Skip to main content

Databend Cloud 上的安全性

最近更新:2024 年 4 月 9 日

Databend Cloud 利用主流云提供商的安全功能,并设置最小权限访问策略,以确保我们客户的数据安全。

基础设施安全

物理基础设施

Databend Cloud 目前部署在 GCP 和 AWS 托管的 Kubernetes 集群上,所有服务器均位于全球各地,包括美国。我们使用隔离的、无状态的 Pods 访问内部存储,带有临时缓存。

数据安全和加密

数据访问权限控制

我们在租户之间实施严格的数据访问隔离。Databend Cloud 上没有长期存储的访问密钥。为了最小化数据泄露风险,我们会定期轮换我们的数据访问密钥,要求最小权限。

我们使用云提供商提供的数据加密和身份认证服务。它可以提供一个自动轮换的 Token(例如,自动在半小时内过期),并通过云供应商的 STS 服务与 IAM Role 建立身份关联,然后通过 IAM 规则限制服务的访问权限,实现细粒度访问控制。

在 Databend Cloud 中,每个租户都被分配一个专用的 IAM Role 和一个专用的加密存储桶用于数据存储。

IAM 策略被配置为限制每个租户访问特定的存储位置。这样可以避免长期访问密钥的需要,使得访问云资源如 S3 更加安全可靠。

数据静态加密

Databend Cloud 上存储的所有数据都默认使用专用 KMS 进行服务器端加密。此外,用户还可以利用 Databend Cloud 中的 Assume Role 机制,挂载他们自己的 AWS 账户中的 S3 桶,用于分析目的。Databend 仅支持在专用数据仓库中对数据进行内存中的解密和加密。

网络安全

传输中的安全通信

我们为所有通信提供端到端加密。所有客户数据流仅通过 HTTPS 传输。 使用 TLS 1.2 加密,从客户端到 Databend API 网关的连接。

通过 VPC 私有链接限制网络访问

PrivateLink 通过使用 VPC 对等连接向 Databend cloud 集群提供增强的网络安全。客户可以使用 VPC 端点启动到所需服务的连接,可以进一步使用安全组配置该端点,创建信任边界并控制对端点的访问。 目前,此功能仅在 AWS 上可用。如果您的团队对其他云提供商有特别关注,请联系我们的支持团队。

网络策略执行

Databend 支持用户在网络策略中配置网络 IP 允许列表和阻止列表。

它允许您定义一组规则,控制特定用户允许和阻止的 IP 地址范围,有效地控制他们的网络级访问。

数据访问控制

RBAC 与 DAC 访问控制

Databend 提供了一系列权限,允许您对数据库对象进行细粒度的控制。

客户完全控制 RBAC,同时,DAC(自主访问控制)也适用于创建的拥有对象的角色。

有关每个数据库对象权限的详细信息,请查看我们的文档

基于列的访问控制

Databend 允许用户通过创建数据掩码策略来配置列级数据可见性。数据掩码策略将根据当前分析者的角色动态转换数据,并重写或隐藏给定列。

政府和行业安全合规努力

Databend 目前与Vanta合作,以满足包括 SOC-2 Type-2 和 GDPR 在内的合规标准。

我们对 Databend Cloud 的合规努力包括:

  • SOC 2 Type II 评估:一个独立第三方已经彻底进行了 SOC 2 Type II 评估,确认了我们操作控制的强度和有效性。强调我们对安全性和卓越的承诺,我们持续监控并增强我们的操作控制和防御措施,以抵御漏洞。我们的专门团队确保这些标准得到不折不扣的维护。我们计划在 2024 年 8 月收到下一次审计报告
  • GDPR 合规:我们的 GDPR 合规依赖于严格的数据隐私执行、强大的加密和定期的隐私审计,以防止个人数据被未授权访问。我们执行严格的访问控制,仅允许一小部分经过培训的安全人员访问和监控我们的基础设施和操作日志,确保最高水平的数据保护和合规