开通数据安全中心DSC(Data Security Center)后,须先在资产中心完成资产接入,并启用相关功能。仅当资产成功接入后,才能使用 DSC 提供的风险识别、分类分级、数据审计等核心安全能力。
新版资产中心 | 旧版资产中心 |
|
|
为资产开启功能
步骤一:接入资产
登录数据安全中心控制台。
在左侧导航栏,选择资产中心。
根据需要接入的资产类型,单击左侧资产列表中的对应项。
通用资产
DSC支持自动同步大多数数据资产类型,若未找到目标资产,请手动单击“资产同步”,随后刷新页面。
说明自动同步:您已完成服务关联角色授权,系统已创建服务关联角色 AliyunServiceRoleForSDDP,并为其附加了授权策略 AliyunServiceRolePolicyForSDDP。DSC将在每日零点通过该角色自动调用 OpenAPI,扫描并同步同一账号下的云上资产。
手动同步:可手动单击“资产同步”按钮,立即执行资产同步操作。
资产同步完成后,DSC 会在资产实例中添加名为
ali_sddp_group的白名单分组,用于授权 DSC 访问该资产下的数据库信息。该白名单包含 DSC 服务端的 IP 地址,具体地址因地域而异。自建数据库
DSC 支持接入 ECS 实例或云外资产中自建的数据库。
登录数据库,执行以下命令以创建用户并授予 DSC 访问该数据库的权限。请将命令中“允许的网段”替换为实例所在地域对应的IP段。以下示例适用于 MySQL 8.0;若使用其他数据库类型,需相应调整语法。
CREATE USER '<用户名>'@'<允许的网段>' IDENTIFIED BY '<密码>'; GRANT SELECT ON <数据库名>.* TO '<用户名>'@'<允许的网段>';前往DSC资产中心控制台,若已开通云安全中心企业版或旗舰版,可直接单击同步资产完成资产同步;否则,需单击新增自建资产并完成以下配置。
配置项
说明
数据库类型
从支持的数据库类型中进行选择。
服务器类型
支持接入ECS资产和云外资产。
地域与实例ID(ECS资产)
选择目标ECS实例的地域与实例ID。若找不到目标ECS实例,请单击ECS资产同步进行资产同步。
地域与实例名称(云外资产)
选择已与云外网络打通的云上VPC所在地域,并填写一个便于识别的实例名称。
IP/域名与端口
填写资产的IP地址与数据库端口,支持添加多个。
ADB-PG
AnalyticDB PostgreSQL版不支持同步资产,需要手动单击添加资产,并完成如下配置。
配置项
说明
所在区域
选择实例所在的地域。
实例名称
通过实例名称选择该地域内的实例。
数据库名称
配置需接入DSC的数据库名称。
用户名
配置连接数据库的账号,并配置账号权限,请根据账号在数据库中实际具备的访问权限设置读写或只读权限。
密码
配置连接数据库的密码。
步骤二:功能开启
资产支持开启的功能
下表列出了支持接入DSC的资产类型及其对应支持开启的功能。此外,部分地域的资产存在功能限制,完整的限制信息,请参见支持的地域。
功能 | 配置风险 | 分类分级 | 数据审计 | 检测响应 | 列加密 | 图片脱敏 | 一键开启/自动创建数据库账号 |
RDS | 仅支持MySQL、SQL Server非只读实例与MariaDB非只读实例 | ||||||
PolarDB | 仅支持MySQL | ||||||
PolarDB-X | |||||||
PolarDB-X 2.0 | |||||||
Redis | |||||||
MongoDB | |||||||
OceanBase | |||||||
自建数据库 | 仅支持ECS资产 | ||||||
OSS | |||||||
SLS | |||||||
TableStore | |||||||
MaxCompute | |||||||
ADB-MYSQL | |||||||
ADB-PG |
配置风险
功能介绍:动态检测数据资产配置,识别阿里云上数据库、存储及大数据资产在权限管理、访问控制、加密传输和容灾备份等方面的配置风险,并持续监控其配置安全性。
如何开启:定位到目标资产,单击其配置风险列的
开启功能。启用后,可前往页面进行后续操作。具体信息,请参见安全基线检查。
数据审计
