Security Center では、管理者はリスク識別機能を拡張機能として DataWorks に登録し、拡張機能をリスク識別ルールとして使用して、ユーザー操作のリスクを識別できます。ユーザーが DataWorks サービスでリスク識別ルールが定義されている操作を実行すると、リスク識別ルールがトリガーされ、操作にリスクがあるかどうかが判断されます。操作にリスクがある場合、構成されたレスポンスポリシーに基づいてレスポンスが作成されます。関連する拡張機能が「失敗」または「警告」を返した場合、操作はリスクがあると判断されます。このトピックでは、リスク識別ルールと、識別されたリスクのある操作への対応方法について説明します。
背景情報
Security Center は、拡張機能に基づいてリスクの識別と対応機能を提供します。DataWorks が提供するデフォルトの拡張機能を直接使用して、高リスク操作を管理できます。また、DataWorks Open Platform を使用して拡張機能をリスク識別ルールとして開発およびデプロイし、より複雑なシナリオのリスクを識別することもできます。これにより、内部リスク管理プラットフォームの機能が DataWorks に拡張されます。
制限事項
拡張ポイントタイプが [データダウンロード (ファイル生成) の前処理イベント] で、ステータスが [公開済み] の拡張機能に対してのみ、リスク対応を構成できます。拡張機能でサポートされている拡張ポイントイベントのリストと拡張機能の状態については、拡張機能 と 拡張機能の公開と管理 を参照してください。
リスク対応ポリシーは、[承認] または [ブロック] にのみ設定できます。
AliyunDataWorksFullAccess ポリシーがアタッチされている RAM ユーザーと、テナント管理者またはテナントセキュリティ管理者ロールが割り当てられているワークスペースメンバーのみが、リスク識別ルールを作成および管理できます。詳細については、「RAM ユーザーの権限を表示する」および「RAM ユーザーに権限を付与する」をご参照ください。
サポートされている操作イベント
データダウンロード (ファイル生成) の前処理イベント
データアップロードの前処理イベント
リスク識別ルールページに移動する
Security Center ページに移動します。
DataWorks コンソール にログオンします。上部のナビゲーションバーで、目的のリージョンを選択します。左側のナビゲーションペインで、 を選択します。表示されるページで、[security Center に移動] をクリックします。
左側のナビゲーションペインで、 を選択します。
リスク識別ルールを構成する
リスク識別ルールページでは、特定タイプのイベントを処理するために使用されるすべての拡張機能が、「拡張機能名」列の関連操作名の下に表示されます。「拡張機能名」列には、特定タイプのイベントを処理するために Security Center によって提供されるデフォルトの拡張機能が表示されます。デフォルトの拡張機能がビジネス要件を満たしていない場合は、リスク管理要件に基づいて拡張機能を開発し、DataWorks コンソールの [拡張機能] ページで DataWorks に登録できます。拡張機能が Security Center のリスク識別ルールでサポートされているイベントを処理するように開発されている場合、つまり拡張ポイントイベントのタイプが [データダウンロード (ファイル生成) の前処理イベント] である場合、開発された拡張機能はリスク識別ルールとして Security Center に自動的に追加されます。
デフォルトのリスク識別ルールの説明
Security Center でサポートされている [データダウンロード (ファイル生成) の前処理イベント] を例として使用します。[リクエスト処理をトリガーする] ために使用されるデフォルトの拡張機能が Security Center で有効になっている場合、リスク対応ポリシー [承認] がすべてのワークスペースのデータダウンロード操作に適用されます。
Security Center のデフォルトの拡張機能は、すべてのワークスペースで有効になるリクエスト処理ポリシーのみをサポートしています。これは、デフォルトの拡張機能に構成するリクエスト処理ポリシーの有効範囲として [グローバル] を選択する必要があることを示しています。詳細については、「リクエスト処理ポリシーを作成する」をご参照ください。
カスタムリスク識別ルールを開発する
[拡張機能の作成] をクリックします。Open Platform の [拡張機能] ページが表示されます。
Open Platform の [拡張機能] ページで拡張機能を開発します。詳細については、「拡張機能」をご参照ください。
オンプレミス マシンに既存のリスク識別ロジックを DataWorks Security Center のリスク識別ルールとして登録できます。また、実際のシナリオに基づいてオンプレミス マシンでリスク識別ロジックを開発し、リスク識別ロジックを DataWorks 拡張機能として登録することもできます。
説明拡張ポイントタイプが [データダウンロード (ファイル生成) の前処理イベント] の拡張機能のみが、Security Center のリスク識別ルールとして自動的に追加されます。これは、拡張機能を登録する ときに、拡張ポイントタイプに [データダウンロード (ファイル生成) の前処理イベント] を選択する必要があることを示しています。
リスク対応を構成する
目的の拡張機能を見つけ、[操作] 列の [レスポンスの構成] をクリックします。
リスク対応を構成します。
ブロックと承認の 2 種類のレスポンスポリシーがサポートされています:
ブロック: カスタム拡張機能が「不合格」を返した場合、デフォルトでブロック操作が実行されます。これは、拡張機能がリスクのある操作を識別するためにトリガーされ、「不合格」が返された場合、現在のユーザーによって実行されたリスクのある操作が直接ブロックされることを示しています。たとえば、ユーザー A がデータをダウンロードし、データダウンロード操作をチェックするために使用される拡張機能がトリガーされます。拡張機能が「不合格」を返した場合、ユーザー A によって実行されたデータダウンロード操作は終了します。
承認: 拡張機能が「警告」を返し、リクエスト処理レスポンスポリシーを追加した場合、拡張機能に関連付けられているリクエスト処理手順が自動的にトリガーされます。
説明Security Center のデフォルトの拡張機能は、デフォルトで警告状態を返します。この場合、関連イベントのリクエスト処理レスポンスポリシーを構成できます。
リクエスト処理ポリシーを構成します。
リスク対応の表示と構成ページで、
アイコンをクリックして既存のリクエスト処理ポリシーを追加します。既存のリクエスト処理ポリシーがビジネス要件を満たしていない場合は、[承認ポリシーの作成] をクリックしてリクエスト処理ポリシーを作成できます。詳細については、「拡張機能のリクエスト処理ポリシー」をご参照ください。
拡張機能の場合、「リスク対応」が「承認」に設定されていて、拡張機能をトリガーするイベントのチェック結果が「警告」の場合、関連するワークスペースに構成されているリクエスト処理ポリシーがトリガーされます。
グローバル拡張機能は、有効化されるとすべてのワークスペースで有効になります。指定されたワークスペースのグローバル拡張機能にレスポンスポリシーが構成されていない場合、関連イベントはデフォルトでチェックに合格し、関連プロセスはブロックされません。[データダウンロード (ファイル生成) の前処理イベント] に関連する操作をチェックするために使用される拡張機能を例として使用します。拡張機能が有効になっている場合、すべてのワークスペースのデータダウンロード操作は、拡張機能が結果を返すまでブロックされます。拡張機能が警告状態を返した場合の後続手順:
データダウンロード操作が識別されたワークスペースにリクエスト処理ポリシーが構成されている場合、リクエスト処理手順が自動的にトリガーされます。
データダウンロード操作が識別されたワークスペースにリクエスト処理ポリシーが構成されていない場合、データは想定どおりにダウンロードできます。
説明リクエスト処理ポリシーの優先度の値が小さいほど、優先度が高くなります。
操作が複数のリクエスト処理ポリシーに該当する場合、優先度の高いリクエスト処理ポリシーが使用されます。