Diagnostik keamanan platform memindai ruang kerja DataWorks Anda berdasarkan praktik terbaik keamanan—meliputi otentikasi identitas, pengelolaan izin, transmisi data, dan mode pengembangan. Setiap temuan diklasifikasikan menurut tingkat risiko sehingga Anda dapat memprioritaskan tindakan perbaikan.
Cara kerja
Laman Platform Security Diagnosis menjalankan pemeriksaan otomatis dalam empat kategori:
-
Data computing and storage — Mendeteksi celah izin, enkripsi yang tidak diaktifkan, dan masalah konfigurasi pencadangan pada sumber daya komputasi Anda.
-
Data transmission security diagnostics — Menandai izin sumber data yang tidak dikelola dan kurangnya isolasi antara lingkungan dev/prod yang berpotensi mengekspos data produksi.
-
Standardized diagnostics of data production — Memeriksa struktur ruang kerja, penugasan role, dan kepatuhan alur kerja pengembangan.
-
Platform security configuration diagnostics — Memverifikasi bahwa pencatatan audit operasi telah diaktifkan.
Setiap temuan diberi label low-risk, medium-risk, atau high-risk, serta mencakup hasil diagnostik dan tindakan perbaikan yang disarankan. Untuk detail semua item diagnostik dalam setiap dimensi, lihat bagian Lampiran: Detail item diagnostik dalam topik ini.
Buka laman Platform Security Diagnosis
-
Masuk ke Konsol DataWorks. Pada bilah navigasi atas, pilih wilayah target. Di panel navigasi sisi kiri, pilih Data Governance > Security Center, lalu klik Go to Security Center.
-
Di panel navigasi kiri, klik Platform Security Diagnosis. Laman tersebut akan memuat semua item diagnostik yang perlu diperbaiki di wilayah saat ini, dikelompokkan berdasarkan kategori dan diberi label sesuai tingkat risiko.
Lihat dan tangani hasil diagnostik
Setiap kategori menampilkan jumlah item berisiko menengah dan tinggi. Klik item berisiko menengah atau tinggi untuk melihat detail risiko dan solusi yang disarankan.
Contoh berikut menunjukkan temuan dalam kategori Data transmission security diagnostics.
Klik item tersebut untuk melihat hasil diagnostik lengkap dan saran perbaikannya.
Temuan: Izin sumber data belum dikonfigurasi, sehingga pengguna dengan tingkat keamanan lebih rendah dapat mengakses data dengan tingkat keamanan lebih tinggi.
Solusi yang disarankan: Konfigurasikan kontrol akses pada sumber data Anda untuk membatasi siapa saja yang dapat terhubung ke masing-masing sumber data tersebut.
Lampiran: Detail item diagnostik
Tabel berikut mencantumkan semua item diagnostik yang didukung oleh diagnostik keamanan platform.
Item yang ditampilkan di laman bergantung pada sumber data yang telah ditambahkan ke ruang kerja Anda dan isu yang saat ini terdeteksi.
Data computing and storage
Item diagnostik dalam kategori ini meningkatkan keamanan penyimpanan dan akses data.
