すべてのプロダクト
Search

このプロダクト

    DataWorks:プラットフォームセキュリティ診断

    ドキュメントセンター

    DataWorks:プラットフォームセキュリティ診断

    最終更新日:Jan 11, 2025

    DataWorks のプラットフォームセキュリティ診断機能は、現在の DataWorks ワークスペースと、ワークスペースに追加されたデータソース (データ転送、ストレージ、コンピューティングなど) との間のやり取り中に、ID 認証、権限管理、開発モードなどの機能のセキュリティ機能を提供します。さらに、セキュリティ診断のベストプラクティスも提供されます。プラットフォームセキュリティ診断機能は、プラットフォームのセキュリティリスクを早期に特定し、関連するトランザクションを実行する前に基本的なセキュリティシステムを構築するのに役立ちます。

    背景情報

    プラットフォームセキュリティ診断ページには、セキュリティ診断のベストプラクティスに基づいて、現在のワークスペースとワークスペースに追加されたデータソースとの間のビジネスインタラクション中に検出されたセキュリティリスクが表示されます。診断に基づいてリスクのカテゴリとレベルを識別し、リスクの詳細を表示し、最適化する項目を処理して、安全で信頼性の高いビジネスインタラクションを確保できます。診断項目は、次のカテゴリに分類されます。

    • データコンピューティングとストレージ

      このカテゴリに属する診断項目は、データ権限管理、データストレージ暗号化、データストレージバックアップなどの機能のセキュリティ問題をチェックし、潜在的なリスクを早期に特定するために使用されます。これにより、データストレージとデータアクセスのセキュリティが確保されます。

    • データ転送セキュリティ診断

      このカテゴリに属する診断項目は、データソースの権限管理や本番環境と開発環境でのデータソースの分離などの機能のセキュリティ問題をチェックし、データ転送中の潜在的なリスクを特定して、これらのリスクを早期に管理できるようにするために使用されます。これにより、安全で信頼性の高いデータ転送環境が確保されます。

    • データ生成の標準化診断

      このカテゴリに属する診断項目は、現在のワークスペース内のロール、管理者の数、デプロイエンジニアが適切に割り当てられているかどうかなど、生成プロセスに関連するセキュリティ問題をチェックするために使用されます。これらの診断項目を使用すると、セキュリティリスクを早期に特定して処理できます。これにより、データ出力システムの信頼性とセキュリティが向上します。

    • プラットフォームセキュリティ構成診断

      このカテゴリに属する診断項目は、DataWorks 操作の監査など、機能のセキュリティ問題をチェックして、全体的なデータセキュリティを向上させるために使用されます。

    最適化する診断項目は、低リスク、中リスク、高リスクの項目に分類されます。安全で信頼性の高いビジネスインタラクションを確保するために、最適化する各項目について診断結果と提案が提供されます。さまざまな側面からのすべての診断項目の診断ルールの詳細については、このトピックの付録:診断項目の詳細セクションを参照してください。平台安全中心

    プラットフォームセキュリティ診断ページに移動する

    1. DataWorks コンソールにログオンします。上部のナビゲーションバーで、目的のリージョンを選択します。左側のナビゲーションペインで、[データ開発とガバナンス] > [セキュリティセンター] を選択します。表示されるページで、[セキュリティセンターに移動] をクリックします。

    2. 左側のナビゲーションペインで、[プラットフォームセキュリティ診断] をクリックします。[プラットフォームセキュリティ診断] ページが表示されます。

      デフォルトでは、プラットフォームセキュリティ診断機能は、現在のリージョンで最適化する診断項目を表示し、項目を定量化し、項目に低、中、高のラベルを付けます。平台诊断

    診断結果を表示する

    [プラットフォームセキュリティ診断] ページでは、最適化する診断項目がカテゴリ別に定量化されます。各カテゴリの中リスク項目と高リスク項目を表示できます。また、中リスク項目または高リスク項目をクリックして、リスクの詳細を表示し、提供されている提案に基づいて項目を最適化することもできます。次の図は、[データ転送セキュリティ診断] カテゴリで最適化する診断項目を表示する方法を示しています。待治理项

    診断結果と提案を表示します。数据源访问控制

    • セキュリティリスク

      データソースの権限が管理されていません。その結果、セキュリティレベルの低いユーザーがセキュリティレベルの高いデータにアクセスできます。これにより、データソースへのアクセスが安全でなくなります。

