データセキュリティガードは、データ検出、マスキング、ウォーターマーキング、アクセス制御、リスク識別、リネージ追跡を提供し、DataWorks 内の機密データを識別して保護するのに役立ちます。
ワークフロー
データセキュリティガードは、準備、アクティブな保護、事後監査の 3 段階のワークフローに従います。
-
ステップ 1:準備
機密データが生成される前に、データ資産を分類および等級付けし、検出ルールを設定します。
操作
説明
参照
データ分類と等級付けの設定
価値、内容の機密度、影響範囲に基づいて、データを機密度レベルに分類します。管理原則と開発要件はレベルによって異なります。
DataWorks は組み込みのテンプレートを提供します。カスタムの分類名と等級付け名を作成することもできます。
機密データ検出ルールの設定
機密列のタイプを定義し、データソースと目的に基づいてルールを設定します。ルールに一致する内容は機密としてマークされます。
サポートされている検出方法:
-
データ内容の検出:組み込みのルール、カスタムモデル、サンプルライブラリ、または正規表現を使用します。
-
メタデータ検出:ワイルドカード、プレフィックス、サフィックス、または包含パターンを使用して、列名とコメントを照合します。
-
組み合わせ検出:AND/OR 演算子で複数の条件を組み合わせます。
その他の設定
-
システム設定:ウォーターマーク追跡期間の設定、分類結果への MaxCompute 列ラベルのタグ付け、検出結果に関するアラート通知を受信するためのメールアドレスと Webhook URL の指定、および未識別の列に対するリアルタイム検出の有効化を行います。
-
ユーザーグループ設定:同一の権限を持つアカウントをグループに一括で追加します。その後、グループを許可リストに追加することで、メンバーがマスキングされていないデータにアクセスできるようになります。
-
-
ステップ 2:アクティブな保護
ルールが有効になると、DataWorks は一致する機密データを自動的に検出します。結果は、以下のデータセキュリティガードモジュールで確認できます。
操作
説明
参照
データマスキング管理
検出された機密データに対してマスキングルールを設定します。マスキングポリシーは機密度レベルによって異なります。
マスキングの種類:
-
動的マスキング:結果ページのクエリ実行時にデータをマスキングします。
-
静的マスキング:データをマスキングし、指定された場所に保存します。
メソッドには、フォーマット保持暗号化、マスキング、ハッシュ化、文字置換、区間変換、丸め処理、および Null化が含まれます。
生データへのアクセスを許可するには、許可リストを設定します。
要件に合ったマスキングの種類とメソッドを選択します。
リスク識別管理
組み込みのリスクルールはただちに有効になります。データ量や頻度などのしきい値比較を使用して、カスタムルールを作成することもできます。有効なルールは、リスクのある操作を自動的に検出し、アラートを送信します。
リスクのモニタリングと対応
検出されたリスクの詳細を表示し、リスクなしまたは対応済みとしてマークします。
-
-
ステップ 3:事後監査と追跡
リスクモニタリングの結果に基づいて、機密データを処理し、セキュリティ管理を実行します。
操作
説明
参照
データ操作監査
データセキュリティガードは、IP アドレス、データベースユーザー、タイムスタンプ、リネージ情報など、すべての機密データ操作をログに記録します。
誤って識別された機密データは手動で修正できます。
データウォーターマーク追跡
漏洩したデータファイルからウォーターマーク情報を抽出し、データ漏洩の発生源を追跡します。
制限事項
エディションの制限
データセキュリティガードには、DataWorks Standard Edition 以上が必要です。DataWorks の有効化方法については、「DataWorks の購入と有効化」をご参照ください。サポートされる機能はエディションによって異なり、「DataWorks のエディションの比較」に記載されています。
権限の制限
データセキュリティガードを有効にできるのは、次のいずれかの権限を持つ Alibaba Cloud アカウントまたは RAM ユーザーのみです:
-
AdministratorAccess または AliyunDataWorksFullAccess ロールを持つ RAM ユーザー。「RAM ユーザーへの権限付与」をご参照ください。
-
テナント管理者とテナントレベルのセキュリティ管理者は、データセキュリティガードのすべての機能を使用できます。
-
ワークスペースレベルのセキュリティ管理者は、割り当てられたワークスペースの機能にのみアクセスできます。「メンバーとロールの管理」を通じて、追加のワークスペース権限を付与します。
機能の使用
EMR、MaxCompute、および Hologres エンジンでは、データ検出と動的マスキングのみがサポートされています。
EMR エンジンの制限:
-
機密データの検出とマスキングは、次の EMR クラスタータイプとストレージタイプのみをサポートします:
説明次の表では、
は機能がサポートされていること、
は機能がサポートされていないことを示します。EMR クラスタータイプ
メタデータストレージタイプ
データストレージタイプ:OSS
データストレージタイプ:OSS-HDFS
データストレージタイプ:HDFS
New DataLake cluster
Data Lake Formation (DLF)



RDS instance



MySQL



Custom cluster
Data Lake Formation (DLF)



RDS instance



MySQL



Other clusters
--
説明この機能は現在、次のリージョンでのみ利用可能です:中国 (杭州)、中国 (上海)、中国東部 2 (金融クラウド)、中国 (北京)、中国北部 2 (金融クラウド)、中国 (張家口)、中国 (ウランチャブ)、中国 (深圳)、中国南部 1 (金融クラウド)、中国 (成都)、中国北部 2 (アリババクラウド政務)、中国 (香港)、米国 (シリコンバレー)、シンガポール、マレーシア (クアラルンプール)、ドイツ (フランクフルト)、インドネシア (ジャカルタ)、サウジアラビア (リヤド - パートナーリージョン)、タイ (バンコク)、および米国 (バージニア)。
-
EMR クラスターでデータセキュリティガードを使用するには、スケジューリング用の専用リソースグループをアップグレードする必要があります。DataWorks の DingTalk グループに参加し、テクニカルサポートに連絡してアップグレードをリクエストできます。
-
データセキュリティガードは、デフォルトでデータサンプリングに Alibaba Cloud アカウントを使用します。クラスターが Ranger または DLF-Auth を使用した LDAP 認証をテーブル権限に使用している場合は、アカウントマッピングを設定し、マッピングされたアカウントが EMR テーブルにアクセスできることを確認してください。「アクセス ID マッピングの設定」をご参照ください。
データセキュリティガードへのアクセス
DataStudioページに移動します。
DataWorks コンソールにログインします。 左側のナビゲーションウィンドウで、 を選択します。 表示されるページで、ドロップダウンリストから目的のワークスペースを選択し、[DataStudioに移動] をクリックします。
左上隅の
アイコンをクリックし、 を選択し、[今すぐ試す] をクリックしてデータセキュリティガードページに移動します。 説明Alibaba Cloudアカウントに必要な権限が付与されている場合、Data Security Guardのホームページに直接アクセスできます。
Alibaba Cloudアカウントに必要な権限が付与されていない場合、Data Security Guardの権限付与ページにリダイレクトされます。 Data Security Guardの機能は、Alibaba Cloudアカウントに必要な権限が付与された場合にのみ使用できます。