| Dimensi diagnostik | Item diagnostik | Objek diagnostik | Cara pemeriksaan |
| Pengelolaan izin data detail halus MaxCompute | Pengelolaan izin level kolom MaxCompute Catatan: Model izin MaxCompute V2.0 menyediakan kontrol izin yang lebih detail halus, manajemen proyek terdesentralisasi, dan kemampuan identitas end-to-end yang lebih kuat—memungkinkan konfigurasi keamanan yang sesuai dengan lingkungan aktual Anda. |
Proyek MaxCompute | Mendeteksi proyek MaxCompute yang belum mengaktifkan model izin MaxCompute V2.0. |
| Kontrol unduh data Catatan: Batasi unduhan data langsung melalui MaxCompute Tunnel untuk mencegah kebocoran data yang tidak disengaja dari pengguna yang tidak memerlukan akses tersebut. |
Proyek MaxCompute | Mendeteksi proyek MaxCompute yang belum mengaktifkan model izin MaxCompute V2.0, atau model tersebut sudah diaktifkan tetapi pengelolaan izin unduh dimatikan. Untuk detailnya, lihat Download control. | |
| Mode perlindungan data Catatan: Mekanisme perlindungan data mengontrol cara aliran data keluar dari proyek MaxCompute. |
Proyek MaxCompute | Memeriksa apakah mode perlindungan diaktifkan untuk proyek MaxCompute tertentu atau semua proyek. Untuk detailnya, lihat Project data protection. | |
| Peningkatan keamanan penyimpanan MaxCompute | Enkripsi penyimpanan data Catatan: MaxCompute mendukung enkripsi penyimpanan yang didukung oleh Key Management Service (KMS), memberikan perlindungan data statis untuk memenuhi persyaratan kepatuhan dan keamanan. Untuk detailnya, lihat Storage encryption. |
Proyek MaxCompute | Mendeteksi proyek MaxCompute yang belum mengaktifkan enkripsi penyimpanan. Untuk mengaktifkan enkripsi pada proyek yang sudah ada, kirim tiket. |
| Backup penyimpanan data Catatan: MaxCompute secara otomatis membuat backup versi data historis dan menyimpannya selama periode tertentu. Selama periode tersebut, Anda dapat memulihkan data untuk mengatasi perubahan yang tidak disengaja. Untuk detailnya, lihat Backup and restoration. |
Proyek MaxCompute | Diaktifkan secara default. Sesuaikan periode retensi atau pulihkan data sesuai kebutuhan. Untuk detailnya, lihat Backup and restoration. | |
| Pengelolaan izin data detail halus EMR | Mode akses aman E-MapReduce (EMR) Catatan: Saat kluster EMR didaftarkan ke ruang kerja DataWorks menggunakan mode Security, izin data diisolasi antar Akun Alibaba Cloud dan RAM user. Untuk detailnya, lihat Security mode. |
Ruang kerja DataWorks | Mendeteksi ruang kerja yang mendaftarkan kluster EMR menggunakan mode selain Security mode. |
Data transmission security diagnostics
Item diagnostik dalam kategori ini meningkatkan keamanan data saat transit.
| Dimensi diagnostik | Item diagnostik | Objek diagnostik | Cara pemeriksaan |
| Perlindungan sumber data | Kontrol akses sumber data Catatan: DataWorks memungkinkan Anda membatasi pengguna mana saja yang dapat mengakses setiap sumber data yang dikonfigurasi, mencegah pengguna dengan hak istimewa lebih rendah mengakses data sensitivitas tinggi. |
Sumber data ruang kerja DataWorks | Mendeteksi ruang kerja yang tidak mengelola izin akses pada sumber data yang dikonfigurasi. Untuk detailnya, lihat Manage permissions on data sources. |
| Isolasi sumber data lingkungan produksi dan pengembangan Catatan: Di ruang kerja mode standar, sumber data dapat memiliki konfigurasi terpisah untuk lingkungan pengembangan dan produksi, mencegah aktivitas pengembangan menyentuh data produksi. Untuk detailnya, lihat Isolate a data source in the development and production environments. |
Sumber data ruang kerja DataWorks | Mendeteksi ruang kerja mode standar yang menggunakan konfigurasi sumber data yang sama di kedua lingkungan pengembangan dan produksi. | |
| Mode akses sumber data Catatan: DataWorks mendukung akses berbasis RAM role ke sumber data Object Storage Service (OSS). Mode ini menghindari penyimpanan langsung Pasangan Kunci Akses dan mengurangi risiko kebocoran kredensial. |
Sumber data ruang kerja DataWorks | Mendeteksi ruang kerja yang mengonfigurasi sumber data OSS menggunakan mode AccessKey. Alihkan ke otorisasi berbasis RAM role sebagai gantinya. Untuk detailnya, lihat Use the RAM role-based authorization mode to add a data source. | |
Standardized diagnostics of data production
Item diagnostik dalam kategori ini meningkatkan stabilitas dan keamanan pipeline output data.
