Aktifkan dan akses Penjaga Keamanan Data - DataWorks

Penjaga Keamanan Data adalah layanan DataWorks yang menyediakan fitur seperti identifikasi dan penyamaran data sensitif, penambahan watermark pada data, pengelolaan izin data, identifikasi risiko data, serta pelacakan sumber kebocoran data. Fitur-fitur ini membantu Anda mengelola data sensitif dan memastikan keamanannya. Topik ini menjelaskan prosedur penggunaan dan batasan Penjaga Keamanan Data.

Prosedur

Dalam Penjaga Keamanan Data, Anda dapat mengonfigurasi aturan untuk mengidentifikasi data sensitif, melihat hasil identifikasi, dan memproses data tersebut. Anda dapat mengidentifikasi serta mengelola data sensitif sebelum, selama, dan setelah peristiwa yang menghasilkan data sensitif. Gambar berikut menunjukkan prosedur penggunaan dan fitur terkait Penjaga Keamanan Data.

Langkah 1: Identifikasi data sensitif sebelum peristiwa yang menghasilkan data sensitif.

Sebelum data sensitif dihasilkan, Anda dapat menggunakan Penjaga Keamanan Data untuk menentukan kategori dan tingkat sensitivitas data aset, serta mengonfigurasi aturan untuk mengidentifikasi data sensitif dan risiko terkait. Tabel berikut memberikan rincian.

Operasi	Deskripsi	Referensi
Tentukan kategori dan tingkat sensitivitas data	Anda dapat menentukan kategori dan tingkat sensitivitas untuk data Anda berdasarkan nilai data, sensitivitas konten, dampak, dan cakupan distribusi. Dengan cara ini, Anda dapat mengelola data berdasarkan kategori data dan tingkat sensitivitas data. Prinsip manajemen data dan persyaratan pengembangan data bervariasi berdasarkan tingkat sensitivitas data. DataWorks menyediakan template kategori data dan tingkat sensitivitas data bawaan. Anda dapat mengonfigurasi kategori data dan tingkat sensitivitas data kustom berdasarkan kebutuhan bisnis Anda.	Tentukan kategori dan tingkat sensitivitas data sensitif
Konfigurasikan aturan identifikasi data sensitif	Anda dapat mendefinisikan tipe bidang sensitif dan kemudian mengonfigurasi aturan identifikasi data sensitif untuk tipe bidang sensitif berdasarkan sumber dan tujuan data. Ini membantu Anda mengidentifikasi data sensitif di ruang kerja saat ini. Konten yang memenuhi kondisi dalam aturan identifikasi data sensitif dianggap sebagai data sensitif. Metode identifikasi berikut didukung: Identifikasi berdasarkan isi data: Data sensitif diidentifikasi berdasarkan aturan bawaan, model kustom, pustaka sampel, dan ekspresi reguler. Identifikasi berdasarkan metadata: Data sensitif diidentifikasi berdasarkan nama bidang dan komentar. Anda dapat menggunakan karakter wildcard untuk mengonfigurasi awalan, akhiran, dan hubungan inklusi. Identifikasi berdasarkan kondisi gabungan: Anda dapat menggunakan hubungan OR, AND, dan lainnya untuk mengonfigurasi aturan identifikasi data sensitif yang berisi beberapa kondisi.	Konfigurasikan aturan identifikasi data sensitif dan jalankan tugas identifikasi data sensitif Hasilkan model identifikasi data kustom Identifikasi data sensitif dengan menggunakan pustaka sampel
Konfigurasikan pengaturan lainnya	Konfigurasi sistem: Anda dapat mengonfigurasi pengaturan seperti mode kontrol akses Penjaga Keamanan Data, periode yang dapat dilacak untuk risiko data berdasarkan watermark data, cakupan data untuk manajemen identifikasi risiko, dan email serta URL webhook yang digunakan untuk menerima pemberitahuan peringatan yang berisi hasil identifikasi risiko data. Konfigurasi grup pengguna: Anda dapat menambahkan beberapa akun yang memiliki izin akses data yang sama ke grup pengguna secara bersamaan. Saat Anda mengonfigurasi aturan penyamaran data, Anda dapat menambahkan grup pengguna ke daftar putih untuk mengizinkan akun dalam grup pengguna melihat data asli yang tidak disamarkan.	Konfigurasikan pengaturan sistem Konfigurasikan grup pengguna

Langkah 2: Kelola data sensitif saat peristiwa yang menghasilkan data sensitif sedang terjadi.

