关于安全:基于MaxCompute的大数据安全方案

48次阅读

共计 2832 个字符,预计需要花费 8 分钟才能阅读完成。

简介:随着法律的欠缺,数据安全,信息安全,网络安全,升级成国家平安,所以数据安全不论对用户,还是对公司也都会变的越来越重要。做为大数据云数仓解决方案的领导者,阿里云 MaxCompute 在平安体系上也做了很多个性,本文给大家简略介绍下 MaxCompute 对于数据安全的一些能力。

随着法律的欠缺,数据安全,信息安全,网络安全,升级成国家平安,所以数据安全不论对用户,还是对公司也都会变的越来越重要。做为大数据云数仓解决方案的领导者,阿里云 MaxCompute 在平安体系上也做了很多个性,本文给大家简略介绍下 MaxCompute 对于数据安全的一些能力。

平安体系介绍

平安体系不是一个零碎,是一系列的零碎联结能力做到大数据平台的数据安全要求,次要包含:

事先筹备,包含数据打标,白 / 黑名单,权限调配,加密算法和脱敏算法筹备。
事中解决,包含数据加密 / 解密,白名单过滤,数据扫描,数据实时告警。
预先审计,包含数据应用日志审计,数据离线报表监控等。

平安体系架构

数据安全体系不仅须要各个系统配合应用,同时也须要不同部门进行流程化治理,让数据能在正当受权下应用:

  • 其中就会波及到数据合规部门,对数据进行打标,对数据规定进行配置,权限设置以及白名单治理等工作;
  • 大数据平台要依照合规人员设置的规定自动化对数据进行加密或者脱敏,而后提供给数据使用者应用;
  • 数据安全人员同时要对每个敏感数据的应用都须要有实时的数据监控,以及数据预先的定时审计。

本文次要介绍阿里大数据平台的数据存储加密和数据脱敏两块,目前阿里大数据平台 MaxCompute 联结 KMS 平台在对数据上云时能够对数据进行加密存储,反对 AES256、AESCTR 和 RC4 算法,在客户应用时主动解密,做到客户无感知的数据保护。

同时 MaxCompute 联结 Dataworks 和数据安全保护伞做到敏感数据脱敏应用,用户能够在数据保护伞里对数据进行打标配置,危险规定定义,脱敏规定配置以及白名单设计等操作,MaxCompute 会主动对曾经打标的数据,依照脱敏规定对指定的敏感数据进行脱敏显示。

实用场景

场景一:客户个人信息爱护

个人信息爱护场景,随着相干法律的出台,很多游戏公司都要须要录入集体身份证号等敏感信息,如果客户的个人信息泄露是很重大的数据安全事变,所以相似身份证号等个人信息的爱护就变的十分重要,这些信息只有客户本人能够应用,或者客户受权的状况下才能够应用,然而在企业经营时,须要对这些信息进行加工,匹配等,所以在所有加工过程中都须要加密或者脱敏操作。

场景二:企业外部信息爱护

大部分公司外部有财务,集体薪资等很多敏感数据,然而公司失常经营,须要这些数据在大数据平台进行加工计算,最初输入报表,在两头加工过程中,包含数据研发人员,测试人员,产品经理等,都不能触碰明文数据,须要对数据进行脱敏操作。

适宜客群

本文适宜企业曾经应用了 Maxcompute 产品的数据管理人员,数据治理人员,数据研发人员以及数据安全合规人员等。

数据加密

MaxCompute 反对通过密钥治理服务 KMS(Key Management Service)对数据进行加密存储,提供数据动态爱护能力,满足企业监管和平安合规需要。

