在当今的数字化时代,数据已成为企业运营的核心要素,无论是金融交易记录还是电商订单详情,每一份数据都与企业运营及用户权益息息相关。OceanBase,作为一款先进的原生分布式关系型数据库,打造了一套完备的企业级数据安全保障体系,涵盖了身份认证、访问权限管理以及数据加密等核心功能,为企业的数据安全筑起坚实的防线,确保数据的利用既高效又安心。
本期内容将重点介绍上述安全体系的方案,希望帮助大家深入理解 OceanBase 数据库的安全体系,帮助大家在面对不同业务需求时,能做出更加合理和有效的安全设置,提高数据库的安全性。
一、安全认证最佳实践
数据库系统的重要指标之一是要确保系统安全,通过数据库管理系统防止非授权使用数据库,保护数据库的文件和数据。OceanBase 数据库支持身份标识和鉴别、用户管理和角色管理,提升数据库的安全性。
在 MySQL 模式租户下,OceanBase 支持禁用空密码账户、禁用 GRANT 语句创建账户,并启用密码度复杂度校验。当登录失败次数超出阈值时,账户将被锁定。系统变量 default_password_lifetime 可用于配置 MySQL 租户全局的密码过期时间,密码过期后需要重置密码才能执行其它操作。
在 Oracle 模式租户下,OceanBase 支持配置登陆失败次数,并锁定登陆失败超限的账户。同时支持配置密码有效期和宽限期,支持配置密码有效期和宽限期。降低密码泄漏带来的风险。Oracle 租户还支持配置密码复杂度策略,启用密码复杂度策略可以预防弱口令问题,提升密码破解的门槛。
更详细的 OceanBase 数据库安全认证信息通过下方二维码或链接查看。
https://www.oceanbase.com/docs/common-best-practices-1000000001489653
二、访问控制最佳实践
OceanBase 数据库通过定义各种系统、对象权限以及角色来控制用户对数据的访问。
在 MySQL 模式租户下,仅管理员账户可配置 CREATE USER 权限,仅管理员账户可配置数据库级元数据访问权限,以保护数据库中密码哈希、账户权限等敏感信息的安全。
在 Oracle 模式租户下,撤销 PUBLIC 角色的执行权限,限制所有用户对系统包的访问和执行能力。由于 ANY 关键字使用户能够更改数据库目录中的任何数据库对象,容易引起用户间的越权访问,因此,ANY 类型权限非管理员 GRANTEE 上被移除。
更详细的 OceanBase 数据库访问控制信息可以通过下方二维码或链接查看。
https://www.oceanbase.com/docs/common-best-practices-1000000001489655
三、数据加密最佳实践
OceanBase 数据库支持在数据传输和存储过程中,对数据进行加密。对于传输层,OceanBase 数据库支持全链路数据加密。同时,在数据存储时,OceanBase 数据库支持透明加密特性,即使存储介质丢失,依然可以保证数据不会丢失,最大化保护用户的数据安全。
在 MySQL 模式租户和 Oracle 模式租户下,OceanBase 启用 TLS 数据传输加密,以确保各个节点之间的通信流量不会被监听或篡改。OceanBase 数据库企业版支持以 tablespace 为粒度启用透明加密,实现数据的安全存储。
更详细的 OceanBase 数据库数据加密信息可以通过下方二维码或链接查看。
https://www.oceanbase.com/docs/common-best-practices-1000000001489652
随着数据规模的持续增长和应用场景的不断复杂化,数据安全面临的挑战日益严峻。OceanBase 借助安全认证、访问控制、数据加密等能力,为用户提供稳定、可靠的数据基础设施,通过自研技术最大化确保数据安全,保障业务平稳运行,帮助用户应对复杂多变的数字化挑战。