| Dimensi diagnostik | Item diagnostik | Objek diagnostik | Cara pemeriksaan |
| Perencanaan ruang kerja yang wajar | Gunakan ruang kerja dalam mode standar untuk produksi data Catatan: Ruang kerja mode standar menerapkan pemisahan pengembangan/produksi, sehingga lebih aman dibandingkan mode dasar untuk alur kerja produksi. Untuk perbandingan, lihat Differences between workspaces in basic mode and workspaces in standard mode. |
Mode ruang kerja DataWorks | Mendeteksi ruang kerja yang berjalan dalam mode dasar di wilayah saat ini. Lakukan peningkatan dengan hati-hati—lihat Upgrade a workspace from basic mode to standard mode. |
| Isolasi mesin komputasi di lingkungan produksi dari mesin komputasi di lingkungan pengembangan Catatan: Dalam mode standar, mesin komputasi dapat memiliki konfigurasi terpisah per lingkungan untuk mencegah pekerjaan pengembangan mengakses sumber daya produksi. |
Sumber data ruang kerja DataWorks | Mendeteksi ruang kerja yang menggunakan konfigurasi sumber data yang sama di kedua lingkungan pengembangan dan produksi. | |
| Tentukan jumlah administrator ruang kerja secara wajar Catatan: Terlalu banyak administrator dalam satu ruang kerja dapat menyebabkan manajemen yang tidak konsisten. Batasi jumlahnya menjadi tiga atau kurang. |
Pengelolaan anggota ruang kerja DataWorks | Mendeteksi ruang kerja yang memiliki lebih dari tiga administrator ruang kerja. | |
| Alokasi role anggota ruang kerja yang wajar Catatan: Tetapkan satu role khusus untuk setiap anggota ruang kerja guna mencegah akses yang tidak disengaja akibat tumpang tindih izin. |
Pengelolaan anggota ruang kerja DataWorks | Mendeteksi ruang kerja yang memiliki anggota dengan beberapa role di wilayah saat ini. Tinjau definisi role sebelum melakukan perubahan—lihat Permissions of built-in workspace-level roles. | |
| Hindari logon berulang oleh RAM user yang juga digunakan sebagai identitas akses penjadwalan Catatan: RAM user yang bertindak sebagai identitas akses penjadwalan untuk mesin komputasi sebaiknya tidak digunakan untuk logon interaktif, karena hal ini mengekspos data mesin komputasi utama terhadap akses yang tidak perlu. |
Pengelolaan ruang kerja DataWorks | Mendeteksi ruang kerja yang memiliki RAM user yang dikonfigurasi sebagai identitas akses penjadwalan namun juga melakukan logon interaktif ke DataWorks dalam tiga bulan terakhir. | |
| Produksi data terstandarisasi | Tinjauan kode Catatan: DataWorks menyediakan fitur code review. Saat tinjauan kode wajib diaktifkan di ruang kerja mode standar, setiap node harus ditinjau dan disetujui sebelum dapat diterapkan ke produksi. |
Pengelolaan ruang kerja DataWorks | Mendeteksi ruang kerja yang belum mengaktifkan fitur tinjauan kode atau belum mengonfigurasi cakupan tinjauan. Untuk detail penyiapan, lihat Code review. |
| Atur personel untuk menerapkan task sesuai kebutuhan bisnis Anda Catatan: Di ruang kerja mode standar, orang yang menerapkan task sebaiknya berbeda dari orang yang mengembangkannya—memisahkan tanggung jawab pengembangan dan penerapan. |
Pengelolaan ruang kerja DataWorks | Mendeteksi task yang dikembangkan dan diterapkan oleh orang yang sama dalam 30 hari terakhir. | |
Platform security configuration diagnostics
Item diagnostik dalam kategori ini meningkatkan keamanan data secara keseluruhan.
| Dimensi diagnostik | Item diagnostik | Objek diagnostik | Cara pemeriksaan |
| Audit operasi DataWorks | Audit operasi DataWorks Catatan: DataWorks mencatat operasi pengguna melalui ActionTrail, dengan penundaan sekitar 5 hingga 10 menit. Untuk detailnya, lihat Use ActionTrail to query behavior events. |
Pengelolaan ruang kerja DataWorks | Diaktifkan secara default untuk ruang kerja DataWorks. Setelah mengaktifkan ActionTrail, log operasi DataWorks akan dicatat secara otomatis. |