Data Security Center (DSC) menyediakan kemampuan penemuan dan klasifikasi data yang andal. Dengan mengelola Identification Tasks, DSC memindai aset data terhubung Anda untuk mendeteksi informasi sensitif, lalu mengklasifikasikan dan memberi tingkat sensitivitas berdasarkan jenis serta tingkat sensitivitasnya. Visibilitas ini memungkinkan Anda menerapkan kontrol akses yang tepat dan meningkatkan postur keamanan data secara keseluruhan. Topik ini menjelaskan cara mengonfigurasi dan mengelola tugas identifikasi untuk mengidentifikasi data sensitif.
Prasyarat
Anda harus memberikan otorisasi kepada DSC untuk mengakses aset data yang ingin dipindai. Untuk informasi selengkapnya, lihat otorisasi aset.
Ikhtisar tugas identifikasi
Tugas identifikasi memindai data di aset terhubung menggunakan aturan identifikasi tertentu (yang ditentukan dalam Identification Templates). Tugas ini menghasilkan hasil pemindaian dan secara otomatis memberi tag pada data sensitif yang teridentifikasi. Untuk detail tentang templat, lihat Lihat dan konfigurasikan identification templates.
Jenis tugas
DSC mendukung dua jenis tugas identifikasi: default tasks dan custom identification tasks.
Default tasks
Saat Anda memberikan otorisasi pada suatu aset, DSC secara otomatis membuat tugas pemindaian untuk instans aset tersebut menggunakan main identification templates. Tugas-tugas ini disebut sebagai default tasks.
Tabel berikut menjelaskan logika dan perilaku default tasks.
Pengaturan | Deskripsi |
Identification template | Default tasks selalu menggunakan main identification template yang dikonfigurasi untuk DSC. Pengaturan ini tidak dapat diubah untuk masing-masing tugas.
|
Trigger dan siklus pemindaian (default) |
Catatan: Interval minimum antara dua pemindaian adalah 24 jam. |
Scan scope | Untuk semua aset yang telah diberi otorisasi, cakupan pemindaian diterapkan sebagai berikut:
Perubahan pada main identification template tidak memicu pemindaian segera. Aturan baru hanya berlaku pada pemindaian terjadwal berikutnya. |
Custom identification tasks
Buat custom identification task ketika Anda perlu memindai aset data tertentu dengan menggunakan satu atau beberapa identification templates yang diaktifkan. Jika suatu templat saat ini dinonaktifkan, Anda harus mengaktifkannya terlebih dahulu sebelum dapat dipilih untuk tugas kustom. Untuk informasi selengkapnya, lihat Aktifkan identification template.
Mekanisme dan batasan pemindaian
Batasan
Untuk menyeimbangkan cakupan deteksi dengan kinerja sistem, DSC menerapkan aturan dan batasan pengambilan sampel tertentu.
Data terstruktur/Data besar (RDS, PolarDB, Tablestore, MaxCompute): Secara default, 200 baris pertama dari suatu tabel diambil sebagai sampel. Anda dapat meningkatkan batas ini secara manual hingga maksimum 1.000 baris. Dalam baris yang diambil sebagai sampel, hanya 10 KB data pertama per bidang yang dipindai.
Data tidak terstruktur (OSS atau Simple Log Service):
File yang lebih besar dari 200 MB dilewati. File sebesar 200 MB atau lebih kecil dipindai.
Data yang disimpan di OSS:
Untuk file terkompresi atau arsip, hanya 1.000 file anak pertama yang dipindai.
Saat memindai satu bucket OSS, maksimal 4 objek dipindai secara bersamaan.
Batas QPS: Satu tugas pemindaian dibatasi hingga 100 permintaan API per detik terhadap bucket OSS.
Batas bandwidth: Satu tugas pemindaian dibatasi hingga 200 MB/dtk bandwidth keluar internal dari bucket OSS.
DSC mendukung pemindaian lebih dari 800 jenis file OSS, termasuk teks, dokumen office, citra, file desain, kode, biner, arsip, aplikasi, audio, video, dan file struktur kimia. Untuk informasi selengkapnya, lihat Jenis file OSS yang dapat diidentifikasi.
