全部產品
Search
文件中心

DataWorks:資料保護傘概述

更新時間:Nov 23, 2024

資料保護傘是一款資料安全管理產品,為您提供資料發現、資料脫敏、資料浮水印、存取控制、風險識別、資料溯源等多種功能,協助您快速梳理敏感性資料並進行安全管控,保障資料安全。本文為您介紹資料保護傘的使用流程、使用限制等內容。

使用流程

資料保護傘為您提供敏感性資料規則配置、識別敏感性資料、查看識別結果、處理敏感性資料等管控流程,協助您在敏感性資料產生的事件前、中、後各階段管控梳理專案中的敏感性資料,保障資料安全。具體流程及相關功能介紹如下。

  1. 步驟一:事前梳理。

    在敏感性資料產生前,您可通過資料保護傘對您的資產資料進行分類分級,並配置多種識別規則,識別敏感性資料及相關資料風險。具體如下。

    細分操作

    描述

    參考文檔

    配置資料分類分級

    用於對您的資料按照資料價值、內容敏感程度、影響和分發範圍進行敏感層級劃分,後續可基於分類分級進行資料管控操作。不同敏感層級的資料管控原則和資料開發要求存在差異。

    DataWorks提供了內建的分類分級模板,您也可基於業務需要,自訂分類分級名稱。

    配置敏感性資料分類分級

    配置敏感性資料識別規則

    根據資料的來源、用途,定義敏感欄位類型配置敏感性資料規則,識別當前工作空間中的敏感性資料。命中規則內容,則認為是敏感性資料。

    支援如下識別方式:

    • 資料內容識別:可通過內建規則、自訂模型、樣本庫、Regex識別。

    • 中繼資料識別:通過欄位的名稱、注釋資訊識別。支援使用萬用字元,配置首碼、尾碼及內含項目關聯性。

    • 組合識別:可使用或、與等關係,配置包含多個條件的識別規則。

    其他配置

    • 系統配置:設定登入的許可權模式、資料浮水印追溯時間、管控的資料範圍、識別結果的警示內送郵件及webHook地址等。

    • 使用者組配置:快速將具有相同資料存取權限的帳號大量新增至使用者組,後續配置資料脫敏時,統一配置白名單,擷取脫敏前的未經處理資料。

  2. 步驟二:事中防護。

    敏感性資料規則配置完成並啟用後,DataWorks將自動識別命中規則的敏感性資料,您可在資料保護傘相關模組查看識別結果。

    細分操作

    描述

    參考文檔

    存取控制管理

    配置基於IP或者資料庫使用者的直通或者阻斷策略。

    -

    資料脫敏管理

    用於對識別到的敏感性資料配置脫敏規則,後續,敏感性資料將按照配置規則呈現。不同敏感層級的資料脫敏管控存在差異。

    脫敏分類:

    • 動態脫敏:查詢敏感性資料時,在查詢頁面展示脫敏後資料。

    • 靜態脫敏:將資料脫敏後儲存到指定的資料庫位置。

    脫敏方式:包括保留格式加密、掩蓋、HASH加密、字元替換、區間變換、取整、置空等。

    同時,對需返回未經處理資料的特殊情境,可配置白名單查看明文資訊。

    您可按需選擇合適的脫敏情境及脫敏方式。

    建立資料脫敏規則

    風險識別管理

    資料保護傘中內建的風險規則,可直接生效使用;同時,支援自訂風險規則、閾值比較。例如,資料量比較、頻次比較等,風險規則生效後,系統會自動進行檢測,主動發現風險操作並預警。

