Databend 安全设计

Databend Cloud 以安全为核心构建，通过多层安全防护、加密标准和合规认证，为您的数据提供全面保护。

安全性

Databend Cloud 实施多层安全防护机制，保护数据安全并控制资源访问：

访问控制

Databend 采用全面的访问控制系统，结合了：

• 基于角色的访问控制（RBAC）：通过角色分配管理用户权限
• 自主访问控制（DAC）：允许资源所有者直接授权

数据保护

脱敏策略（Masking Policy） 通过控制敏感数据对不同用户的显示方式，帮助您遵守隐私法规，同时确保授权访问。

网络策略（Network Policy） 控制可连接至 Databend 资源的 IP 地址，支持将访问限制在特定网络或区域。

密码策略（Password Policy） 强制实施强密码策略，支持自定义长度、复杂度及轮换周期要求，防止未授权访问。

安全连接

AWS PrivateLink 在您的 VPC 与 Databend Cloud 间建立私有连接，避免流量暴露于公共互联网。目前仅支持 AWS 平台。

加密

TLS 1.2

提供全链路通信加密。所有客户数据均通过 HTTPS 传输，客户端至 Databend API 网关的连接全程采用 TLS 1.2 加密，确保：

• 传输数据机密性
• 防范中间人攻击
• 安全的客户端-服务器通信

存储加密

Databend 企业版（Enterprise）支持对象存储服务（OSS）的服务器端加密。此功能通过激活 OSS 存储数据的服务器端加密，增强数据安全与隐私保护。可选加密方案包括：

• AES-256 加密
• 客户管理密钥（CMK）
• 硬件安全模块（HSM）集成方案

合规性

Databend 将数据安全与隐私置于首位，已通过关键合规认证验证数据保护承诺。我们的安全实践定期接受独立第三方审计，确保符合最高行业标准。

SOC 2 Type II

已获得独立审计机构验证的 SOC 2 Type II 合规认证。该认证确认我们的系统符合美国注册会计师协会（AICPA）关于安全性、可用性、处理完整性、机密性及隐私的信任服务标准。我们持续监控并优化运营控制以维持该标准。

GDPR

Databend 遵循《通用数据保护条例》（GDPR）——欧盟保护个人隐私及数据的法规。合规措施包括严格的数据隐私执行机制、强效加密技术及定期隐私审计，确保欧盟用户权利与数据隐私得到保障。