前提条件

  • 阿里云服务账号;
  • 曾经开启 KMS 密钥治理服务。

操作步骤

1. 进入密钥治理服务开明页,选中密钥治理服务服务协定,单击立刻开明,开明 KMS 服务。

2. 登录 DataWorks 控制台,在左侧导航栏,单击工作空间列表。

3. 在工作空间列表页面上方抉择区域后,单击创立工作空间。在创立工作空间面板,配置根本配置信息,单击下一步,详情请参见创立我的项目空间。

4. 在创立工作空间面板的抉择计算引擎服务区域,选中 MaxCompute。

5. 在请进行 ODPS 服务账号受权对话框,单击受权。

6. 在新关上的云资源拜访受权页面,单击批准受权。

7. 返回请进行 ODPS 服务账号受权对话框。敞开请进行 ODPS 服务账号受权对话框,在创立工作空间面板的抉择计算引擎服务区域,从新选中 MaxCompute,单击下一步。

8. 在创立工作空间面板,配置引擎详情信息。选中加密,开启数据加密性能。以创立简略模式的工作空间为例。

9. 单击创立工作空间,实现创立。开启数据加密性能后,MaxCompute 会主动实现我的项目数据读写过程中的加密或解密操作。

数据脱敏

数据保护伞是一款数据安全治理产品,为您提供数据发现、数据脱敏、数据水印、访问控制、危险辨认、数据审计、数据溯源等性能。接下去为您介绍如何开明、应用数据保护伞。

前提条件

  • 阿里云服务账号;
  • 曾经开启 Dataworks 空间。

操作步骤

1. 登录 DataWorks 控制台,进入设置,启用页面查问内容脱敏:

2. 单击左上方的图标,抉择全副产品 > 数据治理 > 数据保护伞。

3. 数据分级分类设置,零碎会字段 1000+ 数据分类,在没有特殊要求的状况下,大部分状况下能够用默认分类,同时也反对自定义客户本人的分级分类。

4. 数据辨认类型,零碎曾经自带很多 1000+ 辨认类型,没有特殊要求,能够应用自带辨认主动生成数据辨认模型,同时也反对通过您提供的样本字段,进行模型训练,帮忙您寻找指标字段的内容特色,生成相应的规定模型。

5. 数据脱敏规定定义,用户能够给指定的数据字段类型进行定义脱敏规定,目前反对脱敏形式有假名,Hash,覆盖三种。

6. 数据查问会进行主动覆盖:

白名单

目前数据保护伞对于数据脱敏局部,反对给用户增加白名单,如果在白名单里的客户,能够忽视脱敏规定,能够查到明文数据。

数据发现

目前数据保护伞对于数据脱敏局部,支持系统主动扫描数据,并把危险统计数据显示进去。

数据危险辨认

目前数据保护伞对于数据脱敏局部,反对用户自定义危险行为,并对危险进行对立查问显示。

数据审计

目前数据保护伞对于数据脱敏局部,用户能够查问数据危险解决状况,对数据安全解决进行审计。

总结

本文只是对大数据平台的安全性做了简略的梳理,很多细节因为篇幅没有细讲,有趣味的同学能够参考官网文档。

  • 数据加密配置
  • 数据脱敏配置

目前阿里大数据平台曾经对数据的存储加密,以及数据脱敏显示上做了比拟多的能力,然而在数据还不能做到列级,行级甚至单元格级别的加密;在数据辨认扫描上也不反对手动依据本人的规定进行扫描;在数据全渠道接入脱敏也没有笼罩所有 Region;在数据安全应用上,数据监控以及数据审计上做的也不是很欠缺等等问题,后续在平安上退出更多能力,让用户能够安心,释怀,省心的在阿里云大数据平台上应用数据。

常见问题

  • Maxcompute 数据存储加密后,是否能够被 hologres 表面拜访?

答:是能够的,然而在存储加密时须要选用自带密钥的加密形式。

  • Maxcompute 数据存储加密后,须要用户手工解密吗?

答:不须要,零碎会在查出来时主动解密。

  • 在数据保护伞中曾经配置了数据分类,脱敏规定,为什么脱敏还不失效?

答:先要在 Dataworks 的设置中开启页面查问内容脱敏。

原创:阿里云智能 漠凡

原文链接
本文为阿里云原创内容,未经容许不得转载。

正文完
 0