DataWorks セキュリティセンターは、データライフサイクル全体を中心に構築されています。ID 認証、権限付与、アクセス制御、監査、資産保護という 5 つの中核となる管理の柱を確立しています。このフレームワークは、アクセス ポリシーからリスク解決まで、詳細でインテリジェントなセキュリティ コントロールを提供し、多層防御システムを構築します。
多次元データ分離: テナントとワークスペース間でデータを正確に分離します。ワークスペースのメンバーとデータベースの権限ポリシーを組み合わせて、権限の境界を越えたデータ侵害を防ぎます。
詳細なアクセス制御: テナントとワークスペースのロールを柔軟に組み合わせて、権限と責任を動的に一致させます。自動取り消し機能を備えた権限リクエストシステムにより、権限と責任がリアルタイムで一致することが保証されます。
高価値データのプロアクティブな保護: 分類およびカテゴリ化ルールライブラリを使用して、個人情報や機密情報などの高価値データを自動的に識別します。ウォーターマークや暗号化などの静的データマスキング、および動的データマスキングポリシーを使用して、データライフサイクル全体を通じてデータを保護します。
リアルタイムのインテリジェントな脅威防御: ユーザー行動分析 (UBA) とカスタムルールエンジンを使用して、異常なダウンロードや不正な共有などの高リスク操作を継続的にモニターします。ブロック操作や承認プロセスを即座にトリガーし、セキュリティ体制を受動的な対応からプロアクティブな防御へとシフトさせます。
5 つの中核となる管理の柱
ID 認証
統合 ID アクセス: Alibaba Cloud アカウント、Resource Access Management (RAM) ユーザー、RAM ロールなど、Alibaba Cloud アカウントや自社のエンタープライズアカウントシステムとシームレスに統合します。Alibaba Cloud シングルサインオン (SSO) と System for Cross-domain Identity Management (SCIM) プロトコルをサポートし、自社構築またはサードパーティの IdP などのエンタープライズ Identity Provider (IdP) と接続します。これにより、SSO と統合 ID 管理が可能になります。
セキュアな ID 基盤: すべての操作が正当な ID によって実行されることを保証します。これにより、認証されていないアクセスのリスクが排除されます。
権限付与
ロールとアクセスポリシーを定義して、最小権限の原則を正確に実装します。
2 層のロールシステム: テナントロール (グローバルポリシー) とワークスペースロール (ワークスペースレベルのポリシー) を柔軟に組み合わせます。管理者、開発者、O&M、データアナリストなど、10 種類以上の事前設定されたロールが含まれています。複雑な組織構造に合わせてカスタムロールを作成することもできます。
最小権限管理: データベース、テーブル、フィールドレベルまでの権限粒度を提供します。ロールの権限を特定のデータリソースにマッピングできます。たとえば、ユーザーに Orders テーブルの UserID フィールドのみをクエリする権限を付与できます。リクエスト、承認から付与、取り消しまでの権限ライフサイクル全体が管理されます。これにより、権限がワークスペースに密接にリンクされ、有効期限が切れると自動的に取り消されることが保証され、最小権限の原則が徹底されます。
アクセス制御
リアルタイムのデータアクセス保護とワークスペースレベルの分離を実装します。
ワークスペースの分離: ユーザーは、権限が付与されているワークスペースにのみアクセスできます。すべてのデータ操作は、ワークスペースにアタッチされたロールの権限によって制限されます。これにより、アーキテクチャレイヤーで不正なクロスワークスペースアクセスが防止されます。
高リスク動作に対するリアルタイム保護: データクエリ、ダウンロード、共有などの機密性の高い操作をインテリジェントにモニターします。単一のエクスポートがサイズ制限を超えた場合や、ユーザーが機密テーブルに頻繁にアクセスした場合にトリガーされるルールなど、カスタムのリスクルールを定義できます。ルールがトリガーされると、操作は自動的にブロックされるか、必須の承認のために送信されます。
監査
操作の完全なトレーサビリティ: クエリやエクスポートを含むすべてのデータ操作を記録します。機密データアクセスの分析をサポートし、コンプライアンス要件を満たすために監査データをエクスポートできます。
エンドツーエンドの権限監査: 権限のリクエスト、承認、取り消しに関する完全な監査証跡を作成します。カスタムのリスク動作ルールにより、異常な操作を正確に特定できます。
資産保護
インテリジェントな機密データ識別: フィールドおよびコンテンツ認識と AI モデルを含む分類およびカテゴリ化ルールライブラリを使用して、データを自動的にスキャンし、高機密や中機密などのセキュリティレベルで注釈を付けます。このプロセスにより、データ資産のインベントリが構築されます。
動的データマスキング: 電話番号のマスキングなど、静的なシナリオで 7 種類のマスキングルールを適用します。動的なシナリオでは、アクセスシナリオとビジネスルールに基づいてリアルタイムのデータマスキングを実行します。これにより、クエリや分析中にデータが安全なフォーマットでのみレンダリングされることが保証されます。
プロアクティブなリスクアラート: 生データへのアクセスや高頻度の操作などの危険な動作に対して、メールまたは Webhook でリアルタイムのアラートを送信します。これにより、インシデント前の予防、インシデント中のブロック、インシデント後の追跡可能性が可能になります。
コアバリュー: データセキュリティを認知可能、管理可能、そして信頼できるものにする
DataWorks セキュリティセンターは、テクノロジー、プロセス、ルールの 3 つの側面からなるフレームワークを使用して、作成から破棄までのデータライフサイクル全体をカバーします。
中核となる問題点の解決: 整理されていない権限、機密データの漏洩、制御されていない高リスク操作に対処します。
セキュリティレジリエンスの向上: 動的な権限管理、リアルタイムのリスクブロッキング、クローズドループのインテリジェントな監査システムを通じて、セキュリティ機能を日常のデータ操作に組み込みます。
ビジネス成長の促進: セキュリティを確保しながら、データのアクセシビリティとアプリケーションを加速します。これにより、企業のデータ資産が信頼できる生産性の推進力に変わります。