关于saas:SaaS-模式云数据仓库-MaxCompute-数据安全最佳实践

47次阅读

共计 6551 个字符,预计需要花费 17 分钟才能阅读完成。

简介: MaxCompute 作为企业级 SaaS 模式云数据仓库,正在为客户业务及其数据提供继续的平安爱护。MaxCompute 近期对产品的平安能力进行了全面降级,本文将针对数据误用、数据滥用、数据泄露、数据失落等典型数据危险场景,联合数据生命周期,为您介绍基 于 MaxCompute 和 DataWorks 原生集成平安能力的最佳实际。

什么是 MaxCompute?

MaxCompute 是一款云原生、高效能的 SaaS 模式企业级数据仓库服务,被宽泛用于构建现代化企业数据平台,发展 BI 剖析、数据化经营、画像及举荐、智能预测等利用场景。

MaxCompute 构建在阿里云大规模计算、存储资源之上,以 Serverless 架构提供全托管的在线数据仓库服务,打消了传统数据平台在资源扩展性和弹性方面的限度,并最小化用户的运维投入。

MaxCompute 反对多种经典计算模型(批处理、机器学习、交互式剖析等)和欠缺的企业治理性能,借助 MaxCompute,用户可轻松集成和治理企业数据资产,简化数据平台架构,减速价值实现。

MaxCompute 企业级平安能力降级

MaxCompute 近期对产品的平安能力进行了全面降级。公布的平安能力有:

· 细粒度受权
· 数据加密 (BYOK)
· 数据脱敏(数据保护伞)
· 继续备份复原
· 跨地区的容灾备份
· 实时审计日志

MaxCompute 平安体系

对于一个企业级的大数据平台,要应答的平安危险,有三个档次(如图 -1):
1. 根底平安与可信平台,保障数据中心的物理平安与网络安全,次要包含数据中心保障设施、数据中心平安管控、数据中心的网络安全等几个维度的建设。
2. 大数据平台的系统安全,次要由访问控制、平安隔离、风控审计、以及数据保护等子系统形成,为下层平安利用或工具提供平台能力根底。
3. 数据利用的平安,为用户提供工具化的数据安全产品,优化用户体验,帮忙用户更好应答各类数据危险。

(图 -1:大数据平台平安体系)

近期的 MaxCompute 平安能力降级,次要新性能笼罩了访问控制、风控审计、以及数据保护几个子系统,如图 - 1 中“大数据平台平安”层中,黄色高亮字体局部。本文中,咱们将针对几类次要的数据危险(如图 -2),介绍这些数据危险应答的最佳实际。在最佳实际中,将会交叉介绍何时应用、为什么应用、如何应用这些新性能。

(图 -2:次要数据危险)

如何应答数据误用

数据误用是因为非故意的、差错性动作导致的,避免误用个别指避免数据被不经意间谬误应用。应答数据误用的危险,避免数据误用,外围的一点,就是理解数据,可能答复这些问题:我有什么数据,这些数据在哪里,这些数据是怎么来的、又被如何应用,等一系列问题。

1. MaxCompute 提供根底元数据信息

MaxCompute 能够帮忙用户很好的答复这些问题。MaxCompute 平台构建了对立的元数据管理,基于对立元数据和齐备的平台日志,向用户提供元数据和相干日志数据。用户能够基于 MaxCompute 的 Information Schema,构建本人的数据管理利用。

2. 应用数据地图作为数据管理工具

大多数用户更心愿通过现有的数据管理利用或服务,来理解本人的数据:“DataWorks- 数据地图”就是这样的利用。数据总览、数据明细等信息能帮忙用户理解本人有哪些数据以及数据的明细信息;产出和应用信息、血统信息,则能帮忙用户理解数据的前因后果,帮忙用户正确、正当的应用数据。使正确的数据,被正确的应用在正确的场景下。

(图 -3:应用数据地图理解数据)

如何应答数据滥用

数据滥用指的是对数据的应用超出了其事后约定的场景或目标,数据滥用个别是靠成心的、带有目的性的动作实现的。而应答数据滥用,最次要的应答是对数据应用做最小化受权,严格限度数据的被拜访、应用的范畴。权限治理的最佳实际,举荐图 - 5 中的 4 大过程:

• 数据分级管理:基于 MaxCompute 的 LabelSecurity 对数据做分类分级管理。
• 受权审批流程:基于 MaxCompute 的 列级别权限管控能力,对数据的拜访应用需要,做最小化受权。
• 定期审计:对权限的申请、审批、应用状况进行剖析,做到事先有审批,预先有审计。
• 及时清理:及时清理过期权限,缩小数据危险。

能够依靠 MaxCompute 的细粒度权限体系,应用 Dataworks 等白屏化工具,来实现最小化受权的最佳实际,应答数据滥用的危险。

  1. (New) MaxCompute 细粒度权限体系提供精细化的权限治理能力

MaxCompute 反对不同的受权机制来实现对用户或角色的受权,包含:
• 自主访问控制机制 (DAC, Discretionary Access Control): ACL
• 强制访问控制机制 (MAC, Mandatory Access Control):LabelSecurity(标签安全策略)
• 基于角色的访问控制机制 (RBAC, Role based Access Control): 角色治理

不论是哪种访问控制机制,受权鉴权过程中的三个因素是雷同的:Action,Object,以及 Subject,如下图。

在此次的 MaxCompute 平安能力公布中,也包含权限模型的降级,反对更细粒度的受权鉴权,提供精细化的权限治理能力。次要新性能有:

• ACL 反对列级别权限治理,减少 Condition 反对,减少受权有效期反对;
• 细粒度 Package 内资源权限管控,对 Package 内的资源能够反对到列级别的权限管控;
• 减少独立的 Download 数据下载权限治理,对更高风险的数据批量下载场景做独立权限管控;
• 治理类权限反对分级受权治理,内置 super administrator 角色来合成 project owner 管理负担;
• 欠缺 RBAC,LabelSecurity 减少对 Role 的反对;
• 加强对利用端的权限治理能力。

(图 -4:MaxCompute 细粒度权限体系)

(橙色高亮字体为此次细粒度权限能力公布)

2. 应用平安核心进行白屏化权限治理

MaxCompute 的细粒度权限体系提供了的实现最小化受权的平台能力,联合一些白屏化工具,如“DataWorks- 平安核心”,则能够提供更好的用户体验,让用户更不便的实现权限治理。

(图 -5:应用平安核心做白屏化权限治理)

平安核心提供便捷的权限管控性能和可视化的申请、审批流程,也能够进行权限的审计和治理:

• 权限自助申请:抉择所需权限的数据表 / 字段,在线上疾速发动申请。
• 权限审计及交还:管理员能够查看数据权限的对应人员,进行审计治理,用户也能够被动交还不再须要的权限。
• 权限审批治理:在线审批受权模式,提供可视化、流程化的治理受权机制,并能够对审批流程进行预先追溯。

如何应答数据泄露

1. 数据生命周期

(图 -6:数据生命周期)

数据泄露可能产生在数据生命周期的多个阶段,如数据传输、数据存储、数据处理、数据交换等阶段。因而,咱们将联合数据生命周期的不同阶段来介绍应答数据泄露的最佳实际。

首先,数据从不同的渠道被采集,通过各类传输通道,进入大数据平台。在大数据平台中,通过计算后落盘存储;数据也会通过数据分享机制,在不同的租户、业务之间流转;通过肯定周期后,一些数据也会被删除销毁。通过解决后的数据,则会通过不同的传输通道,被其余数据利用、或者用户生产。(如图 -7)。

(图 -7:大数据平台中的数据生命周期)

2.(New) 应答数据存储过程中的数据泄露危险 – 应用数据加密(存储加密)性能

咱们首先看一下如何应答数据存储过程中的数据泄露危险:如磁盘数据被间接拜访,磁盘被获取,等危险。应答此类情况的措施,是对磁盘数据进行加密,这样即便数据被歹意获取,加密后的数据也无奈被解读应用。
此次平安能力降级中,MaxCompute 公布了存储加密性能,反对用户数据的落盘加密:

• MaxCompute 接入秘钥管理系统 KMS 以保障秘钥的安全性,反对服务秘钥和用户自选秘钥(BYOK)。
• 用户能够在创立 MaxCompute 我的项目时,配置抉择关上存储加密性能(存量用户能够通过工单申请开明)。
• 反对加密算法:AES256,国密算法,等。
• . 数据加密后对用户应用放弃通明,各种类型的工作不需额定扭转。