功能介绍:高效审计数据库、OSS 等多种数据源的日志,通过内置900+高危操作规则,识别异常行为、数据泄露与SQL注入等风险。支持自定义规则、多维度日志筛选及实时告警功能。
如何开启:定位到目标资产,单击其数据审计列的
开启功能。对于自建数据库,还需要配置网络并安装Agent,具体操作,请参见安装Agent。启用后,可前往页面进行后续操作。具体信息,请参见云原生数据审计。
检测响应
功能介绍:专注于数据泄露风险防控,可自动识别OSS文件中是否包含用户的AK、数据库连接信息等敏感内容。该服务还能检测已泄露或异常AK对文件的访问行为,以及使用泄露数据库账号进行的异常登录活动。
如何开启:定位到目标资产,单击其检测响应列的
开启功能。启用后,可前往页面进行后续操作。具体信息,请参见数据检测响应。
分类分级
功能介绍:DSC为金融、能源、汽车等行业提供敏感数据识别模板,用于识别资产中的敏感信息,并支持对其位置、类型和敏感级别进行分类分级管理。
如何开启:定位到目标资产,单击其分类分级列的
开启功能,并在开启分类分级对话框,完成以下配置。通用资产
配置项
说明
开启方式
DSC提供以下三种方式用于连接数据资产以执行数据检测任务,不同资产类型所支持的连接方式存在差异。
自动创建数据库账号:DSC在目标数据资产中自动创建一个以
sddp_auto开头的只读账号,并通过该账号连接数据库执行数据识别任务。说明如您后续不再使用 DSC,系统将在 DSC 实例到期 15 天后自动清理该只读账号。
手动输入账号密码:手动配置用于连接目标数据库的账号和密码。
服务关联角色访问:DSC通过其服务关联角色访问目标数据资产。
授权范围
选择进行数据检测的范围,部分资产类型仅支持选择整个数据源。
整个数据源。
在数据源列表管理授权范围:选择授权范围。
自动创建系统默认任务开始扫描
选中此项后,DSC会立即创建默认扫描任务。
后续可以在页签中,单击系统默认任务,查看或配置系统默认扫描任务。具体操作,请参见通过识别任务扫描敏感数据。
实例下新增数据库,自动连接(仅部分数据库资产支持)
启用此选项后,DSC在执行手动或自动资产同步时,若检测到数据库实例中存在新增数据库,将自动建立连接。
自建数据库
配置数据库名称、数据库账号、数据库密码与数据库端口,最多可添加20个数据库。
查看DSC连接状态:开启分类分级功能后,可以单击开关按钮右侧的数字查看连接状态。初始的连接状态为连通性测试中,在此状态下,DSC 每 30 秒执行一次连通性检测:
对于数据库资产,验证配置的数据库账号和密码是否可正常登录;
对于 OSS 资产,验证指定的 Bucket 是否存在。
若检测成功(即数据库可正常登录或 OSS Bucket 存在),连接状态更新为已连接;若单次检测失败,则记录一次失败。若连续 10 次检测均失败,连接状态将更新为连接失败。
后续操作:可前往页面,查看已识别的敏感信息,或前往页面,配置敏感信息识别模板。更多信息,请参见敏感数据分类分级。
列加密
功能介绍:对数据库中的特定列进行加密,防止非授权人员通过云平台软件或数据库连接工具直接获取敏感数据明文,从而有效抵御内外部安全威胁。
如何开启:定位到目标资产,单击其列加密列的
开启功能,并在加密配置对话框,完成以下配置。重要配置前提:执行列加密配置前,须启用数据分类分级功能,并完成数据扫描与识别。
详细配置:本节仅说明在资产中心进行列加密配置时需填写的参数,适用于快速部署场景。关于加密原理及完整配置说明,请参见列加密。
配置项
说明
资产类型与实例名称
DSC 已默认定位至目标资产,无需手动调整。
加密算法
选择加密算法。
加密方式
支持使用本地密钥或通过 KMS 密钥(适用于 RDS MySQL)进行加密。
明文权限账号
配置允许访问数据明文的账号;未配置的账号在直接访问数据时,将返回密文。
重要若您在开启分类分级功能时,通过手动输入账号密码方式使DSC连接数据资产,请将该数据库账号设置为明文权限账号,以确保其具备读取数据库数据的权限,从而对数据库中的最新数据执行分类分级。
配置加密列
选择需加密的数据列。
后续操作:前往页面,查看敏感列加密概览,进行账号权限调整等操作。
图片脱敏
功能介绍:创建图片脱敏任务,扫描目标Bucket中包含敏感信息(例如身份证号、车牌号和人脸)的图片,通过灰色矩形条遮盖的脱敏方式对图片中敏感信息进行脱敏。
