本文介绍如何将阿里云对象存储OSS与阿里云敏感数据保护SDDP(Sensitive Data Discovery & Protection)结合,对敏感数据进行识别、分类、分级和保护。

前提条件

背景信息

敏感数据主要包括个人隐私信息、密码/密钥、敏感图片等高价值数据,这些数据通常会以不同的格式存储在您的各类存储系统中。如何更好地发现、定位、保护这些数据,对您的企业非常重要。OSS本身提供了细粒度的权限管理数据加密等数据安全选项,同城冗余存储跨区域复制版本控制等数据保护机制,访问日志存储实时日志查询等记录监控与审计能力。若您希望更好的针对敏感数据进行识别、分类、分级和保护,可使用OSS+SDDP的方案。

SDDP与OSS结合使用,在您完成数据源识别授权后,从您的海量数据中快速发现和定位敏感数据,对敏感数据分类分级并统一展示,同时追踪敏感数据的使用情况,并根据预先定义的安全策略,对数据进行保护和审计,以便您随时了解数据资产的安全状态。更多详情请参见什么是敏感数据保护(SDDP)
说明 当您完成OSS资产授权后,在OSS数据初次接入扫描时,SDDP会对已授权的数据源执行全量扫描并收取全量扫描费用。初次扫描任务完成后,SDDP仅对该数据源中新增或修改的文件收取扫描费用,因此计费会大幅降低。详细的计费方式请参见按量计费包年包月计费

应用场景

OSS与SDDP结合的常见场景如下:SDDP
  • 敏感数据识别

    企业拥有大量数据,但无法准确获知这些数据中是否包含敏感信息,以及敏感数据所在的位置。您可以使用OSS结合SDDP的方案,利用SDDP内置算法规则或根据行业特点自定义规则,对存储在OSS中的数据进行整体扫描、分类、分级,并根据结果做进一步的安全防护。例如利用OSS的访问控制和加密等功能,对数据进行保护。

  • 数据脱敏

    数据进行对外交换供他人分析或使用时,未进行脱敏处理会导致敏感信息的意外泄漏。OSS与SDDP结合的方案,可以支持灵活多样的内置或自定义脱敏算法,可实现生产类敏感数据脱敏后,供开发、测试等非生产环境使用的场景,并确保脱敏后的数据保真可用。

  • 异常检测和审计

    SDDP可通过智能化的检测模型,对访问OSS中敏感数据的行为进行检测和审计。为数据安全管理团队提供相关告警,并基于检测结果完善风险预判和规避方案。

方案优势

  • 可视化
    • 提供敏感数据识别结果可视化能力,让企业数据安全状态一目了然。
    • 数据访问监控和异常审计可追溯,降低企业数据安全风险。
    • 提升整体企业数据资产安全透明度,强化企业数据管理能力。
    • 降低数据安全运维成本,为制定企业数据安全策略提供强有力的数据支撑。
  • 智能化
    • 运用大数据和机器学习能力,通过智能化算法,对敏感数据和高风险活动(例如数据异常访问和潜在的泄漏风险)进行有效识别和监控,并提供修复建议。
    • 提供定制化的敏感数据识别能力,便于客户自定义识别标准,实现精准识别和高效防护。
    • 将复杂的数据格式和内容汇总至统一的数据风险模型,并以标准化的方式呈现,实现企业关键数据资产的防御。
  • 云原生
    • 生于云,长于云,充分利用云上服务优势,并支持云上多类型数据源。
    • 相较于传统软件化部署方式,OSS+SDDP方案服务架构更为健壮、可用性更高、成本也更低,同时系统自身安全性也更好。

操作步骤

  1. 登录敏感数据保护控制台
  2. 在左侧导航栏单击安全配置 > 授权配置
  3. 授权配置页面单击添加资产授权添加资产授权
  4. 添加资产授权页面,您可以选择以下方式为资产添加OSS存储空间访问授权OSS存储空间访问授权
    • 单击一键批量授权为列表中所有的OSS文件桶开启授权。
    • 勾选需要授权的OSS文件桶,单击列表左下方批量授权,为一个或多个OSS文件桶开启/关闭授权。
    • 定位到某个需要变更授权的OSS文件桶处,单击其所在行开启授权按钮,可开启/关闭该OSS文件桶的访问授权。
    添加资产授权页面,您还可以为OSS文件桶进行以下设置。
    • 批量审计
      如果需要为您的OSS存储空间设置审计功能,您可以勾选需要设置审计功能的OSS文件桶,单击列表左下方批量审计,为一个或多个OSS文件桶开启/关闭审计功能。批量审计
    • 批量设置日志存储时间
      勾选需要授权的OSS文件桶,单击列表左下方批量设置日志存储时间,为一个或多个OSS文件桶设置日志存储时间。可选的日志存储时间为30/90/180/365天。日志存储时间
  5. 单击完成授权
    添加到已授权的文件桶列表中后,SDDP将会对列表中的文件执行敏感数据检测。
    说明
    • SDDP仅对已授权的Bucket进行数据扫描和风险分析。
    • 库列表中的数据可编辑或删除。可通过编辑重新管理OSS文件桶访问授权。删除数据后,SDDP不会检测该项目数据。
    • 成功完成授权后,SDDP会在2小时内启动扫描。扫描时长将由您所需扫描的数据量决定。当存在大量数据表时(例如表数量超过10000张)或OSS文件总量特别大(例如OSS总量超过1PB)时,扫描周期会相应延长。
    • 在SDDP扫描数据的过程中,已经完成扫描的阶段性结果,会在SDDP控制台概览页面展现。详情请参见控制台总览
    • 您可以在SDDP控制台单击敏感数据识别 > OSS,查看OSS敏感数据扫描结果,详情请参见OSS敏感数据统计与查询
  6. 添加安全策略。
    • 扫描完成后,您可以根据敏感数据扫描结果进行相应的安全加固措施。例如配置数据加密、添加访问权限等。
    • 您也可以根据需要,在SDDP控制台开启OSS安全审计功能,实现对OSS中存储的敏感文件的异常行为检测和智能安全审计。详情请参见审计规则异常事件规则