Databend 安全设计

Databend Cloud 以安全为核心构建，通过多层安全防护、加密标准和合规认证，为您的数据提供全面保护。

安全

Databend Cloud 实施多层安全防护，保护您的数据并控制资源访问：

访问控制

Databend 使用综合访问控制系统，结合了：

• 基于角色的访问控制（RBAC）：通过分配给用户的角色管理权限。
• 自主访问控制（DAC）：允许资源所有者直接授予权限。

数据保护

掩码策略（Masking Policy） 通过控制敏感数据对不同用户的显示方式，保护数据安全，帮助您遵守隐私法规，同时允许授权访问。

网络策略（Network Policy） 控制哪些 IP 地址可以连接到您的 Databend 资源，允许您将访问限制到特定网络或位置。

密码策略（Password Policy） 通过可自定义的长度、复杂性和轮换要求，强制使用强密码，防止未经授权的访问。

安全连接

AWS PrivateLink 在您的 VPC 和 Databend Cloud 之间建立私有连接，避免流量暴露在公共互联网上。目前仅在 AWS 上可用。

加密

TLS 1.2

我们为所有通信提供端到端加密。所有客户数据流仅通过 HTTPS 传输。从客户端到 Databend API 网关的连接使用 TLS 1.2 加密，确保：

• 传输过程中的数据机密性
• 防止中间人攻击
• 安全的客户端-服务器通信

存储加密

Databend 企业版（Enterprise）支持对象存储服务（OSS）中的服务器端加密。此功能通过激活 OSS 中数据的服务器端加密，增强数据安全性和隐私性。您可以选择最适合需求的加密方法：

• AES-256 加密
• 客户管理密钥（CMK）
• 硬件安全模块（HSM）集成选项

合规性

Databend 优先考虑数据安全和隐私，并已获得关键合规认证，验证我们对保护您数据的承诺。我们的安全实践定期由独立第三方审计，确保符合最高行业标准。

SOC 2 Type II

我们已成功获得 SOC 2 Type II 合规认证，并由独立审计师验证。此认证确认我们的系统符合美国注册会计师协会（AICPA）在安全性、可用性、处理完整性、机密性和隐私方面的信任服务标准。我们持续监控和增强运营控制措施，以维持这一标准。

GDPR

Databend 遵守《通用数据保护条例》（GDPR），这是欧盟旨在保护个人隐私和个人数据的法规。我们的合规包括严格的数据隐私执行、强大的加密以及定期的隐私审计，确保保护欧盟用户的权利和数据隐私。