    風險監測處置

    查看監測出的風險的操作明細資訊,可根據需要支援標記是否無風險、是否已處置等。

  3. 步驟三:事後審計溯源。

    根據事中的風險監測情況,處理相關敏感性資料,進行安全管控,保障資料安全。

    細分操作

    描述

    參考文檔

    資料Action Trail

    資料保護傘會記錄所有涉及敏感性資料的行為(包含IP、連接埠資訊、資料庫使用者等)及敏感性資料血緣資訊,您可通過敏感資訊進行相關Action Trail。

    同時,針對規則識別不準確的敏感性資料,可手動修正。

    資料浮水印溯源

    若存在資料泄露情況,可通過提取資料泄露檔案中浮水印資訊,協助您定位到可能泄露目標資料的責任人。

    敏感性資料溯源

使用限制

版本限制

僅支援DataWorks標準版及以上版本使用資料保護傘功能。開通DataWorks,詳情請參見開通DataWorks服務;不同DataWorks版本中資料保護傘功能支援情況,請參見DataWorks各版本詳解

許可權限制

僅阿里雲主帳號和擁有以下許可權的RAM使用者(即子帳號)可開通資料保護傘:

說明
  • 擁有租用戶系統管理員和安全性系統管理員(租戶級)許可權的使用者可使用資料保護傘的全部功能。

  • 工作空間級的安全性系統管理員,僅可使用其有許可權的工作空間的相關功能。例如,資料血緣功能,修正敏感欄位類型時,只能選擇有許可權的專案空間。若需要對其他工作空間的相關功能有使用許可權,則需授予相關許可權,詳情請參見空間級模組許可權管控

功能使用

目前僅支援使用資料識別和動態脫敏功能對EMR、MaxCompute、CDH、Hologres引擎的敏感性資料進行識別和脫敏。

其中,識別EMR引擎敏感性資料並進行脫敏的使用限制如下:

  • 敏感性資料識別和脫敏目前僅支援部分EMR叢集類型和表類型。如下所示:

    說明

    其中支援表示支援預覽,不支援表示不支援預覽。

    EMR叢集類型

    中繼資料存放區類型

    資料存放區類型:OSS

    資料存放區類型:OSS-HDFS

    資料存放區類型:HDFS

    新版資料湖叢集(DataLake)

    資料湖構建(DLF)

    不支援

    不支援

    不支援

    RDS執行個體

    支援

    支援

    支援

    MySQL

    支援

    支援

    支援

    自訂叢集(Custom)

    資料湖構建(DLF)

    不支援

    不支援

    不支援

    RDS執行個體

    支援

    支援

    支援

    MySQL

    支援

    支援

    支援

    其他叢集

    --

    不支援

    說明

    該功能目前僅支援華東 1(杭州)、華東 2(上海)、華東2(上海)金融雲、華北 2(北京)、華南 1(深圳)、華南1(深圳)金融雲、西南 1(成都)、華北2(政務雲)、中國香港、美國(矽谷)、新加坡、馬來西亞(吉隆坡)、德國(法蘭克福)地區使用。

  • 在EMR叢集下使用資料保護傘需升級獨享調度資源群組,您可加入DataWorksDingTalk群聯絡支援人員同學申請升級。

  • 資料保護傘預設使用阿里雲主帳號進行資料抽樣,如果您的叢集開啟了LDAP認證,使用Ranger或DLF-Auth管理表許可權,需您為主帳號配置帳號映射,並保證映射後的帳號有許可權訪問EMR叢集中表,具體操作方法詳情請參見配置訪問身份的映射關係

進入資料保護傘

  1. 進入資料開發頁面。

    登入DataWorks控制台,切換至目標地區後,單擊左側導覽列的資料開發與治理 > 資料開發,在下拉框中選擇對應工作空間後單擊進入資料開發

  2. 單擊左上方的表徵圖表徵圖,選擇全部產品 > 資料治理 > 資料保護傘,單擊立即體驗,進入資料保護傘。

    說明
    • 若阿里雲主帳號已授權,則直接進入資料保護傘的首頁。

    • 若阿里雲主帳號未授權,則進入資料保護傘的授權頁面。授權後才可使用保護傘的相關功能。