Data Security Guard menyediakan fitur penemuan data, penyamaran (masking), watermarking, kontrol akses, identifikasi risiko, dan pelacakan lineage untuk membantu Anda mengidentifikasi serta melindungi data sensitif di DataWorks.
Alur Kerja
Data Security Guard mengikuti alur kerja tiga tahap: persiapan, perlindungan aktif, dan audit pasca-kejadian.
-
Langkah 1: Persiapan
Klasifikasikan dan beri tingkat pada aset data, lalu konfigurasikan aturan deteksi sebelum data sensitif dihasilkan.
Operation
Description
References
Configure data classification and grading
Klasifikasikan data ke dalam tingkat sensitivitas berdasarkan nilai, sensitivitas konten, dan cakupan dampak. Prinsip manajemen dan persyaratan pengembangan bervariasi berdasarkan tingkat tersebut.
DataWorks menyediakan templat bawaan. Anda juga dapat membuat nama klasifikasi dan tingkat kustom.
Configure sensitive data detection rules
Tentukan jenis kolom sensitif dan konfigurasikan aturan berdasarkan sumber data dan tujuan penggunaannya. Konten yang sesuai dengan aturan akan ditandai sebagai sensitif.
Metode deteksi yang didukung:
-
Deteksi konten data: Menggunakan aturan bawaan, model kustom, pustaka sampel, atau ekspresi reguler.
-
Deteksi metadata: Mencocokkan nama kolom dan komentar menggunakan wildcard, awalan (prefix), akhiran (suffix), atau pola keterkaitan (containment).
-
Deteksi gabungan: Menggabungkan beberapa kondisi dengan operator AND/OR.
Other configurations
-
Pengaturan sistem: Konfigurasikan periode pelacakan watermark, tandai hasil klasifikasi ke label kolom MaxCompute, tentukan alamat email dan URL webhook untuk menerima pemberitahuan peringatan atas hasil deteksi, serta aktifkan deteksi real-time untuk kolom yang belum teridentifikasi.
-
Pengaturan grup pengguna: Tambahkan akun dengan izin identik secara batch ke dalam satu kelompok. Anda kemudian dapat menambahkan kelompok tersebut ke daftar allowlist agar anggotanya dapat mengakses data tanpa penyamaran.
-
-
Langkah 2: Perlindungan aktif
Setelah aturan diaktifkan, DataWorks secara otomatis mendeteksi data sensitif yang sesuai. Lihat hasilnya di modul Data Security Guard berikut.
Operation
Description
References
Data masking management
Konfigurasikan aturan penyamaran untuk data sensitif yang terdeteksi. Kebijakan penyamaran bervariasi berdasarkan tingkat sensitivitas.
Jenis penyamaran:
-
Penyamaran dinamis: Menyamarkan data saat kueri pada halaman hasil.
-
Penyamaran statis: Menyamarkan dan menyimpan data di lokasi tertentu.
Metode mencakup enkripsi yang mempertahankan format (format-preserving encryption), pengaburan (redaction), penghashan (hashing), penggantian karakter, transformasi interval, pembulatan (rounding), dan nullifikasi.
Untuk memberikan akses ke data mentah, konfigurasikan daftar allowlist.
Pilih jenis dan metode penyamaran yang sesuai dengan kebutuhan Anda.
Risk identification management
Aturan risiko bawaan langsung berlaku. Anda juga dapat membuat aturan kustom dengan perbandingan ambang batas seperti volume data dan frekuensi. Aturan aktif secara otomatis mendeteksi operasi berisiko dan mengirimkan peringatan.
Risk monitoring and handling
Lihat detail risiko yang terdeteksi dan tandai sebagai bebas risiko atau telah ditangani.
-
-
Langkah 3: Audit dan pelacakan pasca-kejadian
Proses data sensitif dan lakukan manajemen keamanan berdasarkan hasil pemantauan risiko.
Operation
Description
References
Data operation audit
Data Security Guard mencatat semua operasi data sensitif, termasuk alamat IP, pengguna database, stempel waktu (timestamp), dan informasi lineage.
Anda dapat memperbaiki secara manual data sensitif yang salah teridentifikasi.
Data watermark tracing
Ekstrak informasi watermark dari file data yang bocor untuk melacak sumber kebocoran data.
Batasan
Batasan edisi
Data Security Guard memerlukan DataWorks Edisi Standar atau lebih tinggi. Untuk informasi tentang cara mengaktifkan DataWorks, lihat Beli dan aktifkan DataWorks. Fitur yang didukung bervariasi berdasarkan edisi, sebagaimana tercantum dalam Perbandingan edisi DataWorks.
Batasan izin
Hanya Akun Alibaba Cloud atau Pengguna RAM dengan salah satu izin berikut yang dapat mengaktifkan Data Security Guard:
-
Pengguna RAM dengan role AdministratorAccess atau AliyunDataWorksFullAccess. Berikan izin kepada Pengguna RAM.
-
Administrator penyewa dan administrator keamanan tingkat penyewa dapat menggunakan semua fitur Data Security Guard.
-
Administrator keamanan tingkat ruang kerja hanya dapat mengakses fitur untuk ruang kerja yang ditugaskan. Berikan izin ruang kerja tambahan melalui Kelola anggota dan role.
Penggunaan fitur
Untuk engine EMR, MaxCompute, dan Hologres, hanya deteksi data dan penyamaran dinamis yang didukung.
Batasan engine EMR:
-
Deteksi dan penyamaran data sensitif hanya mendukung jenis kluster EMR dan jenis penyimpanan berikut:
CatatanPada tabel berikut,
menunjukkan fitur didukung, dan
menunjukkan fitur tidak didukung.EMR cluster type
Metadata storage type
Data storage type: OSS
Data storage type: OSS-HDFS
Data storage type: HDFS
New DataLake cluster
Data Lake Formation (DLF)