3. 应答数据数据处理过程中的数据泄露危险 – MaxCompute 平安隔离能力

在数据处理过程中,应答数据泄露的危险则次要在于大数据平台的平安隔离能力。
MaxCompute 提供独立的隔离环境用于执行数据处理利用,能够反对残缺的 UDF 品种,反对 Java 和 Python UDF, 还反对执行如 Spark、Flink、Tensorflow 等开源三方计算引擎,提供了多元化的数据处理能力。

(图 -8:MaxCompute 平安隔离能力)

4. 应答数据交换 (共享) 过程中的数据泄露危险 – MaxCompute 数据隔离与权限体系

在数据交换、或者说数据共享过程中,则须要欠缺的数据隔离能力与权限管理体系来保障数据安全、防备数据泄露危险。MaxCompute 提供不同层级和维度上的数据隔离与权限管理机制,以反对多层次的数据保护和数据共享场景。

• 多租户的数据安全隔离:MaxCompute 反对多租户的应用场景,针对不同的用户数据进行数据存储隔离,用户数据被离散存储在分布式文件系统中,满足多用户协同、共享、和平安的须要,做到真正的多租户资源隔离。

• 租户内的业务 (Project) 数据隔离与共享:同一租户下,不同业务(Project)之间的数据隔离、以及肯定水平上的数据共享是十分常见的场景。基于 ProjectProtection 爱护机制能够实现 Project 之间的数据隔离与爱护,二 Package 则能让用户更不便同时也更平安的实现跨 Project 的数据和资源分享。如前文“MaxCompute 细粒度权限体系提供精细化的权限治理能力”介绍,此次平安能力降级减少了对 Package 的数据和资源做细粒度的权限治理,加强了 Package 的数据共享和爱护能力。

• (New) 利用端数据访问控制:通过对拜访 MaxCompute 的的利用减少签名机制,加强了对利用端访问控制的治理能力。例如,只容许特定的利用能够进行受权语句的操作,以防止用户通过接口或不合规的利用进行非法数据受权操作。

(图 -9:MaxCompute 数据隔离能力)

5.(New) 数据生命周期中的敏感数据爱护

应答数据泄露危险中的一个重要主题是敏感数据爱护,前文所述在存储、解决、和替换过程中的危险应答实际,对敏感数据爱护同样实用。此外,还有一些针对敏感数据爱护这一特定场景的最佳实际:

• 数据分类分级:应用 MaxCompute 的 LabelSecurity 性能,对数据做安全性的分类分级,对不同类别不同安全等级的数据拜访和应用,进行精细化的权限治理。

•(New) 数据脱敏:基于平安行业的脱敏实现或利用,联合 MaxCompute 的平台 UDF 能力,实现不同客户端数据输入时的敏感数据脱敏。脱敏实现也能够与数据分类分级联合应用,对不同分类分级的数据做不同的脱敏实现。

(图 -10:敏感数据爱护)

(New)用数据保护伞作为敏感数据爱护工具

数据保护伞,是基于 MaxCompute 平台的数据分类分级能力和接入脱敏利用能力、构建的敏感数据爱护工具。用户能够应用数据保护伞对敏感数据进行标识,抉择脱敏算法,在数据屏显输入时进行脱敏。
更多产品阐明和应用介绍,详见《数据保护伞》用户文档。

(图 -11:敏感数据爱护工具 – 数据保护伞)

如何应答数据失落

除了歹意的数据泄露、数据滥用等危险,数据开发过程中的各种误操作,偶发的设施或机房故障,甚或是常见的灾祸意外状况,都能造成数据失落的结果。应答数据失落危险的最佳实际,次要有备份复原,以及容灾能力。

1.(New) MaxCompute 备份与复原

数据开发过程中,防止不了会有误操作删除数据 (如 Drop/Truncate Table) 后须要复原,或应用“insert into”、“insertoverwrite”语法执行后发现数据有问题须要复原之前版本。

