本文介绍如何使用数据安全中心DSC(Data Security Center),对OSS中存储的敏感数据进行识别、分类分级和保护。
背景信息
敏感数据主要包括个人隐私信息、密码、密钥、敏感图片等高价值数据,这些数据通常会以不同的格式存储在您的OSS Bucket中,一旦发生泄漏,会给企业带来重大的经济和名誉损失。
DSC在您完成数据源识别授权后,从您存储在OSS的海量数据中快速发现和定位敏感数据,对敏感数据分类分级并统一展示,同时追踪敏感数据的使用情况,并根据预先定义的安全策略,对数据进行保护和审计,以便您随时了解OSS数据资产的安全状态。
核心能力
数据分类分级、敏感数据识别
云端OSS中存储了大量的数据与文件,但无法准确获知这些OSS数据中是否包含敏感信息以及敏感数据所在的位置。
您可以使用DSC内置算法规则,或根据其行业特点自定义规则,对其存储在OSS中的数据进行整体扫描、分类、分级,并根据结果做进一步的安全防护,如利用OSS的访问控制和加密功能等。
数据脱敏
数据进行对外交换供用户分析或使用时,未进行脱敏处理,导致敏感信息的意外泄漏。
DSC支持灵活多样的内置或自定义脱敏算法,可实现生产类敏感数据脱敏到开发、测试等非生产环境使用的场景,并确保脱敏后的数据保真可用。
异常检测和审计
在云端OSS中存在海量数据的场景中,无法准确获知数据被谁使用,以及数据使用上是否存在异常行为或数据泄漏。
DSC通过智能化的检测模型,针对OSS中敏感数据的访问,实现异常行为检测和审计,同时为数据安全管理团队提供相关告警,并基于检测结果完善风险预判和规避能力。
方案优势
可视化:提供敏感数据识别结果可视化能力,让企业数据安全现状一目了然。
数据访问监控和异常审计可追溯,降低企业数据安全风险。
提升整体企业数据资产安全透明度,强化企业数据治理能力。
降低数据安全运维成本,为企业制定数据安全策略提供强有力的数据支撑。
智能化:运用大数据和机器学习能力,通过智能化的算法,对敏感数据和高风险活动,诸如数据异常访问和潜在的泄漏风险进行有效识别和监控,并提供修复建议。
提供定制化的敏感数据识别能力,便于客户自定义识别标准,实现精准识别和高效防护。
将复杂的数据格式和内容汇总至统一的数据风险模型,并以标准化的方式呈现,实现企业关键数据资产的防御。
云原生:充分利用云上服务优势,并支持云上多类型数据源。
相较于传统软件化部署方式,服务架构更为健壮,可用性更高,成本也更低,同时系统自身安全性也更好。
操作步骤
访问数据安全中心购买页并使用您的阿里云账号登录,完成数据安全中心产品的购买。
具体操作,请参见购买数据安全中心。
- 登录数据安全中心控制台。
在左侧导航栏,选择
。在授权管理页签左侧产品名称导航栏,单击OSS。
单击资产授权管理。
(可选)在资产授权管理面板,单击资产同步。
如果您需要为当天创建的资产授权,则需要手动执行资产同步操作。
单击目标资产操作列的授权。
返回授权管理页签,单击目标Bucket操作列的一键连接。连接状态显示已连接时,表示连接成功。
确认目标Bucket的识别任务已完成。
具体操作,请参见识别任务说明。
在 页面,查看OSS敏感数据扫描结果。
您还需要根据扫描结果对敏感文件和有风险的事件进行及时的处理,避免数据安全隐患。
处理建议如下:
及时查看高敏感风险等级的Bucket中,各个敏感等级对应的敏感文件数量,以及每个敏感等级命中数量最多的识别规则和对应的文件数量。
单击文件详情,查看该敏感文件的名称以及其他相关信息(例如:文件类型、文件大小等),确认该文件是否存在数据安全风险。
在
页面,根据敏感文件的名称查看客户端对其执行的相关操作。有必要的情况下,记录执行该操作的客户端IP地址,排查是否存在可疑用户。说明该功能仅限为对应Bucket配置了审计功能后使用。
在
页面,根据风险等级查看异常情况,排查是否存在高风险事件。对敏感数据进行脱敏。
具体操作,请参见数据脱敏。
在OSS控制台,针对存在风险的Bucket或文件,修改读写权限。具体操作,请参见修改存储空间读写权限、设置文件读写权限ACL。
说明您还可以设置服务端加密,在OSS上传文件时,就对该文件进行加密,避免敏感数据泄露。关于如何设置服务端加密,请参见设置服务器端加密。
相关文档
- 本页导读 (1)