的保单数据存储可达到 100 年，银行业台账数据存储 30-50 年，这些基本都是静态数据，传统数据库、传统的 Raid 冗余对静态数据无定期校验机制。针对潜在的静默错误，OceanBase 设计了磁盘静默错误防御机制，通过后台线程主动校验能力，可以及时发现任意粒度的磁盘静默错误及时预警，有效保证静态数据的正确性避免丢失数据。

▋ 身份标识与鉴别，提升数据库安全性

OceanBase 提供了身份标识和鉴别、用户管理和角色管理能力，以提高数据库的安全性。身份标识和鉴别是指通过验证用户的身份来确认其是否有权限访问数据库。在 OceanBase 数据库中，身份鉴别是通过租户进行的。租户是一个逻辑概念，是资源分配的单位，是数据库对象管理和资源管理的基础。每个租户都是数据库对象的容器，同时也是资源（CPU、Memory、IO 等）的容器。OceanBase 数据库租户间的数据是完全隔离的，每个租户相当于传统数据库的一个数据库实例。OceanBase 数据库中的租户分为两类：系统租户和普通租户。创建用户时，如果当前会话的租户为系统租户，则新建的用户为系统租户用户，反之则为普通租户用户。无论是系统租户还是普通租户，租户管理员创建的用户只能用于本租户内登录。

▋ 数据访问控制，最小权限原则

OceanBase 通过定义系统、对象权限以及角色来控制用户对数据的访问。此外，它还支持 Lable Security 特性，以记录行级数据粒度进行安全标记，防止用户数据泄露。对于权限设计，OceanBase 通过为不同用户或角色设置不同的验证策略来确保账户安全。由于不同用户或角色承担的职责不同，OceanBase 提供了不同的用户操作权限策略和角色策略。用户可以根据需要为用户赋予不同的权限和角色，并进行管理。

1）用户权限控制

OceanBase 通过严格的权限管控机制保证用户数据的安全。在 OceanBase 数据库中，每个租户的数据对象完全隔离，无论是系统租户还是普通租户，任何租户下的用户都不能跨越租户访问其他普通租户的数据。

2）行级访问控制

OceanBase 利用 Label Security 实现基于行的强制访问控制。通过为表添加一个 Label 列记录每行的 Label 值，在访问数据库时可通过比较用户和数据的 Label 来约束用户对表中数据的访问。OceanBase 提供了安全管理员 LBACSYS，用于管理和使用该功能。安全管理员可通过创建安全策略、定义策略中的 Label、设置用户 Label，定制自己的安全策略。一个安全策略可应用到多张表，一张表也可应用多个安全策略。每当一个安全策略被应用，该表会自动添加一列，用于该策略的访问控制。

3）角色管理

OceanBase 支持将多个权限组合为一个角色，可组合的权限包括：创建角色、删除角色、为角色赋予权限、从角色回收权限、为角色赋予角色、从角色回收角色、系统预定义的角色、设置用户的默认角色。

4）网络安全访问控制

OceanBase 提供基于租户白名单策略的网络安全访问控制。通过设置 IP 地址组白名单，实现对网络安全的访问控制。

▋ 数据安全，透明加密实现隐私保护

OceanBase 支持在数据传输和存储过程中，对数据进行加密。对于传输层，OceanBase 支持全链路数据加密。在数据存储时，OceanBase 支持透明加密特性，最大化保护用户的数据安全。存储加密支持 SM4 国密算法，同时密钥管理也支持对接阿里云 KMS，保障用户密钥的可视可控可管理。

1）数据传输加密

从数据库用户的角度来看，如果在数据库系统在网络传输过程中不对数据进行加密，那么恶意攻击者可能会通过“嗅探”网络流量的方式截获传输中的数据，进而查看数据库中的敏感信息。因此，对于数据库用户来说，保证在数据传输过程中进行加密是至关重要的，这可以有效地保护数据免受未经授权的访问和窃取。

为此，OceanBase 采用安全传输层协议（TLS）来提供数据传输的保密性和完整性。在原有的 TCP 通信上扩展支持 SSL/TLS 协议，使数据在传输过程中得到了有效的加密保护。OceanBase 数据库还为每个用户提供了不同的 SSL 认证机制选择，包括 SSL 单向认证、X509 双向认证和特殊的双向认证，从而进一步保证了数据传输的安全性和可靠性。