Untuk detail lengkap mengenai batasan tugas identifikasi, lihat Batasan.
Objek yang dipindai
Aset database:
<Instance>/<Database>/<Table>. Setiap tabel merepresentasikan satu objek data.Data besar:
<Instance>/<Table>. Setiap tabel merepresentasikan satu objek data.Aset OSS:
<Bucket>/<File>. Setiap file merepresentasikan satu objek data.Aset Simple Log Service:
<Project>/<Logstore>/<Time Segment>. Data diproses dalam segmen 5 menit. Setiap segmen 5 menit merepresentasikan satu objek data.
Kecepatan pemindaian
Perkiraan berikut hanya disediakan sebagai referensi. Kecepatan pemindaian aktual dapat bervariasi tergantung beban sistem dan kompleksitas data.
Data terstruktur (RDS, PolarDB, Tablestore, MaxCompute): Untuk database besar yang berisi lebih dari 1.000 tabel, laju pemindaian sekitar 1.000 kolom per menit.
Data tidak terstruktur (OSS, SLS): Memindai 1 TB data biasanya memakan waktu antara 6 hingga 48 jam, rata-rata 24 jam. Durasi aktual tergantung pada distribusi jenis file dalam dataset tersebut.
Logika pemindaian
Jenis tugas | Pemindaian pertama | Pemindaian ulang |
Default task | Menjalankan pemindaian penuh terhadap semua data yang diotorisasi dalam aset. | Memindai objek data yang baru atau dimodifikasi. Anda dapat memicu pemindaian secara manual atau mengonfigurasi siklus pemindaian otomatis. |
Custom identification task | Memindai data sesuai dengan cakupan identifikasi yang ditentukan. | Hanya memindai objek data yang baru atau dimodifikasi dalam cakupan yang ditentukan. |
Objek data yang tidak berubah sejak pemindaian terakhir akan dilewati.
Hasil pemindaian
Tingkat sensitivitas ditentukan oleh aturan identifikasi yang cocok dalam templat tugas. Jika suatu objek data cocok dengan beberapa aturan, tingkat sensitivitas tertinggi yang berlaku. DSC mengklasifikasikan data sensitif pada skala dari S1 hingga S10, di mana angka yang lebih tinggi menunjukkan tingkat sensitivitas yang lebih tinggi. Hasil N/A menunjukkan bahwa tidak ada data sensitif yang terdeteksi.
Rentang valid tingkat sensitivitas tergantung pada konfigurasi identification template terkait. Untuk informasi selengkapnya, lihat Atur tingkat sensitivitas untuk identification template.
Rekomendasi
Rekomendasi | Deskripsi |
Konfirmasi cakupan dan prioritas pemindaian | Berikan prioritas pada aset berisiko tinggi. Jika Anda tidak dapat segera memindai semua data karena volumenya, evaluasi aset Anda terlebih dahulu. Berikan prioritas pada pemindaian data yang memiliki profil risiko lebih tinggi, seperti aset yang sering diakses, dimodifikasi, atau menjadi subjek operasi yang tidak diketahui. |
Tentukan cakupan pemindaian pertama | Lakukan pemindaian percontohan yang terarah. Batasi pemindaian awal Anda pada database atau bucket OSS tertentu. Hal ini memungkinkan Anda memvalidasi dan menyesuaikan aturan identifikasi sebelum peluncuran skala penuh. Optimalkan aturan identifikasi. Jangan mengaktifkan semua fitur identifikasi secara sembarangan. Aturan generik (misalnya, Date, Time, URL) dapat menghasilkan positif palsu berlebihan dalam dataset besar. Aktifkan hanya aturan spesifik yang relevan dengan konteks bisnis Anda. Pastikan pengambilan sampel yang cukup. Untuk data terstruktur, pastikan ukuran sampel cukup besar untuk menangkap data representatif; jika tidak, informasi sensitif mungkin terlewatkan. |
Tentukan waktu mulai tugas | Sejajarkan jadwal dengan pembaruan data. Konfigurasikan tugas agar berjalan secara otomatis (harian, mingguan, atau bulanan) berdasarkan frekuensi pembaruan data Anda. Pemindaian rutin memastikan deteksi tepat waktu terhadap data sensitif baru dan membantu mengidentifikasi tren atau anomali dalam postur keamanan Anda. Kami menyarankan menjadwalkan pemindaian selama jam sepi untuk meminimalkan dampak terhadap kinerja. |
Kelola default identification tasks
Lihat default tasks
Masuk ke Konsol Data Security Center.