如何开启:定位到目标资产,单击其图片脱敏列的
开启功能,并在开启图片脱敏对话框,完成以下配置。说明如需在图片脱敏前识别并分类其中的敏感信息,须为该 Bucket 开启分类分级开关。
配置项
说明
任务名称
输入脱敏任务名称。
脱敏范围配置
配置需要脱敏的图片范围。DSC会全量扫描已选择Bucket中的图片:
如需脱敏Bucket中的所有符合条件图片,则无需配置此参数。
如需脱敏Bucket中的指定图片,请配置此参数,并继续配置按前缀匹配或按后缀匹配,选择Bucket下文件路径匹配方式。
例如,Bucket中包含满足脱敏条件的图片有
example/dir01/test01.png、example/dir02/test02.jpg、testexample/testdir/testim.jpg和test.jpg。匹配前缀:输入前缀
example,仅对命中的example/dir01/test01.png和example/dir02/test02.jpg进行脱敏。匹配后缀:输入后缀
jpg,仅对命中的test.jpg、testexample/testdir/testim.jpg和example/dir02/test02.jpg进行脱敏。
启动时间
立即执行:立即执行图片扫描和脱敏。
周期执行:配置周期执行时间,DSC将按配置的周期,在凌晨的00:00:00,对Bucket中的增量图片进行脱敏。如需立即执行,可以选中立即执行一次。
图片类型
从支持脱敏的信息项目中选择,支持多选。
脱敏方式
目前仅支持遮盖。
后续操作:前往页面,查看脱敏任务详情。更多信息,请参见OSS图片脱敏。
一键开启
当需要为大量资产开启功能时,可使用一键开启功能进行批量操作,以提升配置效率。
该功能仅支持开启配置风险、分类分级、数据审计和检测响应,其余功能须手动进行开启。
如何开启:定位到目标资产,单击其操作列的一键开启,完成如下配置。
配置项 | 说明 |
功能选择 | 一键开启的功能。 |
立即扫描数据资产并进行数据识别 | 选中此项后,DSC会立即创建默认扫描任务。 后续可以在页签中,单击系统默认任务,查看或配置系统默认扫描任务。具体操作,请参见通过识别任务扫描敏感数据。 |
实例下新增数据库,自动连接(仅部分数据库资产支持) | 启用此选项后,DSC在执行手动或自动资产同步时,若检测到数据库实例中存在新增数据库,将自动建立连接。 |
日常运维
查看资产概览
在资产中心页面右上方,可查看已开启功能的实例数量及存储容量使用情况。
在左侧资产列表中,单击目标资产类型,页面上方将显示该类型资产的总数及功能开启状态。单击“未开启功能”下方的数字,可按此条件筛选资产。
编辑已开启的功能
分类分级:开启分类分级功能后,部分资产支持在开关按钮右侧查看其DSC授权及连接状态。
单击开关按钮右侧的数字,可在弹出面板中对目标数据库(或 SLS LogStore)执行以下操作:
给予DSC授权:勾选目标库或LogStore后,单击批量开启。若在开启分类分级功能时,未选择自动创建数据库账号,需在弹出的对话框输入数据库账号与密码,再单击确定。
取消DSC授权:勾选目标库或LogStore后,单击批量关闭,并在弹出的对话框中单击确定。
添加数据库(仅限MongoDB):单击添加数据库。在弹出的对话框中输入数据库名称、数据库账号和数据库密码,然后单击确定。
修改识别节点(仅限MongoDB):DSC默认识别从节点,如需更改,请单击识别节点列的
,在编辑识别节点对话框中修改,并单击确定。节点配置变更将在下一次识别任务中生效。
列加密:开启列加密功能后,可以在开关按钮右侧查看该数据库实例的已加密列情况。
单击开关按钮右侧的数字,可在弹出面板中,对加密算法、账号权限等内容进行修改。具体信息,请参见配置数据库的列加密。
,在编辑识别节点对话框中修改,并单击确定。节点配置变更将在下一次识别任务中生效。
DSC访问数据库使用的IP段
地域 | IP段 |
华北1(青岛) |
|
华北 2(北京) |
|
华北 3(张家口) |
|
华北 5(呼和浩特) |
|
华东 1(杭州) |
|
华东 2(上海) |
|
华南 1(深圳) |
|
中国香港 |
|
阿里政务云 |
|
华东2 金融云 |
|
华东1 金融云 |
|
西南1(成都) |
|