Data Security Center (DSC) memindai aset data terhubung Anda untuk mendeteksi informasi sensitif, lalu mengklasifikasikan dan memberi tingkat pada setiap temuan berdasarkan tingkat dan jenis sensitivitasnya. Hal ini memberi Anda visibilitas yang diperlukan untuk menerapkan kontrol akses yang tepat dan memperkuat postur keamanan data Anda.
Prasyarat
Sebelum memulai, pastikan Anda telah:
Mengotorisasi DSC untuk mengakses aset data yang ingin Anda pindai. Untuk informasi selengkapnya, lihat Otorisasi aset.
Memiliki setidaknya satu templat identifikasi yang diaktifkan jika Anda berencana membuat tugas identifikasi kustom. Untuk informasi selengkapnya, lihat Gunakan templat identifikasi.
Jenis tugas
DSC mendukung dua jenis tugas identifikasi. Pilih jenis yang sesuai dengan kebutuhan pemindaian Anda:
| Jenis tugas | Kapan digunakan |
|---|---|
| Tugas default | Dibuat secara otomatis saat Anda mengotorisasi suatu aset. Menggunakan templat identifikasi utama. Cocok untuk pemindaian rutin dan berkelanjutan terhadap semua aset yang diotorisasi. |
| Tugas identifikasi kustom | Buat saat Anda perlu memindai aset tertentu dengan templat non-default, menerapkan beberapa templat, atau memindai data historis Simple Log Service (SLS). |
Tugas default
Saat Anda mengotorisasi suatu aset, DSC secara otomatis membuat tugas default untuk aset tersebut menggunakan templat identifikasi utama.
Identification templates: Tugas bawaan selalu menggunakan templat identifikasi utama yang dikonfigurasi untuk DSC dan tidak dapat diubah per tugas.
Main identification template: Templat global yang dikonfigurasi di DSC, yang dapat berupa templat industri bawaan (misalnya Internet Industry Classification atau Vehicle Internet Classification) atau templat khusus.
Common identification template: Saat templat utama merupakan templat industri bawaan, DSC juga menerapkan templat identifikasi umum berdasarkan standar Spesifikasi Keamanan Informasi Pribadi (GB/T 35273-2020).
Pemicu dan jadwal pemindaian:
Koneksi satu klik (database, Object Storage Service (OSS), SLS):
Jika Anda memilih Scan assets and identify sensitive data now. saat koneksi, tugas default akan langsung dijalankan.
Jika tidak memilih opsi tersebut, picu pemindaian secara manual: buka Classification and Grading > Tasks > Identification Tasks, klik Default Tasks, lalu klik Rescan.
Koneksi akun/password (database): Sistem membuat tugas default saat koneksi. Pemindaian berkala kemudian dijalankan secara otomatis setiap hari mulai hari berikutnya, biasanya pada dini hari.
Interval minimum antara dua pemindaian adalah 24 jam.
Cakupan pemindaian:
Database dan OSS: Pemindaian penuh pada pemindaian pertama; pemindaian berikutnya hanya memindai data baru atau yang dimodifikasi.
SLS: Setiap pemindaian mencakup data dari pukul 00:00 hingga 24:00 pada _hari sebelumnya_ relatif terhadap waktu eksekusi pemindaian. Untuk memindai data historis SLS tertentu, buat tugas identifikasi kustom sebagai gantinya.
Perubahan pada templat identifikasi utama tidak memicu pemindaian langsung. Aturan baru hanya diterapkan pada pemindaian terjadwal berikutnya.
Tugas identifikasi kustom
Buat tugas identifikasi kustom untuk:
Memindai aset tertentu dengan satu atau lebih templat identifikasi yang diaktifkan (alih-alih templat utama).
Memindai data historis SLS dengan menentukan rentang waktu kustom.
Sistem mendukung maksimal 5 tugas identifikasi periodik aktif. Setelah mencapai batas ini, Anda tidak dapat membuat tugas tambahan dengan jadwal periodik.
