基於MaxCompute的大資料安全方案
簡介:隨著法律的完善,資料安全,資訊保安,網路安全,升級成國家安全,所以資料安全不管對使用者,還是對公司也都會變的越來越重要。做為大資料雲數倉解決方案的領導者,阿里雲MaxCompute在安全體系上也做了很多特性,本文給大家簡單介紹下MaxCompute關於資料安全的一些能力。
隨著法律的完善,資料安全,資訊保安,網路安全,升級成國家安全,所以資料安全不管對使用者,還是對公司也都會變的越來越重要。做為大資料雲數倉解決方案的領導者,阿里雲MaxCompute在安全體系上也做了很多特性,本文給大家簡單介紹下MaxCompute關於資料安全的一些能力。
安全體系介紹
安全體系不是一個系統,是一系列的系統聯合才能做到大資料平臺的資料安全要求,主要包括:
- 事前準備,包括資料打標,白/黑名單,許可權分配,加密演算法和脫敏演算法準備。
- 事中處理,包括資料加密/解密,白名單過濾,資料掃描,資料實時告警。
- 事後審計,包括資料使用日誌審計,資料離線報表監控等。
安全體系架構
資料安全體系不僅需要各個系統配合使用,同時也需要不同部門進行流程化管理,讓資料能在合理授權下使用:
- 其中就會涉及到資料合規部門,對資料進行打標,對資料規則進行配置,許可權設定以及白名單管理等工作;
- 大資料平臺要按照合規人員設定的規則自動化對資料進行加密或者脫敏,然後提供給資料使用者使用;
- 資料安全人員同時要對每個敏感資料的使用都需要有實時的資料監控,以及資料事後的定時審計。
本文主要介紹阿里大資料平臺的資料儲存加密和資料脫敏兩塊,目前阿里大資料平臺MaxCompute聯合KMS平臺在對資料上雲時可以對資料進行加密儲存,支援AES256、AESCTR和RC4演算法,在客戶使用時自動解密,做到客戶無感知的資料保護。
同時MaxCompute聯合Dataworks和資料安全保護傘做到敏感資料脫敏使用,使用者可以在資料保護傘裡對資料進行打標配置,風險規則定義,脫敏規則配置以及白名單設計等操作,MaxCompute會自動對已經打標的資料,按照脫敏規則對指定的敏感資料進行脫敏顯示。
適用場景
場景一:客戶個人資訊保護
個人資訊保護場景,隨著相關法律的出臺,很多遊戲公司都要需要錄入個人身份證號等敏感資訊,如果客戶的個人資訊洩露是很嚴重的資料安全事故,所以類似身份證號等個人資訊的保護就變的非常重要,這些資訊只有客戶自己可以使用,或者客戶授權的情況下才可以使用,但是在企業運營時,需要對這些資訊進行加工,匹配等,所以在所有加工過程中都需要加密或者脫敏操作。
場景二:企業內部資訊保護
大部分公司內部有財務,個人薪資等很多敏感資料,但是公司正常運營,需要這些資料在大資料平臺進行加工計算,最後輸出報表,在中間加工過程中,包括資料研發人員,測試人員,產品經理等,都不能觸碰明文資料,需要對資料進行脫敏操作。
適合客群
本文適合企業已經使用了Maxcompute產品的資料管理人員,資料治理人員,資料研發人員以及資料安全合規人員等。
資料加密
MaxCompute支援通過金鑰管理服務KMS(Key Management Service)對資料進行加密儲存,提供資料靜態保護能力,滿足企業監管和安全合規需求。
前提條件
- 阿里雲服務賬號;
- 已經開啟KMS金鑰管理服務。
操作步驟
- 進入金鑰管理服務開通頁,選中金鑰管理服務服務協議,單擊立即開通,開通KMS服務。
2.登入DataWorks控制檯,在左側導航欄,單擊工作空間列表。
