文档首页 > > 安全白皮书> 安全白皮书

安全白皮书

分享
更新时间: 2018/08/03 17:29

关系型数据库(Relational Database Service,简称RDS)是华为云提供的一款安全、可信的数据库服务。

RDS秉承华为云对租户的安全承诺,尊重租户数据主权,坚持中立、客观的立场,恪守业务边界,不碰租户数据,不会利用租户数据谋取商业价值。RDS允许租户快速发放不同类型数据库,并可根据业务需要,对计算资源和存储资源进行弹性扩容。RDS提供自动备份、数据库快照、数据库恢复等功能,以防止数据丢失。参数组功能,则允许租户根据业务需要进行数据库调优。

RDS还提供多个特性来保障租户数据库的可靠性和安全性,例如VPC、安全组、权限设置、SSL连接、自动备份、数据库快照、时间点恢复(PITR- point-in-time recovery)和跨可用区部署等。

网络隔离

VPC允许租户通过配置VPC入站IP范围,来控制连接数据库的IP地址段。RDS实例运行在租户独立的VPC内。租户可以创建一个跨可用区的子网组,之后可以根据业务需要,将部署RDS的高可用实例选择此子网完成,RDS在创建完实例后会为租户分配此子网的IP地址,用于连接数据库。RDS实例部署在租户VPC后,租户可通过VPN使其它VPC能够访问实例所在VPC,也可以在VPC内部创建ECS,通过私有IP连接数据库。租户可以综合运用子网和安全组的配置,来完成RDS实例的隔离,提升RDS实例的安全性。

访问控制

租户创建RDS实例时,RDS会为租户同步创建一个数据库主帐户,主帐户的密码由租户指定。此主帐户允许租户操作自己创建的RDS实例数据库。租户可以使用数据库主帐户连接RDS实例数据库,并根据需要创建数据库实例和数据库子帐户,并根据自身业务规划,将数据库对象赋予数据库子帐户,以达到权限分离的目的。租户创建数据库实例时,可以选择安全组,将RDS实例业务网卡部署在对应安全组中。租户可以通过VPC,对RDS实例所在的安全组入站、出站规则进行限制,从而控制可以连接数据库的网络范围。数据库安全组仅允许数据库监听端口接受连接。配置安全组不需要重启RDS实例。

传输加密

RDS实例支持数据库客户端与服务端TLS加密传输。 RDS在发放实例时,指定的CA会为每个实例生成唯一的服务证书。客户端可以使用从服务控制台上下载的CA根证书,并在连接数据库时提供该证书,对数据库服务端进行认证并达到加密传输的目的。

存储加密

RDS支持对存储到数据库中的数据加密后存储,加密密钥由KMS管理。

自动备份和快照

RDS提供两种备份恢复方法,即自动备份和数据库快照。自动备份默认开启,备份存储期限最多35 天,同时开启自动备份后,允许对数据库执行时间点恢复。RDS自动备份会进行全量数据备份,且每5分钟会增量备份事务日志,这就允许租户将数据恢复到最后一次增量备份前任何一秒的状态。快照是租户手动触发的数据库全量备份,这些备份数据存储在华为OBS桶中,当租户删除实例时,会同步删除OBS桶中的快照。租户也可以从已有的快照恢复到新实例中。

数据复制

RDS支持部署高可用实例。租户可选择在单可用区或多可用区中部署高可用实例。当租户选择高可用实例时,RDS会主动建立和维护数据库同步复制,在主实例故障的情况下,RDS会自动将备实例升为主实例,从而达到高可用的目的。如果租户使用MySQL数据库时,业务中读取数据比例大,可以对RDS单实例创建只读实例,RDS维护主实例和只读实例间的数据同步关系,租户可以根据业务需要连接不同的实例进行读写分离。

数据删除

租户删除RDS实例时,存储在数据库实例中的数据都会被删除,任何人都无法查看及恢复数据。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区