云数据仓库透明安全技术

GaussDB(DWS)支持对数据进行透明加密，加密解密的过程用户无感知。每个集群有一个CEK（集群秘钥），每个 数据库 采用单独配置的DEK（数据库加密密钥）加密保护，DEK使用CEK加密保护，保证秘钥安全。密钥通过Kerbores服务申请和加解密，加密算法通过配置项统一配置。目前支持AES、SM4算法，其中SM4算法在hi 1620以上版本芯片中支持硬件加速。 大数据 中蕴藏巨大价值的同时，也带来了隐私信息保护方面的问题。GaussDB(DWS)支持客户以表的列为单元创建脱敏策略，客户可针对业务中的敏感数据进行策略创建，敏感数据的界定由客户结合自身业务场景识别。制定脱敏策略后，只有管理员和表对象的owner才能访问原始数据。同时，脱敏的数据可以参与实际运算及使用，仅在数据库服务最终返回结果时脱敏。 以图为例，用户数据中每个人员的工资、email和手机号码均为敏感数据，包含了用户的隐私信息，如果明文显示，将会暴露用户的隐私，带来一系列问题。经过透明脱敏处理后，普通用户查看到的数据均被掩码显示，从而保护了用户的隐私。 图片 数据脱敏效果 https://res-static.hc-cdn.cn/cloudbu-site/china/zh-cn/hjm/dwshxjs4.png 数据脱敏的关键技术如下： 策略可配置 客户可结合自身业务场景识别敏感数据并使用DDL在表的指定列创建脱敏策略。 策略可扩展 内置数值、字符、时间类型脱敏函数，支持用户自定义脱敏函数。 访问控制 制定脱敏策略后，只有管理员和表对象的owner才能访问原始数据。 数据可用性 脱敏数据可以参与实际运算及使用，仅在最终返回结果时脱敏。