2）数据存储加密

若数据库中的静态数据未经加密，那么任何拥有底层存储访问权限（包括数据文件、备份和数据库导出）的人都可以使用文件系统工具，绕过访问控制和审计策略直接读取数据。这将导致敏感信息的泄露或未经授权的数据操作，从而给数据库安全性带来潜在的风险和威胁。

为了保护数据库在内存和硬盘中的数据安全，OceanBase 支持国际上主流的加密算法 AES 和国密算法 SM4。在密钥管理方面，利用 KeyStore 提供两层密钥管理。为了保证数据的安全性，用户无法使用 KeyStore 查看主密钥和加密秘钥信息，也无法指定主密钥和加密秘钥，主密钥和加密秘钥由系统生成，并且不会直接明文存储到磁盘上，提高了系统的安全性。

▋ 资源管控，不允许跨租户数据访问

OceanBase 是数据库领域中少数具备租户资源隔离能力的数据库之一。资源隔离的关键点是隔离性带来安全性、稳定性以及现有服务器资源上的分时分业务进行调度，实现资源利用效率的最大化。

在数据安全方面，OceanBase 不允许跨租户的数据访问，以确保您的数据资产不会被泄露。数据库的⼀个集群可以服务多个业务。每个业务会创建⼀个或者多个租户，租户之间互相隔离，可以设置每个租户允许使用的资源，保证了租户数据不会被泄露，并且当某个租户使⽤的资源超出配额时，系统会⾃动对该租户进⾏服务降级，避免影响其它租户。在资源使用方面，租户独自使用其资源配额。该租户对应的前端应用，无论是响应时间，还是 TPS 或 QPS，都比较平稳，不会受到其它租户负载情况的影响。

▋ 数据高可用，全面保障数据安全

基于多副本的分布式架构高可用：OceanBase 采用 Shared-Nothing 的分布式架构，每个数据节点都是对等的。基于 Paxos 的分布选举算法来实现系统的高可用。集群中的每个分区都维护三个以上副本，且部署到不同的 Zone 中。整个系统中分区的多个副本之间通过 Paxos 协议进行日志同步。所有针对该分区的写请求时，都会自动路由到对应分区的 Leader 进行。主分区可以分布到各个数据节点，且对于不同数据分区的写操作也会分布到不同的数据节点上，从而提高数据写入的并行性，实现数据多点写入，提高系统的性能。

闪回技术：作为保障数据安全的一种高级技术，它提供了查询历史数据，执行更改分析以及从数据逻辑损坏中快速修复的能⼒。OceanBase 目前提供了基于回收站、数据多版本、Restore Point 的闪回能力，基于数据多版本的闪回能力主要是闪回查询数据的历史版本，基于回收站的闪回能力包括闪回回收站中的数据库、租户和表对象。

▋ 监控告警，支持全生命周期管理

OceanBase 通过 OceanBase 运维管理工具（OceanBase Control Platform，OCP）进行监控预警。支持括资源和容器管理、集群和实例生命周期管理、OpenAPI 以及基于实时计算的性能监控等功能模块。OCP 提供对集群、租户、主机等不同维度的监控。用户可以根据自己的需要从多种维度对集群、租户或主机的性能信息进行筛选监控。包括 QPS、TPS、SQL 响应时间、事务响应时间、活跃会话数等维度。

▋ 安全审计，确保数据访问的收集记录

安全审计要求企业记录并维护其安全实践记录，审计其安全计划的有效性，并适时采取纠正措施。OceanBase 可以对数据库用户的行为进行审计，确保用户的操作都会被记录，帮助企业识别发生了什么事件、事件发生的具体时间以及具体访问了哪些数据。同时，OceanBase 数据库还支持对数据库对象的审计操作，可以在用户访问数据时，产生审计信息确保数据访问被真实记录。

最后，若需了解更多细节，可点击文末“阅读原文”，查看参考 IDC 5 月份最新发布的《中国数据库原生安全能力洞察》报告。