RDS instance



MySQL



Custom cluster
Data Lake Formation (DLF)



RDS instance



MySQL



Other clusters
--
CatatanFitur ini saat ini hanya tersedia di wilayah berikut: Tiongkok (Hangzhou), Tiongkok (Shanghai), China East 2 Finance, Tiongkok (Beijing), China North 2 Finance, Tiongkok (Zhangjiakou), Tiongkok (Ulanqab), Tiongkok (Shenzhen), China South 1 Finance, Tiongkok (Chengdu), China North 2 Ali Gov 1, Tiongkok (Hong Kong), AS (Silicon Valley), Singapura, Malaysia (Kuala Lumpur), Jerman (Frankfurt), Indonesia (Jakarta), SAU (Riyadh - Partner Region), Thailand (Bangkok), dan AS (Virginia).
-
Untuk menggunakan Data Security Guard dengan kluster EMR, Anda harus melakukan peningkatan grup sumber daya eksklusif untuk penjadwalan. Anda dapat bergabung dengan grup DingTalk DataWorks dan menghubungi dukungan teknis untuk meminta peningkatan.
-
Data Security Guard menggunakan Akun Alibaba Cloud untuk pengambilan sampel data secara default. Jika kluster Anda menggunakan autentikasi LDAP dengan Ranger atau DLF-Auth untuk izin tabel, konfigurasikan pemetaan akun dan pastikan akun yang dipetakan dapat mengakses tabel EMR. Konfigurasikan pemetaan identitas akses.
Akses Data Security Guard
Masuk ke Konsol DataWorks. Di wilayah target, klik di panel navigasi kiri. Pada halaman yang muncul, klik Go to Security Center.
Di panel navigasi kiri, klik , lalu klik Try Now untuk mengakses Data Security Guard.
CatatanJika Akun Alibaba Cloud Anda sudah memiliki otorisasi, Anda akan diarahkan ke halaman utama Data Security Guard.
Jika Akun Alibaba Cloud Anda belum memiliki otorisasi, Anda akan dialihkan ke halaman otorisasi Data Security Guard. Untuk pertama kali menggunakan fitur Data Security Guard, buka , pilih Data Security Guard pada dialog pop-up, lalu selesaikan proses otorisasi.