Jika suatu templat saat ini dinonaktifkan, aktifkan terlebih dahulu sebelum memilihnya untuk tugas kustom. Untuk informasi selengkapnya, lihat Aktifkan templat identifikasi.
Perilaku dan batas pemindaian
Logika pemindaian
| Jenis tugas | Pemindaian pertama | Pemindaian berikutnya |
|---|---|---|
| Tugas default | Pemindaian penuh terhadap semua data yang diotorisasi dalam aset | Hanya memindai objek data baru atau yang dimodifikasi; dipicu secara manual atau sesuai jadwal yang dikonfigurasi |
| Tugas identifikasi kustom | Memindai data dalam cakupan identifikasi yang ditentukan | Hanya memindai objek data baru atau yang dimodifikasi dalam cakupan yang ditentukan |
Objek data yang tidak berubah sejak pemindaian terakhir dilewati.
Tingkat sensitivitas
DSC mengklasifikasikan data sensitif pada skala dari S1 hingga S10, di mana angka yang lebih tinggi menunjukkan sensitivitas yang lebih besar. Jika suatu objek data cocok dengan beberapa aturan identifikasi, tingkat sensitivitas tertinggi yang cocok akan diutamakan. Hasil N/A berarti tidak ada data sensitif yang terdeteksi.
Rentang valid tingkat sensitivitas bergantung pada templat identifikasi terkait. Untuk informasi selengkapnya, lihat Atur tingkat sensitivitas untuk templat identifikasi.
Unit objek yang dipindai
| Jenis aset | Unit objek yang dipindai |
|---|---|
| Database (RDS, PolarDB) | <Instance>/<Database>/<Table> — setiap tabel merupakan satu objek data |
| Data besar (Tablestore, MaxCompute) | <Instance>/<Table> — setiap tabel merupakan satu objek data |
| OSS | <Bucket>/<File> — setiap file merupakan satu objek data |
| SLS | <Project>/<Logstore>/<Time Segment> — data dibagi menjadi segmen 5 menit; setiap segmen merupakan satu objek data |
Batas pengambilan sampel
DSC melakukan pengambilan sampel data untuk menyeimbangkan cakupan deteksi dengan kinerja sistem.
Data terstruktur dan data besar (RDS, PolarDB, Tablestore, MaxCompute):
Secara default, 200 baris pertama setiap tabel diambil sampelnya. Anda dapat meningkatkannya hingga maksimal 1.000 baris per tabel.
Dalam baris yang diambil sampelnya, hanya 10 KB data pertama per bidang yang dipindai.
Data tidak terstruktur (OSS):
File yang lebih besar dari 200 MB dilewati secara default. Anda dapat menaikkan batas ini hingga maksimal 1.000 MB per file.
Untuk file terkompresi atau arsip, hanya 1.000 file anak pertama yang dipindai.
Satu tugas pemindaian memindai maksimal 4 objek secara bersamaan per bucket.
Batas QPS: 100 permintaan API per detik per tugas pemindaian terhadap bucket OSS.
Batas bandwidth: 200 MB/s bandwidth outbound internal per tugas pemindaian.
DSC mendukung lebih dari 800 jenis file OSS, termasuk teks, dokumen office, gambar, file desain, kode, biner, arsip, aplikasi, audio, video, dan file struktur kimia. Untuk daftar lengkapnya, lihat Jenis file OSS yang dapat diidentifikasi.
Data tidak terstruktur (SLS):
File yang lebih besar dari 200 MB dilewati.
Untuk referensi komprehensif mengenai semua batas, lihat Batas.