MaxCompute 近期公布了继续的备份与恢复能力,零碎会主动备份数据的历史版本(例如被删除或批改前的数据)并保留肯定工夫,您能够对保留周期内的数据进行疾速复原,防止因误操作失落数据。

(图 -12:MaxCompute 继续备份与恢复能力)

2.(New) MaxCompute 异地容灾

MaxCompute 的异地容灾能力,更好的提供了在机房故障或意外灾祸等极其场景下的数据安全保障。
在为 MaxCompute 我的项目指定备份地位到备份集群后,MaxCompute 主动实现主集群与备份集群的数据复制,达到主集群与被集群数据的统一,实现异地数据容灾。当产生故障,MaxCompute 我的项目从主集群切换到备份集群后,应用备份集群的计算资源拜访备份集群的数据,实现服务的切换和复原。

(图 -13:MaxCompute 异地容灾)

善用审计,应答各类数据危险

至此,咱们曾经介绍了在数据开发和应用过程中,应答各类数据危险的实际。咱们把十分重要的、实用于各类数据危险应答的一个实际,放在最初介绍:善用日志,构建预警和审计能力。

MaxCompute 提供了欠缺的历史数据和实时日志:

• Information Schema:提供了我的项目元数据及应用历史数据等信息。PRIVILEGES 和 HISTORY 类的视图,能够帮忙用户对数据权限应用、工作执行等维度做剖析审计。

• (New) 实时审计日志性能:MaxCompute 残缺记录了用户的各项操作行为,如 DDL、受权、工作执行等各类事件,满足实时审计、问题回溯剖析等需要。

基于 Information Schema 和 实时审计日志,用户能够构建本人的数据风控和审计体系。Information Schema 去年就已上线,下文将次要介绍新公布的实时审计日志。

当然,并不是所有的用户都打算本人构建风控和审计工具,这种状况下,能够间接应用 Dataworks 中的已有产品,进行风控和审计。长处是无需用户二次开发、开箱即用,毛病则是定制的弹性较小。

1.(New) 实时审计日志

敏感数据是否被适度应用?数据拜访权限是否被适度授予?是否有异样如计划外高频的数据拜访?在数据安全保障中,管理者经常须要答复这些问题。MaxCompute 审计日志能够帮忙答复这些问题。

MaxCompute 残缺地记录用户的各项操作行为,并通过阿里云 ActionTrail 服务将用户行为日志实时推送给 ActionTrail。用户能够在 ActionTrail 中查看和检索用户行为日志,同时通过 ActrionTrail 将日志投递到日志服务项目或指定的 OSS Bucket 中,满足实时审计、问题回溯剖析等需要。

ActionTrail 针对作业(Instance)、表(Table)、函数(Function)、资源(Resource)、用户(User)、角色(Role)和受权(Privilege)等事件的多种操作行为进行审计,具体性能阐明和应用介绍,详见《审计日志》用户文档。

(图 -14:MaxCompute 审计日志)

2. 应用 DataWorks 中的审计工具

用户也能够应用 Dataworks 的已有产品,进行数据安全的风控和审计:

• 在前文中介绍的平安核心,能够提供权限的审计。
• 数据保护伞也提供了风控和审计能力,如图 -15。

(图 -15:应用数据保护伞做风控和审计)

小结

小结的同时响应开篇,咱们再次来看企业级大数据平台三个档次的数据安全保障体系。这次咱们把 MaxCompute 的平安能力按数据生命周期的 6 个阶段来从新组织,如图 -16。帮忙大家更好了解,在不同的数据生命阶段,应该采纳哪些实际来施行平安保障。图 -16 中的黄色高亮局部,则标识了此次 MaxCompute 平安能力降级中的新性能。

(图 -16:基于大数据平台构建数据什么周期的平安保障)

作为 SaaS 模式下的云数据仓库,MaxCompute 具备当先的平安能力,也通过了国内、欧洲、国内的多项平安合规认证,如国内支流认证 ISO 系列、SOC1/2/3、PCI,欧洲支流认证 C5,国内支流认证安全等级爱护 2.0,等。阿里云整体的平安合规认证,详见《阿里云信赖核心 - 合规认证》页面。欢送大家应用 MaxCompute,构建企业级的大数据安全。

发布会传送门

查看产品详情

正文完
 0