代码编织梦想

随着法律的完善,数据安全,信息安全,网络安全,升级成国家安全,所以数据安全不管对用户,还是对公司也都会变的越来越重要。做为大数据云数仓解决方案的领导者,阿里云MaxCompute在安全体系上也做了很多特性,本文给大家简单介绍下MaxCompute关于数据安全的一些能力。

安全体系介绍

安全体系不是一个系统,是一系列的系统联合才能做到大数据平台的数据安全要求,主要包括:

  1. 事前准备,包括数据打标,白/黑名单,权限分配,加密算法和脱敏算法准备。
  2. 事中处理,包括数据加密/解密,白名单过滤,数据扫描,数据实时告警。
  3. 事后审计,包括数据使用日志审计,数据离线报表监控等。

安全体系架构

数据安全体系不仅需要各个系统配合使用,同时也需要不同部门进行流程化管理,让数据能在合理授权下使用:

  • 其中就会涉及到数据合规部门,对数据进行打标,对数据规则进行配置,权限设置以及白名单管理等工作;
  • 大数据平台要按照合规人员设置的规则自动化对数据进行加密或者脱敏,然后提供给数据使用者使用;
  • 数据安全人员同时要对每个敏感数据的使用都需要有实时的数据监控,以及数据事后的定时审计。

本文主要介绍阿里大数据平台的数据存储加密和数据脱敏两块,目前阿里大数据平台MaxCompute联合KMS平台在对数据上云时可以对数据进行加密存储,支持AES256、AESCTR和RC4算法,在客户使用时自动解密,做到客户无感知的数据保护。

同时MaxCompute联合Dataworks和数据安全保护伞做到敏感数据脱敏使用,用户可以在数据保护伞里对数据进行打标配置,风险规则定义,脱敏规则配置以及白名单设计等操作,MaxCompute会自动对已经打标的数据,按照脱敏规则对指定的敏感数据进行脱敏显示。

适用场景

场景一:客户个人信息保护

个人信息保护场景,随着相关法律的出台,很多游戏公司都要需要录入个人身份证号等敏感信息,如果客户的个人信息泄露是很严重的数据安全事故,所以类似身份证号等个人信息的保护就变的非常重要,这些信息只有客户自己可以使用,或者客户授权的情况下才可以使用,但是在企业运营时,需要对这些信息进行加工,匹配等,所以在所有加工过程中都需要加密或者脱敏操作。

场景二:企业内部信息保护

大部分公司内部有财务,个人薪资等很多敏感数据,但是公司正常运营,需要这些数据在大数据平台进行加工计算,最后输出报表,在中间加工过程中,包括数据研发人员,测试人员,产品经理等,都不能触碰明文数据,需要对数据进行脱敏操作。

适合客群

本文适合企业已经使用了Maxcompute产品的数据管理人员,数据治理人员,数据研发人员以及数据安全合规人员等。

数据加密

MaxCompute支持通过密钥管理服务KMS(Key Management Service)对数据进行加密存储,提供数据静态保护能力,满足企业监管和安全合规需求。

前提条件

    • 阿里云服务账号;
    • 已经开启KMS密钥管理服务。

操作步骤

  1. 进入密钥管理服务开通页,选中密钥管理服务服务协议,单击立即开通,开通KMS服务。

2.登录DataWorks控制台,在左侧导航栏,单击工作空间列表。

3.在工作空间列表页面上方选择区域后,单击创建工作空间。在创建工作空间面板,配置基本配置信息,单击下一步,详情请参见创建项目空间。

4.在创建工作空间面板的选择计算引擎服务区域,选中MaxCompute。

5.在请进行ODPS服务账号授权对话框,单击授权。

6.在新打开的云资源访问授权页面,单击同意授权。

7.返回请进行ODPS服务账号授权对话框。关闭请进行ODPS服务账号授权对话框,在创建工作空间面板的选择计算引擎服务区域,重新选中MaxCompute,单击下一步。