3.在工作空間列表頁面上方選擇區域後,單擊建立工作空間。在建立工作空間面板,配置基本配置資訊,單擊下一步,詳情請參見建立專案空間。
4.在建立工作空間面板的選擇計算引擎服務區域,選中MaxCompute。
5.在請進行ODPS服務賬號授權對話方塊,單擊授權。
6.在新開啟的雲資源訪問授權頁面,單擊同意授權。
7.返回請進行ODPS服務賬號授權對話方塊。關閉請進行ODPS服務賬號授權對話方塊,在建立工作空間面板的選擇計算引擎服務區域,重新選中MaxCompute,單擊下一步。
8.在建立工作空間面板,配置引擎詳情資訊。選中加密,開啟資料加密功能。以建立簡單模式的工作空間為例。
9.單擊建立工作空間,完成建立。開啟資料加密功能後,MaxCompute會自動完成專案資料讀寫過程中的加密或解密操作。
資料脫敏
資料保護傘是一款資料安全管理產品,為您提供資料發現、資料脫敏、資料水印、訪問控制、風險識別、資料審計、資料溯源等功能。接下去為您介紹如何開通、使用資料保護傘。
前提條件
- 阿里雲服務賬號;
- 已經開啟Dataworks空間。
操作步驟
- 登入DataWorks控制檯,進入設定,啟用頁面查詢內容脫敏:
2.單擊左上方的圖示,選擇全部產品 > 資料治理 > 資料保護傘。
- 資料分級分類設定,系統會欄位1000+資料分類,在沒有特殊要求的情況下,大部分情況下可以用預設分類,同時也支援自定義客戶自己的分級分類。
- 資料識別型別,系統已經自帶很多1000+識別型別,沒有特殊要求,可以使用自帶識別自動生成資料識別模型,同時也支援通過您提供的樣本欄位,進行模型訓練,幫助您尋找目標欄位的內容特徵,生成相應的規則模型。
- 資料脫敏規則定義,使用者可以給指定的資料欄位型別進行定義脫敏規則,目前支援脫敏方式有假名,Hash,掩蓋三種。
6.資料查詢會進行自動掩蓋:
白名單
目前資料保護傘對於資料脫敏部分,支援給使用者新增白名單,如果在白名單裡的客戶,可以無視脫敏規則,可以查到明文資料。
資料發現
目前資料保護傘對於資料脫敏部分,支援系統自動掃描資料,並把風險統計資料顯示出來。
資料風險識別
目前資料保護傘對於資料脫敏部分,支援使用者自定義風險行為,並對風險進行統一查詢顯示。
資料審計
目前資料保護傘對於資料脫敏部分,使用者可以查詢資料風險處理情況,對資料安全處理進行審計。
總結
本文只是對大資料平臺的安全性做了簡單的梳理,很多細節因為篇幅沒有細講,有興趣的同學可以參考官方文件。
- 資料加密配置
- 資料脫敏配置
目前阿里大資料平臺已經對資料的儲存加密,以及資料脫敏顯示上做了比較多的能力,但是在資料還不能做到列級,行級甚至單元格級別的加密;在資料識別掃描上也不支援手動根據自己的規則進行掃描;在資料全渠道接入脫敏也沒有覆蓋所有Region;在資料安全使用上,資料監控以及資料審計上做的也不是很完善等等問題,後續在安全上加入更多能力,讓使用者可以安心,放心,省心的在阿里雲大資料平臺上使用資料。
常見問題
- Maxcompute資料儲存加密後,是否可以被hologres外表訪問?
答:是可以的,但是在儲存加密時需要選用自帶金鑰的加密方式。
- Maxcompute資料儲存加密後,需要使用者手工解密嗎?
答:不需要,系統會在查出來時自動解密。
- 在資料保護傘中已經配置了資料分類,脫敏規則,為什麼脫敏還不生效?
答:先要在Dataworks的設定中開啟頁面查詢內容脫敏。
原創:阿里雲智慧 漠凡
本文為阿里雲原創內容,未經允許不得轉載。