基于MaxCompute的大数据安全方案

漠凡
  • 收获赞:4
  • 擅长领域:大数据产品专家,具有15年+产品设计研发工作经验,最近5年主功大数据平台产品设计,熟悉开源大数据平台体系,加入阿里后负责MaxCompute云数据仓库的产品迭代与设计。熟悉银行金融业务场景,从0到1搭建过银行大数据平台经历。

随着法律的完善,数据安全,信息安全,网络安全,升级成国家安全,所以数据安全不管对用户,还是对公司也都会变的越来越重要。做为大数据云数仓解决方案的领导者,阿里云MaxCompute在安全体系上也做了很多特性,本文给大家简单介绍下MaxCompute关于数据安全的一些能力。

安全体系介绍

安全体系不是一个系统,是一系列的系统联合才能做到大数据平台的数据安全要求,主要包括:

  1. 事前准备,包括数据打标,白/黑名单,权限分配,加密算法和脱敏算法准备。

  2. 事中处理,包括数据加密/解密,白名单过滤,数据扫描,数据实时告警。

  3. 事后审计,包括数据使用日志审计,数据离线报表监控等。

  4. 安全体系架构

数据安全体系不仅需要各个系统配合使用,同时也需要不同部门进行流程化管理,让数据能在合理授权下使用:

  • 其中就会涉及到数据合规部门,对数据进行打标,对数据规则进行配置,权限设置以及白名单管理等工作;

  • 大数据平台要按照合规人员设置的规则自动化对数据进行加密或者脱敏,然后提供给数据使用者使用;

  • 数据安全人员同时要对每个敏感数据的使用都需要有实时的数据监控,以及数据事后的定时审计。

image.png

本文主要介绍阿里大数据平台的数据存储加密和数据脱敏两块,目前阿里大数据平台MaxCompute联合KMS平台在对数据上云时可以对数据进行加密存储,支持AES256、AESCTR和RC4算法,在客户使用时自动解密,做到客户无感知的数据保护。

同时MaxCompute联合DataWorks和数据安全保护伞做到敏感数据脱敏使用,用户可以在数据保护伞里对数据进行打标配置,风险规则定义,脱敏规则配置以及白名单设计等操作,MaxCompute会自动对已经打标的数据,按照脱敏规则对指定的敏感数据进行脱敏显示。

适用场景

场景一:客户个人信息保护

个人信息保护场景,随着相关法律的出台,很多游戏公司都要需要录入个人身份证号等敏感信息,如果客户的个人信息泄露是很严重的数据安全事故,所以类似身份证号等个人信息的保护就变的非常重要,这些信息只有客户自己可以使用,或者客户授权的情况下才可以使用,但是在企业运营时,需要对这些信息进行加工,匹配等,所以在所有加工过程中都需要加密或者脱敏操作。

场景二:企业内部信息保护

大部分公司内部有财务,个人薪资等很多敏感数据,但是公司正常运营,需要这些数据在大数据平台进行加工计算,最后输出报表,在中间加工过程中,包括数据研发人员,测试人员,产品经理等,都不能触碰明文数据,需要对数据进行脱敏操作。

适合客群

本文适合企业已经使用了MaxCompute产品的数据管理人员,数据治理人员,数据研发人员以及数据安全合规人员等。

数据加密

MaxCompute支持通过密钥管理服务KMS(Key Management Service)对数据进行加密存储,提供数据静态保护能力,满足企业监管和安全合规需求。

前提条件

  • 阿里云服务账号;

  • 已经开启KMS密钥管理服务。

操作步骤

  1. 进入密钥管理服务开通页,选中密钥管理服务服务协议,单击立即开通,开通KMS服务。

  2. 登录DataWorks控制台,在左侧导航栏,单击工作空间列表。

  3. 在工作空间列表页面上方选择区域后,单击创建工作空间。在创建工作空间面板,配置基本配置信息,单击下一步,详情请参见创建项目空间。

  4. 在创建工作空间面板的选择计算引擎服务区域,选中MaxCompute。

  5. 在请进行ODPS服务账号授权对话框,单击授权。

  6. 在新打开的云资源访问授权页面,单击同意授权。

  7. 返回请进行ODPS服务账号授权对话框。关闭请进行ODPS服务账号授权对话框,在创建工作空间面板的选择计算引擎服务区域,重新选中MaxCompute,单击下一步。

  8. 在创建工作空间面板,配置引擎详情信息。选中加密,开启数据加密功能。以创建简单模式的工作空间为例。

  9. 单击创建工作空间,完成创建。开启数据加密功能后,MaxCompute会自动完成项目数据读写过程中的加密或解密操作。

数据脱敏

数据保护伞是一款数据安全管理产品,为您提供数据发现、数据脱敏、数据水印、访问控制、风险识别、数据审计、数据溯源等功能。接下去为您介绍如何开通、使用数据保护伞。

前提条件

  • 阿里云服务账号;

  • 已经开启DataWorks空间。

操作步骤

  1. 登录DataWorks控制台,进入设置,启用页面查询内容脱敏:

image.png
  1. 单击左上方的图标,选择全部产品 > 数据治理 > 数据保护伞。

image.png
  1. 数据分级分类设置,系统会字段1000+数据分类,在没有特殊要求的情况下,大部分情况下可以用默认分类,同时也支持自定义客户自己的分级分类。

  2. 数据识别类型,系统已经自带很多1000+识别类型,没有特殊要求,可以使用自带识别自动生成数据识别模型,同时也支持通过您提供的样本字段,进行模型训练,帮助您寻找目标字段的内容特征,生成相应的规则模型。

  3. 数据脱敏规则定义,用户可以给指定的数据字段类型进行定义脱敏规则,目前支持脱敏方式有假名,Hash,掩盖三种。

image.png
  1. 数据查询会进行自动掩盖:

image.png

白名单

目前数据保护伞对于数据脱敏部分,支持给用户添加白名单,如果在白名单里的客户,可以无视脱敏规则,可以查到明文数据。

image.png

数据发现

目前数据保护伞对于数据脱敏部分,支持系统自动扫描数据,并把风险统计数据显示出来。

image.png

数据风险识别

目前数据保护伞对于数据脱敏部分,支持用户自定义风险行为,并对风险进行统一查询显示。

image.png

数据审计

目前数据保护伞对于数据脱敏部分,用户可以查询数据风险处理情况,对数据安全处理进行审计。

image.png

总结

本文只是对大数据平台的安全性做了简单的梳理,很多细节因为篇幅没有细讲,有兴趣的同学可以参考官方文档。

目前阿里大数据平台已经对数据的存储加密,以及数据脱敏显示上做了比较多的能力,但是在数据还不能做到列级,行级甚至单元格级别的加密;在数据识别扫描上也不支持手动根据自己的规则进行扫描;在数据全渠道接入脱敏也没有覆盖所有Region;在数据安全使用上,数据监控以及数据审计上做的也不是很完善等等问题,后续在安全上加入更多能力,让用户可以安心,放心,省心的在阿里云大数据平台上使用数据。

常见问题

  • MaxCompute数据存储加密后,是否可以被hologres外表访问?

答:是可以的,但是在存储加密时需要选用自带密钥的加密方式。

  • MaxCompute数据存储加密后,需要用户手工解密吗?

答:不需要,系统会在查出来时自动解密。

  • 在数据保护伞中已经配置了数据分类,脱敏规则,为什么脱敏还不生效?

答:先要在DataWorks的设置中开启页面查询内容脱敏。