8.在创建工作空间面板,配置引擎详情信息。选中加密,开启数据加密功能。以创建简单模式的工作空间为例。

9.单击创建工作空间,完成创建。开启数据加密功能后,MaxCompute会自动完成项目数据读写过程中的加密或解密操作。

数据脱敏

数据保护伞是一款数据安全管理产品,为您提供数据发现、数据脱敏、数据水印、访问控制、风险识别、数据审计、数据溯源等功能。接下去为您介绍如何开通、使用数据保护伞。

前提条件

    • 阿里云服务账号;
    • 已经开启Dataworks空间。

操作步骤

  1. 登录DataWorks控制台,进入设置,启用页面查询内容脱敏:

2.单击左上方的图标,选择全部产品 > 数据治理 > 数据保护伞。

  1. 数据分级分类设置,系统会字段1000+数据分类,在没有特殊要求的情况下,大部分情况下可以用默认分类,同时也支持自定义客户自己的分级分类。
  2. 数据识别类型,系统已经自带很多1000+识别类型,没有特殊要求,可以使用自带识别自动生成数据识别模型,同时也支持通过您提供的样本字段,进行模型训练,帮助您寻找目标字段的内容特征,生成相应的规则模型。
  3. 数据脱敏规则定义,用户可以给指定的数据字段类型进行定义脱敏规则,目前支持脱敏方式有假名,Hash,掩盖三种。

6.数据查询会进行自动掩盖:

白名单

目前数据保护伞对于数据脱敏部分,支持给用户添加白名单,如果在白名单里的客户,可以无视脱敏规则,可以查到明文数据。

数据发现

目前数据保护伞对于数据脱敏部分,支持系统自动扫描数据,并把风险统计数据显示出来。

数据风险识别

目前数据保护伞对于数据脱敏部分,支持用户自定义风险行为,并对风险进行统一查询显示。

数据审计

目前数据保护伞对于数据脱敏部分,用户可以查询数据风险处理情况,对数据安全处理进行审计。

总结

本文只是对大数据平台的安全性做了简单的梳理,很多细节因为篇幅没有细讲,有兴趣的同学可以参考官方文档。

目前阿里大数据平台已经对数据的存储加密,以及数据脱敏显示上做了比较多的能力,但是在数据还不能做到列级,行级甚至单元格级别的加密;在数据识别扫描上也不支持手动根据自己的规则进行扫描;在数据全渠道接入脱敏也没有覆盖所有Region;在数据安全使用上,数据监控以及数据审计上做的也不是很完善等等问题,后续在安全上加入更多能力,让用户可以安心,放心,省心的在阿里云大数据平台上使用数据。

常见问题

  • Maxcompute数据存储加密后,是否可以被hologres外表访问?

答:是可以的,但是在存储加密时需要选用自带密钥的加密方式。

  • Maxcompute数据存储加密后,需要用户手工解密吗?

答:不需要,系统会在查出来时自动解密。

  • 在数据保护伞中已经配置了数据分类,脱敏规则,为什么脱敏还不生效?

答:先要在Dataworks的设置中开启页面查询内容脱敏。

作者:阿里云智能 漠凡

原文链接

本文为阿里云原创内容,未经允许不得转载。

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43970890/article/details/124705160

基于阿里云 MaxCompute 构建企业云数据仓库CDW-爱代码爱编程

在本文中阿里云资深产品专家云郎分享了基于阿里云 MaxCompute 构建企业云数据仓库CDW的最佳实践建议。 本文内容根据演讲视频以及PPT整理而成。 大家下午好,我是云郎,之前在甲骨文做企业架构师8年,目前是MaxCompute产品经理。 在这么长的客户工作过程中,作为产品PD,一定是跟客户在一起的。我经常被一些问题挑战:云郎,我们现在要建数据仓库

