數據保護傘是一款數據安全管理產品,為您提供數據發現、數據脫敏、數據水印、訪問控制、風險識別、數據溯源等多種功能,幫助您快速梳理敏感數據并進行安全管控,保障數據安全。本文為您介紹數據保護傘的使用流程、使用限制等內容。
使用流程
數據保護傘為您提供敏感數據規則配置、識別敏感數據、查看識別結果、處理敏感數據等管控流程,幫助您在敏感數據產生的事件前、中、后各階段管控梳理項目中的敏感數據,保障數據安全。具體流程及相關功能介紹如下。
步驟一:事前梳理。
在敏感數據產生前,您可通過數據保護傘對您的資產數據進行分類分級,并配置多種識別規則,識別敏感數據及相關數據風險。具體如下。
細分操作
描述
參考文檔
配置數據分類分級
用于對您的數據按照數據價值、內容敏感程度、影響和分發范圍進行敏感級別劃分,后續可基于分類分級進行數據管控操作。不同敏感級別的數據管控原則和數據開發要求存在差異。
DataWorks提供了內置的分類分級模板,您也可基于業務需要,自定義分類分級名稱。
配置敏感數據識別規則
根據數據的來源、用途,定義敏感字段類型配置敏感數據規則,識別當前工作空間中的敏感數據。命中規則內容,則認為是敏感數據。
支持如下識別方式:
數據內容識別:可通過內置規則、自定義模型、樣本庫、正則表達式識別。
元數據識別:通過字段的名稱、注釋信息識別。支持使用通配符,配置前綴、后綴及包含關系。
組合識別:可使用或、與等關系,配置包含多個條件的識別規則。
其他配置
系統配置:設置登錄的權限模式、數據水印追溯時間、管控的數據范圍、識別結果的告警接收郵件及webHook地址等。
用戶組配置:快速將具有相同數據訪問權限的賬號批量添加至用戶組,后續配置數據脫敏時,統一配置白名單,獲取脫敏前的原始數據。
步驟二:事中防護。
敏感數據規則配置完成并啟用后,DataWorks將自動識別命中規則的敏感數據,您可在數據保護傘相關模塊查看識別結果。
細分操作
描述
參考文檔
訪問控制管理
配置基于IP或者數據庫用戶的直通或者阻斷策略。
-
數據脫敏管理
用于對識別到的敏感數據配置脫敏規則,后續,敏感數據將按照配置規則呈現。不同敏感級別的數據脫敏管控存在差異。
脫敏分類:
動態脫敏:查詢敏感數據時,在查詢頁面展示脫敏后數據。
靜態脫敏:將數據脫敏后存儲到指定的數據庫位置。
脫敏方式:包括保留格式加密、掩蓋、HASH加密、字符替換、區間變換、取整、置空等。
同時,對需返回原始數據的特殊場景,可配置白名單查看明文信息。
您可按需選擇合適的脫敏場景及脫敏方式。
風險識別管理
數據保護傘中內置的風險規則,可直接生效使用;同時,支持自定義風險規則、閾值比較。例如,數據量比較、頻次比較等,風險規則生效后,系統會自動進行檢測,主動發現風險操作并預警。
風險監測處置
查看監測出的風險的操作明細信息,可根據需要支持標記是否無風險、是否已處置等。
步驟三:事后審計溯源。
根據事中的風險監測情況,處理相關敏感數據,進行安全管控,保障數據安全。
細分操作
描述
參考文檔
數據操作審計
數據保護傘會記錄所有涉及敏感數據的行為(包含IP、端口信息、數據庫用戶等)及敏感數據血緣信息,您可通過敏感信息進行相關操作審計。
同時,針對規則識別不準確的敏感數據,可手動修正。
數據水印溯源
若存在數據泄露情況,可通過提取數據泄露文件中水印信息,幫助您定位到可能泄露目標數據的責任人。
使用限制
版本限制
僅支持DataWorks標準版及以上版本使用數據保護傘功能。開通DataWorks,詳情請參見開通DataWorks服務;不同DataWorks版本中數據保護傘功能支持情況,請參見DataWorks各版本詳解。
權限限制
僅阿里云主賬號和擁有以下權限的RAM用戶(即子賬號)可開通數據保護傘:
擁有AdministratorAccess、AliyunDataWorksFullAccess角色權限的RAM用戶,授權詳情請參見為RAM角色授權。
擁有租戶管理員和安全管理員(租戶級)權限的用戶可使用數據保護傘的全部功能。
工作空間級的安全管理員,僅可使用其有權限的工作空間的相關功能。例如,數據血緣功能,修正敏感字段類型時,只能選擇有權限的項目空間。若需要對其他工作空間的相關功能有使用權限,則需授予相關權限,詳情請參見空間級模塊權限管控。
功能使用
目前僅支持使用數據識別和動態脫敏功能對EMR、MaxCompute、CDH、Hologres引擎的敏感數據進行識別和脫敏。
其中,識別EMR引擎敏感數據并進行脫敏的使用限制如下:
敏感數據識別和脫敏目前僅支持部分EMR集群類型和表類型。如下所示:
說明其中表示支持預覽,表示不支持預覽。
EMR集群類型
元數據存儲類型
數據存儲類型:OSS
數據存儲類型:OSS-HDFS
數據存儲類型:HDFS
新版數據湖集群(DataLake)
數據湖構建(DLF)
RDS實例
MySQL
自定義集群(Custom)
數據湖構建(DLF)
RDS實例
MySQL
其他集群
--
說明該功能目前僅支持華東 1(杭州)、華東 2(上海)、華東2(上海)金融云、華北 2(北京)、華南 1(深圳)、華南1(深圳)金融云、西南 1(成都)、華北2(政務云)、中國香港、美國(硅谷)、新加坡、馬來西亞(吉隆坡)、德國(法蘭克福)地域使用。
在EMR集群下使用數據保護傘需升級獨享調度資源組,您可加入DataWorks釘釘群聯系技術支持同學申請升級。
數據保護傘默認使用阿里云主賬號進行數據抽樣,如果您的集群開啟了LDAP認證,使用Ranger或DLF-Auth管理表權限,需您為主賬號配置賬號映射,并保證映射后的賬號有權限訪問EMR集群中表,具體操作方法詳情請參見配置訪問身份的映射關系。
進入數據保護傘
進入數據開發頁面。
登錄DataWorks控制臺,切換至目標地域后,單擊左側導航欄的 ,在下拉框中選擇對應工作空間后單擊進入數據開發。
單擊左上方的圖標,選擇
,單擊立即體驗,進入數據保護傘。說明若阿里云主賬號已授權,則直接進入數據保護傘的首頁。
若阿里云主賬號未授權,則進入數據保護傘的授權頁面。授權后才可使用保護傘的相關功能。