Databend 安全设计

Databend Cloud 以安全为核心构建，通过多重安全层、加密标准和合规认证为您的数据提供全面保护。

安全性

Databend Cloud 通过多重安全层保护您的数据并控制资源访问：

访问控制

Databend 采用综合访问控制系统，结合以下机制：

• 基于角色的访问控制 (RBAC)：通过角色分配管理用户权限
• 自主访问控制 (DAC)：允许资源所有者直接授权

数据保护

脱敏策略 通过控制敏感数据对不同用户的显示方式，帮助您在遵守隐私法规的同时确保授权访问。

网络策略 控制可连接至 Databend 资源的 IP 地址，支持将访问限制在特定网络或区域。

密码策略 强制执行高强度密码策略，支持自定义长度、复杂度及轮换周期要求，防止未授权访问。

安全连接

AWS PrivateLink 在您的 VPC 与 Databend Cloud 间建立私有连接，无需暴露流量至公共互联网。当前仅 AWS 平台可用。

加密

TLS 1.2

所有通信均采用端到端加密。客户数据流完全通过 HTTPS 传输，从客户端到 Databend API 网关全程使用 TLS 1.2 加密，确保：

• 传输过程的数据机密性
• 防范中间人攻击
• 安全的客户端-服务端通信

存储加密

Databend 企业版支持对象存储服务 (OSS) 的服务器端加密。该功能通过激活 OSS 存储数据的服务器端加密，增强数据安全性与隐私保护。可选加密方案包括：

• AES-256 加密
• 客户管理密钥 (CMK)
• 硬件安全模块 (HSM) 集成选项

合规性

Databend 将数据安全与隐私置于首位，已通过关键合规认证验证数据保护承诺。安全实践定期接受独立第三方审计，确保符合最高行业标准。

SOC 2 Type II

已通过独立审计获得 SOC 2 Type II 合规认证，验证系统符合美国注册会计师协会 (AICPA) 关于安全性、可用性、处理完整性、机密性及隐私的信任服务标准。通过持续监控与优化运营控制维持该标准。

GDPR

Databend 遵循《通用数据保护条例》(GDPR)——欧盟保护个人隐私及数据的法规。合规实践包括严格的数据隐私执行、强加密机制及定期隐私审计，确保欧盟用户权利与数据隐私得到保护。