基于 MaxCompute 的智能推荐解决方案-爱代码爱编程

简介:在互联网行业红利已过、在获客成本越来越高、在用户在线时长全网基本无增长以及信息大爆炸的情况下,如何更好的转化新用户和提升老用户粘性就变得至关重要,智能化的个性化推荐无疑是经过验证的重要手段之一,我们每天使用的移动App或企业内都处处有其身影。 本文作者 吴世龙 阿里云智能 高级产品专家 直播视频请点击 直播 观看。 一、背景介绍

基于MaxCompute SQL 的半结构化数据处理实践-爱代码爱编程

简介: MaxCompute作为企业级数据仓库服务,集中存储和管理企业数据资产、面向数据应用处理和分析数据,将数据转换为业务洞察。通过与阿里云内、外部服务灵活组合,可构建丰富的数据应用。全托管的数据与分析解决方案,可简化平台运维、管理投入,提升面向业务的服务能力,加速价值实现。 本文作者 孔亮 阿里云智能 产品专家 一、MaxCompute 基础介绍

基于 MaxCompute SQL 的半结构化数据处理实践-爱代码爱编程

一、MaxCompute 基础介绍 阿里云数据与分析产品解决方案 MaxCompute作为企业级数据仓库服务,集中存储和管理企业数据资产、面向数据应用处理和分析数据,将数据转换为业务洞察。通过与阿里云内、外部服务灵活组合,可构建丰富的数据应用。全托管的数据与分析解决方案,可简化平台运维、管理投入,提升面向业务的服务能力,加速价值实现。 从下图可以看出

电力行业数据安全解决方案-爱代码爱编程

1、电力行业现状 电力数据包括营销、电网、物资、财务等数据,呈现数据量多、用户规模大、数据采集点多、数据类型更多等特点。数据的使用方式和使用者更加广泛,那么在给电力生产、营销带来便利的同时,也给电网数据安全带来以下风险:    1.1数据存在泄露风险 电力行业目前安全建设已经日渐完善,但在输电、变电、配电、用电、卖电五大场景每个环节、每个瞬间都在产生

2022年计算机软件水平考试信息安全工程师(中级)练习题及答案-爱代码爱编程

1、在云计算虚拟化应用中,VXLAN技术处于OS工网络模型中2-3层间,它综合了2层交换的简单性与3层路由的跨域连接性。它是通过在UDP/IP上封装Mac地址而实现这一点的。在简单应用场合,vxLAN可以让虚拟机在数据中心之间的迁移变得更为简单。该技术是哪个公司主推的技术(C) A.惠普 B.Juniper C.Cisco与Vmware D.博

市政供热远程监控系统解决方案-爱代码爱编程

  一、市政供热远程监控系统行业背景  当冬季来临时,我国北方地区以及部分南方地区都会开展集中供暖,为了能够帮助家家户户更好地度过寒冷的冬季,城市供热质量要求也在不断提升。如今资源日益紧张,而随着城市供热网的不断扩大,如何才能高效的提升供暖效率,减少资源浪费,提高居民满意度是各方正在面临的严峻问题。   东用科技针对这一情况,采用ORB305工业级路由器

《2021年最经常被利用的漏洞》信息发布-爱代码爱编程

 CVE:Common Vulnerabilities and Exposures 中文名:公共漏洞和披露       CVE没有官方的中文简称,大致为一个公共漏洞和披露的库,相当于一个搜集诸多安全漏洞的漏洞库,不同的漏洞信息对应着一个不同的CVE编号,申请CVE即申请一个CVE编号。       官方网址:       http://cve.

基于MaxCompute的大数据安全方案-爱代码爱编程

简介:随着法律的完善,数据安全,信息安全,网络安全,升级成国家安全,所以数据安全不管对用户,还是对公司也都会变的越来越重要。做为大数据云数仓解决方案的领导者,阿里云MaxCompute在安全体系上也做了很多特性,本文给大家简单介绍下MaxCompute关于数据安全的一些能力。 随着法律的完善,数据安全,信息安全,网络安全,升级成国家安全,所以数据安全不管