Di panel navigasi sebelah kiri, pilih .
Pada halaman Tasks, klik tab Identification Tasks, lalu klik Default Tasks.
Pada halaman Discovery Task Monitoring, lihat daftar default tasks.
Anda dapat melakukan operasi berikut pada default identification task:
Rescan: Memicu pemindaian manual segera. Gunakan ini jika Anda telah memperbarui main identification template, meningkatkan model identifikasi, atau terjadi perubahan data signifikan.
Pause: Menghentikan sementara tugas yang sedang berjalan (misalnya, jika Anda mendeteksi masalah kinerja database).
Terminate: Menonaktifkan jadwal untuk default tasks di masa depan. Tindakan ini tidak mengganggu pemindaian yang sedang berlangsung. Tindakan ini hanya mencegah tugas dipicu pada siklus berikutnya.
Enable: Mengaktifkan kembali tugas yang telah dihentikan.
CatatanDefault tasks tidak dapat dihapus.
Konfigurasikan pengaturan pemindaian
Anda dapat menyesuaikan jadwal untuk default tasks. Kami menyarankan menyelaraskan siklus pemindaian dengan frekuensi pembaruan data Anda (minimum: Harian).
Pada halaman Discovery Task Monitoring, pilih kotak centang tugas yang ingin dikonfigurasi siklus pemindaiannya, lalu klik Scan Settings di atas daftar tugas.
Pada kotak dialog Scan Settings, konfigurasikan siklus pemindaian dan waktu mulai pemindaian otomatis, lalu klik OK.
PentingAtur waktu mulai pada jam sepi untuk meminimalkan dampak terhadap database.
Pantau penggunaan CPU/Memori selama pemindaian. Jika terjadi anomali, segera hentikan atau hentikan tugas tersebut.
Buat custom identification tasks
Buat tugas kustom ketika Anda perlu memindai aset tertentu menggunakan identification template tertentu (bukan main template), atau untuk memindai data SLS historis.
Sistem mendukung maksimal 5 active identification tasks (tugas dengan jadwal berkala). Setelah mencapai batas ini, Anda tidak dapat membuat tugas berkala tambahan.
Buat custom identification task
Di panel navigasi sebelah kiri, pilih .
Pada tab Identification Tasks, pilih Asset Type untuk tugas identifikasi yang ingin dibuat, lalu klik Create.
Pada panel Create, konfigurasikan parameter dan klik OK.
Kategori
Parameter
Deskripsi
Basic Information
Asset Type
Menampilkan jenis aset yang dipilih pada langkah sebelumnya. Tidak dapat diubah.
Task Name
Masukkan nama tugas.
Task notes
Masukkan catatan tugas.
Task and Plan
Pilih waktu mulai tugas. Nilai yang valid:
Immediate Scan: Menjalankan tugas segera setelah dibuat.
Periodic Scan: Menjalankan tugas sesuai frekuensi terjadwal. Anda harus mengonfigurasi Scan Frequency dan Scan Time (Structured Data Only). Untuk memicu eksekusi segera bersamaan dengan jadwal, pilih Scan Once Now.
CatatanPengaturan Scan Time hanya berlaku untuk aset data terstruktur. Pemindaian data tidak terstruktur dijalankan sesuai ketersediaan sumber daya sistem.
Identification Template
Pilih hingga dua identification templates yang diaktifkan untuk diterapkan pada pemindaian ini. Untuk detail tentang mengaktifkan templat, lihat Gunakan identification templates.
Identification Scope
Identification Scope of Structured Data
Pilih cakupan untuk aset terstruktur (misalnya, RDS, PolarDB):
Global Scan: Memindai semua aset terstruktur yang diotorisasi.
Specify Scan Scope: Memungkinkan pemilihan granular instans dan database tertentu.
Instance Name dan Database name: Untuk menambahkan beberapa instans, klik Add Identification Scope.