Kecepatan pemindaian
Perkiraan berikut hanya sebagai referensi. Kecepatan aktual bervariasi tergantung beban sistem dan kompleksitas data.
| Jenis data | Perkiraan kecepatan pemindaian |
|---|---|
| Data terstruktur (RDS, PolarDB) dan data besar (Tablestore, MaxCompute) | ~1.000 kolom per menit untuk database dengan 1.000+ tabel (sampel 200 baris) |
| Data tidak terstruktur (OSS, SLS) | 1 TB membutuhkan waktu 6–48 jam, rata-rata 24 jam, tergantung distribusi jenis file |
Praktik terbaik
| Rekomendasi | Detail |
|---|---|
| Utamakan aset berisiko tinggi | Jika pemindaian semua data sekaligus tidak memungkinkan, mulailah dengan aset yang sering diakses, sering dimodifikasi, atau tunduk pada operasi yang tidak diketahui. |
| Jalankan pemindaian percontohan yang terarah terlebih dahulu | Batasi pemindaian awal Anda pada database atau bucket OSS tertentu untuk memvalidasi dan menyesuaikan aturan identifikasi sebelum peluncuran penuh. Hindari mengaktifkan semua aturan identifikasi secara sembarangan—aturan generik (seperti Date, Time, dan URL) dapat menghasilkan banyak false positive pada dataset besar. Aktifkan hanya aturan yang relevan dengan konteks bisnis Anda. Untuk data terstruktur, pastikan ukuran sampel cukup besar untuk menangkap data representatif. |
| Selaraskan jadwal pemindaian dengan frekuensi pembaruan data | Konfigurasikan tugas agar dijalankan harian, mingguan, atau bulanan berdasarkan seberapa sering data Anda berubah. Pemindaian rutin memastikan deteksi tepat waktu terhadap data sensitif baru. Jadwalkan pemindaian selama jam sepi untuk meminimalkan dampak kinerja. |
Manage default identification tasks
Tugas default memberikan visibilitas berkelanjutan terhadap data sensitif di semua aset yang diotorisasi. Anda dapat melihat, mengonfigurasi, menjeda, menghentikan, dan mengaktifkan kembali tugas tersebut, tetapi tidak dapat menghapusnya.
Lihat tugas default
Login ke Konsol Data Security Center.
Di panel navigasi kiri, buka Classification and Grading > Tasks.
Di halaman Tasks, klik tab Identification Tasks, lalu klik Default Tasks.
Di halaman Discovery Task Monitoring, lihat daftar tugas default.
Dari halaman ini, Anda dapat melakukan operasi berikut:
| Operasi | Deskripsi |
|---|---|
| Rescan | Memicu pemindaian penuh langsung untuk memperbarui hasil. Gunakan ini setelah memperbarui templat identifikasi utama, meningkatkan model identifikasi, atau saat terjadi perubahan data signifikan. |
| Pause | Sementara menghentikan tugas default yang sedang berjalan—misalnya, jika Anda mendeteksi masalah kinerja database. |
| Terminate | Menghentikan eksekusi tugas saat ini dan mencegah tugas default dijalankan pada siklus mendatang. |
| Enable | Mengaktifkan kembali tugas yang dihentikan. |
Tugas default tidak dapat dihapus.
Konfigurasikan pengaturan pemindaian
Sesuaikan jadwal untuk tugas default. Selaraskan siklus pemindaian dengan frekuensi pembaruan data Anda (minimum: harian).
Di halaman Discovery Task Monitoring, pilih kotak centang tugas yang ingin Anda konfigurasi, lalu klik Scan Settings di atas daftar tugas.
Di kotak dialog Scan Settings, konfigurasikan siklus pemindaian dan waktu mulai pemindaian otomatis, lalu klik OK.
Tetapkan waktu mulai pada jam sepi untuk meminimalkan dampak terhadap database.
Monitor penggunaan CPU dan memori selama pemindaian. Jika terjadi anomali, segera jeda atau hentikan tugas tersebut.
Buat tugas identifikasi kustom
Tugas identifikasi kustom memungkinkan Anda memindai aset tertentu dengan jadwal non-default atau menggunakan templat khusus.
Sistem mendukung maksimal 5 tugas identifikasi periodik aktif. Setelah mencapai batas ini, Anda tidak dapat membuat tugas periodik tambahan.
Buat tugas identifikasi kustom
Sebelum memulai, pastikan templat identifikasi yang ingin Anda gunakan telah diaktifkan. Untuk informasi selengkapnya, lihat Gunakan templat identifikasi.