Setelah mengonfigurasi dan mengaktifkan aturan identifikasi data sensitif, DataWorks secara otomatis mengidentifikasi data sensitif yang memenuhi kondisi dalam aturan. Anda dapat melihat hasil identifikasi di Penjaga Keamanan Data.

Operasi	Deskripsi	Referensi
Konfigurasikan kebijakan kontrol akses	Konfigurasikan kebijakan transmisi langsung atau pemblokiran berdasarkan alamat IP atau pengguna database.	-
Buat aturan penyamaran data	Anda dapat mengonfigurasi aturan penyamaran data untuk data sensitif yang telah diidentifikasi. Data sensitif ditampilkan berdasarkan aturan penyamaran data yang dikonfigurasi. Aturan penyamaran data bervariasi berdasarkan tingkat sensitivitas data. Jenis penyamaran data: Penyamaran data dinamis: DataWorks menyembunyikan data sensitif dalam hasil kueri. Penyamaran data statis: DataWorks menyembunyikan data sensitif sebelum data sensitif disimpan di database. Metode penyamaran data mencakup enkripsi berbasis format asli, masking out, enkripsi berbasis hash, penggantian karakter, perubahan rentang, transformasi untuk desensitisasi, dan biarkan kosong. Dalam skenario di mana data asli harus dikembalikan, Anda dapat mengonfigurasi daftar putih untuk mengizinkan akun tertentu melihat informasi teks biasa. Anda dapat memilih jenis penyamaran data dan metode penyamaran data berdasarkan kebutuhan bisnis Anda.	Buat aturan penyamaran data
Kelola aturan identifikasi risiko	Anda dapat menggunakan aturan identifikasi risiko bawaan di Penjaga Keamanan Data setelah Anda mengaktifkan aturan tersebut. Anda juga dapat mengonfigurasi aturan identifikasi risiko berdasarkan kebutuhan bisnis Anda dan membandingkan jumlah kejadian suatu peristiwa dalam aturan identifikasi risiko dengan ambang batas yang ditentukan untuk kejadian peristiwa. Misalnya, jika Anda menentukan perbandingan jumlah data atau frekuensi dalam aturan identifikasi risiko, sistem secara otomatis mendeteksi operasi berisiko tinggi dan mengirimkan pemberitahuan peringatan ketika kondisi dalam aturan terpenuhi.	Manajemen aturan identifikasi risiko (versi baru) Manajemen aturan identifikasi risiko (versi lama)
Proses hasil identifikasi risiko	Anda dapat melihat detail operasi berisiko yang diidentifikasi, dan menandai operasi tersebut sebagai berisiko, tidak berisiko, atau risiko telah ditangani.	Lihat risiko data (versi baru) Lihat risiko data (versi lama)

Langkah 3: Audit operasi berisiko dan lacak sumber kebocoran data.

Anda dapat memproses dan mengelola data sensitif berdasarkan hasil identifikasi risiko untuk memastikan keamanan data.

Operasi

Deskripsi

Referensi

Audit operasi berisiko

Penjaga Keamanan Data mencatat semua perilaku yang melibatkan data sensitif, seperti alamat IP, informasi port, dan pengguna database, dan menyediakan alur data sensitif. Anda dapat mengaudit operasi berisiko berdasarkan informasi tersebut.

Anda dapat secara manual memperbaiki hasil identifikasi data sensitif yang diperoleh berdasarkan aturan identifikasi data sensitif.

Lacak sumber kebocoran data berdasarkan watermark

Jika terjadi kebocoran data, informasi watermark dari data dalam file data yang bocor dapat diekstraksi untuk melacak pengguna yang menyebabkan kebocoran data.

Lacak sumber kebocoran data

Batasan

Edisi

Hanya Edisi Standar DataWorks atau edisi yang lebih canggih yang mendukung Penjaga Keamanan Data. Untuk informasi tentang cara mengaktifkan DataWorks, lihat Aktifkan DataWorks. Fitur Penjaga Keamanan Data yang dapat Anda gunakan bervariasi berdasarkan edisi DataWorks. Untuk informasi lebih lanjut, lihat Fitur edisi DataWorks.

Izin

Anda dapat menggunakan Akun Alibaba Cloud atau Pengguna RAM dengan izin berikut untuk mengaktifkan Penjaga Keamanan Data:

Izin administrator penyewa.
Izin administrator keamanan tingkat penyewa.
Izin yang didefinisikan dalam kebijakan AdministratorAccess and AliyunDataWorksFullAccess. Untuk informasi lebih lanjut, lihat Berikan izin kepada Peran RAM.