Scan Limit: Menentukan jumlah baris yang diambil sebagai sampel per tabel. Default-nya adalah 200 baris pertama. Nilai maksimum adalah 1.000 baris.
Unstructured Data OSS Identification Scope
Pilih Object, Sampling Method, Scan Depth, dan Scan Limit untuk data tidak terstruktur (OSS).
Nilai yang valid untuk Object:
Global Scan: Memindai semua bucket OSS yang diotorisasi.
Specify Scan Scope: Pilih bucket tertentu. Anda dapat menerapkan filter (Prefix, Directory, Suffix) untuk menyertakan atau mengecualikan file tertentu.
Setelah menentukan objek yang akan dipindai, Anda dapat mengonfigurasi filter untuk pemindaian yang lebih rinci. Anda dapat mengatur Prefix, Directory, dan Suffix untuk menyertakan atau mengecualikan nilai tertentu guna memfilter cakupan pemindaian.
Sampling Method: Mengambil data dari OSS menggunakan API
ListObjectsdan memindai data berdasarkan konfigurasi.Global Scan: Memindai semua data.
Custom Depth: Sampling Rate. Memindai data berdasarkan rasio pengambilan sampel.
CatatanMisalnya, jika Anda mengatur Sampling Rate menjadi 1/10, sistem akan memindai file ke-1, melewati 9 file, lalu memindai file ke-11.
Nilai yang valid untuk Scan Depth:
Global Scan: Memindai seluruh path direktori.
Specify Scan Scope: Membatasi kedalaman direktori (Level 1–10). Misalnya, "5" hanya memindai 5 level direktori teratas.
Scan Limit: Membatasi ukuran yang dipindai per file. Default: 200 MB. Maks: 1.000 MB. Data yang melebihi batas akan dilewati.
Synchronize All Identification Results to SLS: Pilih opsi ini untuk mengirim log lengkap ke Simple Log Service.
Unstructured Data SLS Identification Scope
Atur Asset Scope dan Time Range untuk SLS.
Nilai yang valid untuk Asset Scope:
Global Scan: Memindai semua Project SLS yang diotorisasi.
Specify Scan Scope: Pilih Project dan Logstore tertentu.
Nilai yang valid untuk Time Range:
Last 15 Minutes, Last 1 hour, Yesterday, Last 1 Day, Last 7 Days, atau Last 30 Days.
Custom: Satuan rentang waktu adalah menit, dan ukuran langkahnya adalah 5 menit.
Other Settings
Tagging Result Overwriting
Menentukan cara menangani konflik dengan data yang sebelumnya telah dikoreksi secara manual:
Skip Manual Tagging Result: Mempertahankan koreksi manual Anda. Sistem tidak akan menimpa koreksi tersebut.
Overwrite Manual Tagging Result: Mengganti koreksi manual dengan hasil pemindaian sistem terbaru.
Ubah atau hapus custom identification task
Edit: Mengonfigurasi ulang custom identification task. Anda dapat mengubah semua parameter.
> Delete: Menghapus custom identification tasks yang tidak diperlukan.
Kelola operasi tugas
Rescan tugas
Jika model identifikasi ditingkatkan atau data database Anda berubah, Anda dapat melakukan rescan untuk segera memperbarui hasilnya. Operasi Rescan memicu pemindaian penuh segera terhadap aset yang ditentukan. Lakukan operasi ini selama jam sepi untuk meminimalkan dampak terhadap kinerja sistem.
Sebelum melakukan Rescan, pastikan identification templates terkait telah diaktifkan.
Operasi Rescan tidak didukung untuk tugas kustom dengan Scan Type yang diatur ke Immediate Scan.
Pada tab Identification Tasks, lakukan operasi rescan:
Rescan custom identification task: Di daftar tugas, klik Rescan di kolom Actions pada custom identification task.
Rescan default task: Klik Default Tasks, temukan aset target, lalu klik Rescan di kolom Actions.
Anda dapat melihat progres pemindaian di kolom Scan Status pada tugas identifikasi.
Pause atau Terminate tugas
Pause: Menghentikan sementara tugas yang sedang berjalan. Berguna saat terjadi anomali layanan. Klik Pause di kolom Actions pada custom identification task.