    • 提案

      提供されている提案に基づいてデータソースの権限を管理することにより、データソースへのアクセスセキュリティを向上させることができます。

    付録:診断項目の詳細

    次の表に、プラットフォームセキュリティ診断機能でサポートされている診断項目を示します。

    説明

    ページに表示される診断項目は、ワークスペースに追加されたデータソースと、最適化する既存の診断項目によって異なります。

    • データコンピューティングとストレージ

      このカテゴリの診断項目は、データの保存とアクセス中のセキュリティを向上させます。

      診断ディメンション

      診断項目

      診断オブジェクト

      診断方法

      MaxCompute 詳細データ権限管理

      MaxCompute 列レベル権限管理

      説明

      MaxCompute V2.0 のセキュリティモデルは、よりきめ細かいデータ権限管理機能、より科学的な分散プロジェクト管理メカニズム、より強力なエンドツーエンドの識別機能を提供します。セキュリティモデルを使用すると、実際のシナリオにより適したセキュリティ構成を実装できます。

      MaxCompute プロジェクト

      列レベルの権限管理は、MaxCompute V2.0 権限モデルに依存しています。この診断項目は、MaxCompute V2.0 権限モデルが無効になっている MaxCompute プロジェクトを検出します。

      データダウンロード制御

      説明

      予期しないデータ漏洩を防ぐため、MaxCompute Tunnel を使用して、無関係のユーザーがオンプレミスマシンにデータを直接ダウンロードすることを厳しく制限することをお勧めします。

      MaxCompute プロジェクト

      ダウンロード権限管理は、MaxCompute V2.0 権限モデルとダウンロード権限に依存しています。この診断項目は、MaxCompute V2.0 権限モデルが無効になっている MaxCompute プロジェクトを検出します。さらに、この診断項目は、MaxCompute V2.0 権限モデルが有効になっていて、ダウンロード権限管理が無効になっている MaxCompute プロジェクトを検出します。ダウンロード権限管理を有効にするかどうか、および有効にする方法については、ダウンロード制御を参照してください。

      データ保護モード

      説明

      MaxCompute プロジェクトのデータ保護メカニズムにより、データの流出方法を管理できます。

      MaxCompute プロジェクト

      この診断項目は、特定またはすべての MaxCompute プロジェクトの保護モードを指定しているかどうかを確認します。MaxCompute のプロジェクトデータ保護機能の詳細については、プロジェクトデータ保護を参照してください。

      MaxCompute ストレージセキュリティの強化

      データストレージ暗号化

      説明

      MaxCompute は、Key Management Service ( KMS ) に基づくデータストレージ暗号化をサポートし、規制とセキュリティコンプライアンスの要件を満たすために企業に静的データ保護を提供します。詳細については、ストレージ暗号化を参照してください。

      MaxCompute プロジェクト

      この診断項目は、データストレージ暗号化が無効になっている MaxCompute プロジェクトを検出して一覧表示します。既存の MaxCompute プロジェクトのデータストレージ暗号化を有効にするには、チケットを送信します。

      データストレージバックアップ

      説明

      システムは MaxCompute データの履歴バージョンを自動的にバックアップし、一定期間保持します。保持期間中、誤操作によるデータ損失を防ぐために、データを迅速に復元できます。詳細については、バックアップと復元を参照してください。

      MaxCompute プロジェクト

      デフォルトでは、この機能は MaxCompute プロジェクトで有効になっています。実際の状況に基づいて、保持期間を調整したり、データを復元したりできます。詳細については、バックアップと復元を参照してください。

      EMR 詳細データ権限管理

      E-MapReduce ( EMR ) セキュアアクセスモード

      説明

      EMR クラスタがセキュリティモードを使用して DataWorks ワークスペースに登録されている場合、データ権限は Alibaba Cloud アカウントと RAM ユーザー間で分離されます。セキュリティモードの詳細については、セキュリティモードを参照してください。

      DataWorks ワークスペース

      この診断項目は、セキュリティモード以外のモードを使用して EMR クラスタが登録されているワークスペースを検出します。

    • データ転送セキュリティ診断

      このカテゴリの診断項目は、データ転送前のセキュリティを向上させます。

      診断ディメンション

      診断項目

      診断オブジェクト

      診断方法

      データソース保護

      データソースアクセス制御

      説明

      DataWorks では、構成済みのデータソースへのアクセス権限を管理して、セキュリティレベルの低いユーザーがセキュリティレベルの高いデータにアクセスするのを防ぐことができます。

      DataWorks ワークスペースデータソース

      この診断項目は、構成済みのデータソースへのアクセス権限が管理されていないワークスペースを検出します。データソースへのアクセス権限の管理方法の詳細については、データソースの権限を管理するを参照してください。

      本番環境と開発環境のデータソースの分離

      説明

      標準モードのワークスペースでは、データソースの構成は、データソースが本番環境で使用されるか開発環境で使用されるかによって異なります。これにより、開発環境からのデータ漏洩を防ぎます。データソースを評価および変更できます。詳細については、開発環境と本番環境でデータソースを分離するを参照してください。

      DataWorks ワークスペースデータソース

      この診断項目は、データソースの本番環境と開発環境の構成が同じである標準モードのワークスペースを検出します。

      データソースアクセスモード

      説明

      DataWorks は、ロールベースの Object Storage Service ( OSS ) データソースへのアクセスをサポートしています。このモードは、従来の AccessKey モードよりも安全であり、AccessKey ペアの漏洩を効果的に防ぐことができます。

