Enhancing Cloud Database Security Using an AI-Based Hybrid Zero Trust Engineering Model

Abdelwahab A Gumma   Mohamed; Faraj Ahmed   Mohammed; Ashraf Faraj Saed  Albarki; 	Esam Miftah Abdulnabi   Aboudoumat

Abdelwahab A Gumma Mohamed Assistant Lecturer at the Department of Computer Technology, College of Science and Technology, Qumins.
Faraj Ahmed Mohammed Lecturer at the Department of Computer Technology, College of Science and Technology, Qumins.
Ashraf Faraj Saed Albarki Lecturer at the Department of Computer Science, College of Arts and Sciences Qumins, University of Benghazi
 Esam Miftah Abdulnabi Aboudoumat Lecturer at the Department of Computer Technology, College of Science and Technology, Qumins.

Keywords: Keywords: Cloud Databases, Zero Trust, Artificial Intelligence, Attribute-Based Encryption, CNAPP, Kubernetes, AWS RDS الكلمات الدالة: قواعد بيانات سحابية، Zero Trust، ذكاء اصطناعي، تشفير قائم على السمات، CNAPP، Kubernetes، AWS RDS

Abstract

Abstract

Now, cloud databases are the foundational infrastructure of modern applications, and that is true for 85% of all modern digital services. However, this mass adoption has been shadowed by increasing security threats such as misconfigurations, publicly accessible services and increasingly sophisticated attack vectors targeted at database services. The average cost of a data breach was reported to be $4.88 million in 2024 according to industry reports and 38% of organizations that store sensitive data in cloud databases say they are maintaining publicly exposed instances.

This paper introduces a hybrid security model for cloud database based on Zero Trust Architecture (ZTA) and Attribute-Based Encryption (ABE) with the integration of AI-based threat monitoring. We evaluate our model thoroughly in a testbed environment based on Amazon RDS for PostgreSQL 16 and Amazon EKS with Kubernetes 1.29 and show its applicability to production-grade cloud-native.

The approach utilizes 30 experimental runs of each attack scenario within baseline and hybrid configurations, measuring Mean Time to Detect (MTTD), False Positive Rate (FPR), F1-Score, and computational overhead. Results showed significant improvements: MTTD was decreased from 24.3 hours (±3.2h) to 4.7 minutes (±1.1min) (p<0.001, paired t-test), FPR decreased from 23. 4% to 3. 2% (86% reduction), and AI detection attained 97.2% F1-Score. Zero Trust policies prevented all lateral movement attempts, while sensitive data remained protected with ABE encryption even in the event of successful initial breaches. The computational overhead was an acceptable +12% in CPU utilization.

الملخص

أصبحت قواعد البيانات السحابية مكوناً أساسياً في بنية التطبيقات الحديثة، حيث تمثل العمود الفقري لـ 85% من الخدمات الرقمية المعاصرة. غير أن هذا الاعتماد المتزايد رافقه تصاعد كبير في المخاطر الأمنية بما في ذلك التهيئة الخاطئة، والانكشاف العام للبيانات، والهجمات المتطورة المستهدفة لخدمات قواعد البيانات. تشير تقارير الصناعة إلى أن متوسط تكلفة اختراق البيانات وصل 4.88 مليون دولار في 2024، بينما تحتفظ 38% من المؤسسات التي تخزن بيانات حساسة في قواعد بيانات سحابية بنسخ مكشوفة للعامة.

تقترح هذه الدراسة نموذجاً أمنياً هجيناً يدمج هندسة انعدام الثقة (ZTA)، التشفير القائم على السمات (ABE)، وآليات كشف التهديدات المدفوعة بالذكاء الاصطناعي لحماية شاملة لقواعد البيانات السحابية. تم تقييم النموذج في بيئة تجريبية محكومة باستخدام Amazon RDS for PostgreSQL 16 وAmazon EKS بإصدار Kubernetes 1.29، وهما بنيتان سحابيتان أصليتان بمستوى الإنتاج.

اعتمدت المنهجية على 30 جولة تجريبية لكل سيناريو هجوم عبر تكوينين (خط الأساس والهجين)، مع قياس مؤشرات الأداء الرئيسية: متوسط زمن الكشف (MTTD)، معدل الإيجابيات الكاذبة (FPR)، F1-Score، والحمل الحسابي. أظهرت النتائج تحسناً مذهلاً: انخفض MTTD من 24.3 ساعة (±3.2س) إلى 4.7 دقيقة (±1.1د) (p<0.001، اختبار t-paired)، انخفض FPR من 23.4% إلى 3.2% (تقليل 86%)، وحقق كشف الذكاء الاصطناعي F1-Score بنسبة 97.2%. منعت سياسات Zero Trust 100% من محاولات الحركة الجانبية، بينما حمى التشفير ABE البيانات الحساسة حتى خلال الاختراقات الأولية الناجحة. ظل الحمل الحسابي مقبولاً عند +12% استهلاك المعالج.

يوفر النموذج المقترح إطاراً عملياً متعدد الطبقات مناسباً للنشر المؤسسي، ويدعم الامتثال لـGDPR/ISO 27001 من خلال التحقق المستمر، والتحليلات السلوكية، وحماية البيانات الدقيقة.

Downloads

Download data is not yet available.