Di panel navigasi kiri, buka Classification and Grading > Tasks.
Di tab Identification Tasks, pilih Asset Type untuk tugas yang ingin Anda buat, lalu klik Create.
Di panel Create, konfigurasikan parameter yang dijelaskan di bawah ini, lalu klik OK.
Informasi dasar:
| Parameter | Deskripsi |
|---|---|
| Asset Type | Menampilkan jenis aset yang dipilih pada langkah sebelumnya. Tidak dapat diubah. |
| Task Name | Masukkan nama untuk tugas tersebut. |
| Task notes | (Opsional) Masukkan catatan untuk tugas tersebut. |
Tugas dan rencana:
Pilih waktu mulai tugas:
Immediate Scan: Menjalankan tugas segera setelah dibuat.
Periodic Scan: Menjalankan tugas sesuai frekuensi terjadwal. Konfigurasikan Scan Frequency dan Scan Time (Structured Data Only). Untuk juga memicu eksekusi langsung bersamaan dengan jadwal, pilih Scan Once Now.
Pengaturan Scan Time hanya berlaku untuk aset data terstruktur. Pemindaian data tidak terstruktur dijalankan sesuai ketersediaan sumber daya sistem.
Identification Template: Pilih hingga dua templat identifikasi yang diaktifkan untuk tugas ini. Untuk detail tentang mengaktifkan templat, lihat Gunakan templat identifikasi.
Cakupan identifikasi:
Untuk data terstruktur (RDS, PolarDB):
| Parameter | Deskripsi |
|---|---|
| Identification Scope of Structured Data | Global Scan: Memindai semua aset terstruktur yang diotorisasi. Specify Scan Scope: Pilih instance dan database tertentu. Klik Add Identification Scope untuk menambahkan beberapa instance. |
| Scan Limit | Jumlah baris yang diambil sampelnya per tabel. Default: 200 baris. Maksimum: 1.000 baris. |
Untuk data tidak terstruktur (OSS):
| Parameter | Deskripsi |
|---|---|
| Object | Global Scan: Memindai semua bucket OSS yang diotorisasi. Specify Scan Scope: Pilih bucket tertentu, dengan filter opsional (Prefix, Directory, Suffix) untuk menyertakan atau mengecualikan file tertentu. |
| Sampling Method | Mengambil data menggunakan API ListObjects. Global Scan: Memindai semua data. Custom Depth: Memindai berdasarkan rasio pengambilan sampel (Sampling Rate). Misalnya, laju 1/10 memindai file ke-1, melewati 9, lalu memindai file ke-11. |
| Scan Depth | Global Scan: Memindai seluruh path direktori. Specify Scan Scope: Membatasi kedalaman hingga level 1–10. Misalnya, memasukkan "5" hanya memindai 5 level direktori teratas. |
| Scan Limit | Ukuran file maksimum yang dipindai. Default: 200 MB. Maksimum: 1.000 MB. Data yang melebihi batas dilewati. |
| Synchronize All Identification Results to SLS | Pilih untuk mengirim log pemindaian lengkap ke Simple Log Service. |
Untuk data tidak terstruktur (SLS):
| Parameter | Deskripsi |
|---|---|
| Asset Scope | Global Scan: Memindai semua Project SLS yang diotorisasi. Specify Scan Scope: Pilih Project dan Logstore tertentu. |
| Time Range | 15 Menit Terakhir, 1 Jam Terakhir, Kemarin, 1 Hari Terakhir, 7 Hari Terakhir, atau 30 Hari Terakhir. Custom: Tentukan rentang kustom dalam menit (ukuran langkah: 5 menit). |
Other settings:
| Parameter | Deskripsi |
|---|---|
| Tagging Result Overwriting | Skip Manual Tagging Result: Mempertahankan koreksi manual Anda. Overwrite Manual Tagging Result: Mengganti koreksi manual dengan hasil pemindaian baru. |
Ubah atau hapus tugas identifikasi kustom
Edit: Mengonfigurasi ulang tugas identifikasi kustom. Semua parameter dapat diubah.