Catatan

Pengguna dengan peran administrator penyewa atau peran administrator keamanan tingkat penyewa dapat menggunakan semua fitur Penjaga Keamanan Data.
Pengguna dengan peran administrator keamanan tingkat ruang kerja dapat menggunakan fitur terkait hanya di ruang kerja tempat mereka memiliki izin akses. Misalnya, ketika pengguna menggunakan fitur alur data untuk memodifikasi tipe bidang sensitif, mereka hanya dapat memilih ruang kerja tempat mereka memiliki izin akses. Jika pengguna ingin menggunakan fitur Penjaga Keamanan Data di ruang kerja tempat mereka tidak memiliki izin akses, mereka harus mengajukan permintaan izin yang diperlukan. Untuk informasi lebih lanjut, lihat Kelola izin pada layanan tingkat ruang kerja.

Fitur

Dalam Penjaga Keamanan Data, Anda dapat menggunakan fitur identifikasi data sensitif dan penyamaran data dinamis untuk mengidentifikasi serta secara dinamis menyembunyikan data sensitif hanya di mesin komputasi E-MapReduce (EMR), MaxCompute, dan Hologres.

Perhatikan batasan berikut pada mesin komputasi EMR:

Fitur identifikasi data sensitif dan penyamaran data didukung hanya untuk jenis kluster EMR dan tabel EMR tertentu. Tabel berikut menjelaskan rinciannya.

Catatan

Ikon menunjukkan bahwa fitur pratinjau data didukung, dan ikon menunjukkan bahwa fitur pratinjau data tidak didukung.

Jenis kluster EMR	Jenis penyimpanan metadata	Jenis penyimpanan data: OSS	Jenis penyimpanan data: OSS-HDFS	Jenis penyimpanan data: HDFS
Kluster DataLake	Pembentukan Danau Data (DLF)
	Instans RDS
	MySQL
Kluster Kustom	DLF
	Instans RDS
	MySQL
Kluster Lainnya	--

Catatan

Fitur-fitur ini tersedia hanya di wilayah berikut: China (Hangzhou), China (Shanghai), China East 2 Finance, China (Beijing), China (Shenzhen), China South 1 Finance, China (Chengdu), China North 2 Ali Gov 1, China (Hong Kong), AS (Silicon Valley), Singapura, Malaysia (Kuala Lumpur), dan Jerman (Frankfurt).

Jika Anda ingin menggunakan Penjaga Keamanan Data di kluster EMR, Anda harus meningkatkan kelompok sumber daya eksklusif untuk penjadwalan. Anda dapat bergabung dengan Grup DingTalk DataWorks untuk meminta dukungan teknis untuk peningkatan.
Secara default, Penjaga Keamanan Data menggunakan Akun Alibaba Cloud untuk pengambilan sampel data. Jika otentikasi Protokol Akses Direktori Ringan (LDAP) diaktifkan untuk kluster EMR Anda dan Ranger atau DLF-Auth digunakan untuk mengelola izin tabel, Anda harus mengonfigurasi pemetaan antara Akun Alibaba Cloud dan akun kluster. Ini memastikan bahwa Akun Alibaba Cloud memiliki izin yang diperlukan untuk mengakses tabel di kluster EMR. Untuk informasi lebih lanjut, lihat Konfigurasikan pemetaan antara Akun Anggota DataWorks dan Akun Kluster EMR.

Pergi ke halaman Penjaga Keamanan Data

Masuk ke Konsol DataWorks. Di bilah navigasi atas, pilih wilayah yang diinginkan. Di bilah navigasi sisi kiri, pilih Data Governance > Security Center. Pada halaman yang muncul, klik Go to Security Center.
Di panel navigasi sebelah kiri, klik Data usage security > Sensitive data management untuk membuka halaman Data Security Guard.
Catatan
- Jika Akun Alibaba Cloud Anda memiliki izin yang diperlukan, Anda dapat langsung mengakses halaman Penjaga Keamanan Data.
- Jika Akun Alibaba Cloud Anda tidak memiliki izin yang diperlukan, Anda akan dialihkan ke halaman otorisasi Penjaga Keamanan Data. Anda hanya dapat menggunakan fitur Penjaga Keamanan Data setelah Akun Alibaba Cloud Anda diberi izin yang diperlukan.