      DataWorks ワークスペースデータソース

      この診断項目は、OSS データソースに AccessKey モードでアクセスできるワークスペースを検出します。データソースを変更できます。詳細については、RAM ロールベースの承認モードを使用してデータソースを追加するを参照してください。

    • データ生成の標準化診断

      このカテゴリの診断項目は、データ出力システムの安定性とセキュリティを向上させます。

      診断ディメンション

      診断項目

      診断オブジェクト

      診断方法

      適切なワークスペース計画

      データ生成に標準モードのワークスペースを使用する

      説明

      標準モードのワークスペースは、ベーシックモードのワークスペースよりも安全です。詳細については、ベーシックモードのワークスペースと標準モードのワークスペースの違いを参照してください。

      DataWorks ワークスペースモード

      この診断項目は、現在のリージョンでベーシックモードのワークスペースを検出します。実際の状況に基づいて、ワークスペースをベーシックモードから標準モードにアップグレードできます。この操作を実行する場合は注意してください。詳細については、シナリオ:ワークスペースをベーシックモードから標準モードにアップグレードするを参照してください。

      本番環境のコンピューティングエンジンを開発環境のコンピューティングエンジンから分離する

      説明

      標準モードのワークスペースでは、コンピューティングエンジンの構成は、コンピューティングエンジンが本番環境で使用されるか開発環境で使用されるかによって異なります。これにより、開発環境からのデータ漏洩を防ぎます。

      DataWorks ワークスペースデータソース

      この診断項目は、追加されたデータソースの開発環境と本番環境の構成が現在のリージョンで同じであるワークスペースを検出します。

      ワークスペース管理者の数を適切に指定する

      説明

      単一のワークスペースでは、管理者の数が多すぎると、管理が混乱する可能性があります。ワークスペースごとに 3 人以下の管理者を指定することをお勧めします。

      DataWorks ワークスペースメンバー管理

      この診断項目は、3 人を超えるワークスペース管理者が指定されているワークスペースを検出します。

      ワークスペースメンバーロールの適切な割り当て

      説明

      単一のワークスペースでは、1 人のメンバーが複数のロールを担うことによって引き起こされる不正操作を防ぐために、各メンバーが専用のロールを担うことをお勧めします。

      DataWorks ワークスペースメンバー管理

      この診断項目は、1 人のメンバーが現在のリージョンで複数のロールを担っているワークスペースを検出します。各ロールの目的を理解した上で、ロールを構成することをお勧めします。詳細については、組み込みのワークスペースレベルのロールの権限を参照してください。

      スケジューリングアクセスID としても使用される RAM ユーザーの頻繁なログオンを回避する

      説明

      無関係のユーザーが主要なコンピューティングエンジンのデータを表示するのを防ぐため、コンピューティングエンジンのスケジューリングアクセスID として使用される RAM ユーザーとしてのログオンを禁止することをお勧めします。

      DataWorks ワークスペース管理

      この診断項目は、過去 3 か月間に現在のリージョンでスケジューリングアクセスID として使用される RAM ユーザーとして DataWorks にログオンできるワークスペースを検出します。

      標準化されたデータ生成

      コードレビュー

      説明

      DataWorks はコードレビュー機能を提供します。標準モードのワークスペースで強制コードレビューを有効にした場合、指定されたレビュー担当者がノードのコードをレビューするために、各ノードをコミットする必要があります。レビュー担当者がコードを承認した後にのみ、ノードをデプロイできます。

      DataWorks ワークスペース管理

      この診断項目は、コードレビュー機能が無効になっているか、コードレビュースコープが現在のリージョンで構成されていないワークスペースを検出します。ワークスペースのコードレビュー機能の構成方法については、コードレビューを参照してください。

      ビジネス要件に基づいてタスクをデプロイする担当者を手配する

      説明

      標準モードのワークスペースでは、タスクをデプロイする担当者は、タスク開発者とは区別する必要があります。

      DataWorks ワークスペース管理

      この診断項目は、過去 30 日間に同じ担当者によって開発およびデプロイされたタスクを検出します。

    • プラットフォームセキュリティ構成診断

      このカテゴリの診断項目は、全体的なデータセキュリティを向上させます。

      診断ディメンション

      診断項目

      診断オブジェクト

      診断方法

      DataWorks 操作監査

      DataWorks 操作監査

      説明

      DataWorks は操作監査機能をサポートしています。約 5 ~ 10 分の遅延で ActionTrail を使用して、DataWorks でのユーザー操作を監査できます。詳細については、ActionTrail を使用して動作イベントをクエリするを参照してください。

      DataWorks ワークスペース管理

      デフォルトでは、この機能は DataWorks ワークスペースで有効になっています。ActionTrail をアクティブ化すると、DataWorks 操作ログを記録できます。