> Delete (melalui menu tindakan lainnya
): Menghapus tugas identifikasi kustom yang tidak diperlukan.
Manage task operations
Rescan tugas
Picu pemindaian ulang saat model identifikasi ditingkatkan atau terjadi perubahan data signifikan. Pemindaian ulang memicu pemindaian penuh langsung terhadap aset yang ditentukan.
Rescan tidak didukung untuk tugas kustom dengan Scan Type yang diatur ke Immediate Scan. Sebelum melakukan pemindaian ulang, pastikan templat identifikasi terkait telah diaktifkan. Jalankan operasi ini selama jam sepi untuk meminimalkan dampak kinerja.
Di tab Identification Tasks, picu pemindaian ulang:
Tugas identifikasi kustom: Di daftar tugas, klik Rescan di kolom Actions.
Tugas default: Klik Default Tasks, temukan aset target, lalu klik Rescan di kolom Actions.
Lacak progres di kolom Scan Status.
Jeda atau hentikan tugas
Pause: Sementara menghentikan tugas yang sedang berjalan. Berguna saat terjadi anomali layanan. Klik Pause di kolom Actions.
Terminate: Menghentikan tugas saat ini dan mencegah semua eksekusi mendatang untuk tugas tersebut (berlaku untuk tugas identifikasi kustom maupun tugas default).
Hasil identifikasi yang benar
Jika DSC salah mengidentifikasi data (false positive) atau melewatkan data sensitif (false negative), Anda dapat mengoreksi hasilnya secara manual. Koreksi ini membantu sistem meningkatkan akurasinya seiring waktu.
Di halaman Tasks, klik tab Revision Tasks.
Di panel navigasi kiri, klik jenis aset yang ingin Anda kelola.
Klik Revision atau Resume di kolom Actions untuk data sensitif target. Ikuti petunjuk di layar untuk mengubah Revised Model, lalu klik OK.
Setelah dipulihkan, model identifikasi sebelumnya akan diberlakukan kembali.
Lihat dan ekspor hasil
Hasil pemindaian terbaru dari templat identifikasi utama tersedia di halaman Data Classification > Asset Insight. Untuk informasi selengkapnya, lihat Lihat hasil identifikasi data sensitif.
Untuk mengunduh hasil, buat tugas ekspor dengan menentukan templat identifikasi target dan aset data.
Hasil ekspor hanya tersedia untuk aset dan templat yang telah menyelesaikan tugas identifikasi dengan sukses.
Buat tugas ekspor
Di halaman Tasks, klik tab Export Tasks.
Klik Create.
Konfigurasikan tugas ekspor:
Di bagian Basic Information, masukkan nama tugas dan pilih templat identifikasi yang digunakan oleh tugas identifikasi. Hanya templat identifikasi yang diaktifkan yang dapat dipilih.
Di bagian Export Dimension, pilih Asset Type atau Asset Instance:
Asset Type: Pilih jenis aset yang akan diekspor.
Asset Instance: Pilih instance aset tertentu yang akan diekspor.
Klik OK.
Setelah membuat tugas ekspor, statusnya muncul di daftar tugas ekspor. Dataset yang lebih besar membutuhkan waktu lebih lama untuk diekspor.
Unduh hasil yang diekspor
Tunggu hingga Export Status berubah menjadi Finished.
Klik Download di kolom Actions untuk tugas ekspor target.
Unduh data yang diekspor dalam waktu tiga hari setelah selesai. Setelah tiga hari, tugas kedaluwarsa dan data yang diekspor tidak lagi tersedia.
Apa yang selanjutnya
Lihat dan konfigurasikan templat identifikasi — Siapkan aturan dan templat identifikasi yang digunakan oleh tugas identifikasi.
Jenis aset data yang didukung — Lihat jenis aset yang dapat dipindai DSC untuk data sensitif.
Pemindaian dan identifikasi data — Pecahkan masalah umum dengan tugas identifikasi.