資料保護傘是一款資料安全管理產品,為您提供資料發現、資料脫敏、資料浮水印、存取控制、風險識別、資料溯源等多種功能,協助您快速梳理敏感性資料並進行安全管控,保障資料安全。本文為您介紹資料保護傘的使用流程、使用限制等內容。
使用流程
資料保護傘為您提供敏感性資料規則配置、識別敏感性資料、查看識別結果、處理敏感性資料等管控流程,協助您在敏感性資料產生的事件前、中、後各階段管控梳理專案中的敏感性資料,保障資料安全。具體流程及相關功能介紹如下。
步驟一:事前梳理。
在敏感性資料產生前,您可通過資料保護傘對您的資產資料進行分類分級,並配置多種識別規則,識別敏感性資料及相關資料風險。具體如下。
細分操作
描述
參考文檔
配置資料分類分級
用於對您的資料按照資料價值、內容敏感程度、影響和分發範圍進行敏感層級劃分,後續可基於分類分級進行資料管控操作。不同敏感層級的資料管控原則和資料開發要求存在差異。
DataWorks提供了內建的分類分級模板,您也可基於業務需要,自訂分類分級名稱。
配置敏感性資料識別規則
根據資料的來源、用途,定義敏感欄位類型配置敏感性資料規則,識別當前工作空間中的敏感性資料。命中規則內容,則認為是敏感性資料。
支援如下識別方式:
資料內容識別:可通過內建規則、自訂模型、樣本庫、Regex識別。
中繼資料識別:通過欄位的名稱、注釋資訊識別。支援使用萬用字元,配置首碼、尾碼及內含項目關聯性。
組合識別:可使用或、與等關係,配置包含多個條件的識別規則。
其他配置
系統配置:設定登入的許可權模式、資料浮水印追溯時間、管控的資料範圍、識別結果的警示內送郵件及webHook地址等。
使用者組配置:快速將具有相同資料存取權限的帳號大量新增至使用者組,後續配置資料脫敏時,統一配置白名單,擷取脫敏前的未經處理資料。
步驟二:事中防護。
敏感性資料規則配置完成並啟用後,DataWorks將自動識別命中規則的敏感性資料,您可在資料保護傘相關模組查看識別結果。
細分操作
描述
參考文檔
存取控制管理
配置基於IP或者資料庫使用者的直通或者阻斷策略。
-
資料脫敏管理
用於對識別到的敏感性資料配置脫敏規則,後續,敏感性資料將按照配置規則呈現。不同敏感層級的資料脫敏管控存在差異。
脫敏分類:
動態脫敏:查詢敏感性資料時,在查詢頁面展示脫敏後資料。
靜態脫敏:將資料脫敏後儲存到指定的資料庫位置。
脫敏方式:包括保留格式加密、掩蓋、HASH加密、字元替換、區間變換、取整、置空等。
同時,對需返回未經處理資料的特殊情境,可配置白名單查看明文資訊。
您可按需選擇合適的脫敏情境及脫敏方式。
風險識別管理
資料保護傘中內建的風險規則,可直接生效使用;同時,支援自訂風險規則、閾值比較。例如,資料量比較、頻次比較等,風險規則生效後,系統會自動進行檢測,主動發現風險操作並預警。
風險監測處置
查看監測出的風險的操作明細資訊,可根據需要支援標記是否無風險、是否已處置等。
步驟三:事後審計溯源。
根據事中的風險監測情況,處理相關敏感性資料,進行安全管控,保障資料安全。
細分操作
描述
參考文檔
資料Action Trail
資料保護傘會記錄所有涉及敏感性資料的行為(包含IP、連接埠資訊、資料庫使用者等)及敏感性資料血緣資訊,您可通過敏感資訊進行相關Action Trail。
同時,針對規則識別不準確的敏感性資料,可手動修正。
資料浮水印溯源
若存在資料被泄露情況,可通過提取資料泄露檔案中浮水印資訊,協助您定位到可能會泄露目標資料的責任人。
使用限制
版本限制
僅支援DataWorks標準版及以上版本使用資料保護傘功能。開通DataWorks,詳情請參見開通DataWorks服務;不同DataWorks版本中資料保護傘功能支援情況,請參見DataWorks各版本詳解。
許可權限制
僅阿里雲主帳號和擁有以下許可權的RAM使用者(即子帳號)可開通資料保護傘:
擁有AdministratorAccess、AliyunDataWorksFullAccess角色許可權的RAM使用者,授權詳情請參見為RAM角色授權。
擁有租用戶系統管理員和安全性系統管理員(租戶級)許可權的使用者可使用資料保護傘的全部功能。
工作空間級的安全性系統管理員,僅可使用其有許可權的工作空間的相關功能。例如,資料血緣功能,修正敏感欄位類型時,只能選擇有許可權的專案空間。若需要對其他工作空間的相關功能有使用許可權,則需授予相關許可權,詳情請參見空間級模組許可權管控。
功能使用
目前僅支援使用資料識別和動態脫敏功能對EMR、MaxCompute、CDH、Hologres引擎的敏感性資料進行識別和脫敏。
其中,識別EMR引擎敏感性資料並進行脫敏的使用限制如下:
敏感性資料識別和脫敏目前僅支援部分EMR叢集類型和表類型。如下所示:
說明 其中
表示支援預覽,
表示不支援預覽。EMR叢集類型 中繼資料存放區類型 資料存放區類型:OSS 資料存放區類型:OSS-HDFS 資料存放區類型:HDFS 新版資料湖叢集(DataLake) 資料湖構建(DLF) RDS執行個體 MySQL 自訂叢集(Custom) 資料湖構建(DLF) RDS執行個體 MySQL 其他叢集 -- 說明該功能目前僅支援華東 1(杭州)、華東 2(上海)、華東2(上海)金融雲、華北 2(北京)、華南 1(深圳)、華南1(深圳)金融雲、西南 1(成都)、華北2(政務雲)、中國香港、美國(矽谷)、新加坡、馬來西亞(吉隆坡)、德國(法蘭克福)地區使用。
在EMR叢集下使用資料保護傘需升級獨享調度資源群組,您可加入DataWorksDingTalk群聯絡支援人員同學申請升級。
資料保護傘預設使用阿里雲主帳號進行資料抽樣,如果您的叢集開啟了LDAP認證,使用Ranger或DLF-Auth管理表許可權,需您為主帳號配置帳號映射,並保證映射後的帳號有許可權訪問EMR叢集中表,具體操作方法詳情請參見配置訪問身份的映射關係。
進入資料保護傘
進入資料開發頁面。
登入DataWorks控制台,切換至目標地區後,單擊左側導覽列的,在下拉框中選擇對應工作空間後單擊進入資料開發。
單擊左上方的
表徵圖,選擇,單擊立即體驗,進入資料保護傘。說明若阿里雲主帳號已授權,則直接進入資料保護傘的首頁。
若阿里雲主帳號未授權,則進入資料保護傘的授權頁面。授權後才可使用保護傘的相關功能。