Terminate: Menghentikan eksekusi tugas identifikasi saat ini dan berikutnya (custom identification tasks dan default tasks).
Koreksi hasil identifikasi
Jika DSC salah mengidentifikasi data (positif palsu) atau melewatkan data (negatif palsu), Anda dapat mengoreksi hasilnya secara manual. "Koreksi manual" ini mengajarkan sistem agar lebih akurat.
Pada halaman Tasks, klik tab Revision Tasks.
Di panel navigasi sebelah kiri, klik jenis aset yang ingin dikelola.
Klik Revision atau Resume di kolom Actions pada data sensitif target. Ikuti petunjuk di halaman untuk mengubah Revised Model, lalu klik OK.
Setelah Anda melakukan operasi pemulihan, model identifikasi sebelumnya dipulihkan.
Lihat dan ekspor hasil
Hasil pemindaian terbaru yang dihasilkan oleh main identification template terlihat di halaman . Untuk informasi selengkapnya, lihat Lihat hasil identifikasi data sensitif.
Buat tugas ekspor untuk mengunduh hasil identifikasi data sensitif yang terdeteksi. Tentukan identification template target dan aset data untuk menghasilkan serta mengunduh laporan.
Anda hanya dapat mengekspor hasil untuk aset dan templat yang telah menyelesaikan tugas identifikasi dengan sukses.
Buat tugas ekspor
Ikuti prosedur ini untuk membuat tugas ekspor dan mengunduh hasilnya:
Pada halaman Tasks, klik tab Export Tasks.
Pada tab Export Tasks, klik Create.
Konfigurasikan tugas ekspor dan klik OK.
Pada bagian Basic Information, masukkan nama tugas dan pilih identification template yang digunakan oleh tugas identifikasi.
Anda hanya dapat memilih identification template yang diaktifkan.
Pada bagian Export Dimension, pilih Asset Type atau Asset Instance.
Asset Type: Pilih jenis aset yang ingin diekspor.
Asset Instance: Pilih instans aset yang ingin diekspor.
Setelah membuat tugas ekspor, statusnya akan ditampilkan di daftar tugas ekspor. Semakin besar volume data, semakin lama periode ekspornya.
Unduh hasil yang diekspor
Setelah Export Status berubah menjadi Finished, klik Download di kolom Actions pada tugas ekspor target.
Setelah ekspor selesai, unduh data yang diekspor dalam waktu tiga hari. Setelah tiga hari, tugas kedaluwarsa dan Anda tidak dapat lagi mengunduh data sensitif yang diekspor.
Referensi
Lihat dan konfigurasikan identification templates - Menjelaskan identification templates yang digunakan dalam tugas identifikasi dan jenis data sensitif yang dapat diidentifikasi.
Jenis aset data yang didukung - Menyebutkan jenis aset data tempat DSC dapat mengidentifikasi data sensitif.
Pemindaian dan identifikasi data - Memberikan masalah umum dan panduan troubleshooting untuk tugas identifikasi.
FAQ
Apakah pemindaian data berdampak pada kinerja database saya?
Bagaimana mekanisme pemindaian bekerja untuk data tidak terstruktur (OSS/SLS)?
Bagaimana penagihan pemindaian untuk data tidak terstruktur (OSS/SLS)?
Dapatkah saya memindai ulang file OSS yang sebelumnya telah dipindai?
Bagaimana mekanisme pemindaian bekerja untuk data besar (misalnya, MaxCompute)?
Apakah DSC memerlukan akses login ke database untuk mengambil data?
Dapatkah DSC mengidentifikasi data sensitif dalam aset terenkripsi?
Apakah pemindaian full table scan MongoDB berdampak pada I/O atau layanan online?
Dapatkah DSC mengidentifikasi data sensitif dalam file terkompresi atau teks di dalam OSS?
Apakah hasil pemindaian MongoDB mengidentifikasi bidang tertentu?
Apakah kueri API untuk data sensitif mencakup metadata (Instance/DB/Table) dan tingkat risiko?
Mengapa saya tidak dapat memilih common identification template?
Mengapa tugas identifikasi saya terjebak dalam status Waiting (Edisi Gratis)?