开发者学堂课程【云原生一体化数仓新能力解读课程:数据安全能力解读】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/1193/detail/18114
数据安全能力解读
七、控制访问
(1) IP 白名单
如果说新来这个人拿出来的账号,但是并没有他对于原来的权限的时候,这个线权限不希望被这东西活很危险,所以需要把可以把这个包袱的原来所有权限彻底的清除掉,这是一个使用过程。所以稍微回顾一下,I'm saying that 。文章的流程一个主账号,包括它的用户密钥,然后全面的机制去做这个认证,然后子账号是解决下面企业的一些员工的之间的一些管理问题,然后软弱是做产品之间的角色扮演,然后用一个代持的这么一个么角色一个一个用户的一个权限去模拟这个去扮演,这个用他的权限去访问他的数据,有 MC 建一张或者三,次外表角色是安全内部的一些权限的集合,可以快速的去管理,或者是授权这些用户评价类的用户。然后更往大看,每一个子账号是一个住宿,最后会有多个项目,然后它是一个计费的主体,然后做内部有什么,然后最后看项目空间内的这么一个使用的流程。
第二步开始对 IP 或者是网络的信息进行判断,么其实跟的支持d是 IP 版本,IP 白名单的方式进行访问控制,配送单是可以配置在 project 级别的,然后回访这个不是个的,客户端需要,如果配置的话需要进行IP的岗位限制,包括采用客户端cmd,比如 CK 访问,如果他配的话,必须符合这个IP才能用,如果他用代理,以最后一条为主,有时候的话会有一种实力级别的整个上层会有一个上层应用,会因为这个应用会要是要要求每个回来的能被访问掉,应该访问。 所以如果这个上层这个会发生变化的时候,一个一个修改会很麻烦,所以86也集成一个系统级别的IBM 单的认证,但这个是管理员没有权限去去做的,公允的客户节目不这样的,所以是不太需要管理。
(2)VP 访问 mc
这个系统级别的 IBM 的,应该使用,是使用地方的过程,其实还是刚才说的,不然按的或者特个安放一下,或者SK会检查或者在这个 Ip 里面获得的这个请求里面所带的IP是否跟原数据存储的白名单是匹配的。你项目项目级别的检查如果是,你访问所谓的禁止这个白名单的配置,是可以允许一个固定的 IP 或者是一个严码的方式,或者it诊断的方式可以,只要配白名单,这个下面白名单可以生效把这个白名单清空白名单在对白名单做检查,然后可以国内园配置,也可以后来到 o 去设置一个白名单的三个人的 flag 来控制明白。
其实ip白名单的这个还有更细节的一些控制,可以默认开启这个名单,哪怕它是空的,也能开启,但是这些高级的一些设置 IP 级别的设置之后,再看ABC 个访问,这个可能要稍微介绍解释一下VC的在阿里云内部的一个部署情况。关于内部的话,用户自己可以申请 Excel 是一个用自己的专业网络,会部署自己的应用这个是个VPC网络,896,还有比如像 oss 等等的一些公共的多租的访问,在阿里内部是一个互联网络的,相当于是公共可以用于服务,用户要访问这个经也要使用这些公共的话,你要多做能力,去访问今天网络里面的一些 IP。 然后当然其实用户如果在自己的公公网上面形成 MC,也需要互联网的一个 IP,其实公网的还比较高,这三个网络公网ac用户的一些网络和能听到这个部署的这个这个网络其实默认是三个网络是隔离的,各自只能用自己的按套理的来去访问。理论上今天网络里面的所有的访问,是金融网络里面的应用是可以访问京东网络里面的所有 MC 的项目。
比如 boss 是不在今天网络里的,这个 boss 可以是用户在新建一个工作空间,这个word 中间是可以访问今天网络里其他有权限能绑定的其他的 MC 的项目的,但是 vpc 里面的话得看 MC 的这个网站的是不是给这个 ABC 开通这个 VP C的 ID 的这个白名单认证,然后这里面会有一些细节。
看这个详细的这个图,绿色的是在经典网络里面的是 MC,或者这个说咱们这种公共的云服务部署的个网络,然后用户自己的个蓝色是他的每个用户自己的一个 VPC的网络,红色的是从公共群去访问 MC ,把它的前端在京东网络里的报道里,在VPC 里面对于每个 VPC 会暴露。
(3)公共云 MC 访问外部网络
然后在公共云上面的话也有公共云的前端,只能访问公务员的前端,然后在今天网络里只能访问今天网络的 VPC 是自己对应的,这是一个基本的因素关系,其实 MC的每个项目会对VPC做一个名单的设置,比如 PRO1 设置 ABC 一能访问,只有BC 通过它的前端能访问的,不让一 ab CD2是肯定不可能通过。
Makes me that uh 里面的前端预防不是他唯一的,他只能访问他自己的,同时配两个这个第二周的话到 plus3,如果像不是 m4 这种,它可以允许 vbc3 访问同时设置 IP 白名单。
最后还有 MC 在公共云上面的话还会访问用户用户内部的网络,这个是说从用户的网络里面访问 VPC,MC 也会访问用户网络是什么情况,比如用户自己的 VPC 里面有一个服务,然后个 Ip需要对MC 的比如所有的程序或者是比如一个优良的程序,用 bf 来访问,么需要联通用户的网络用户网络或者是用户在公上有一个IP,MC 优点f是访问的,或者说用户自己在 VV 里面做一个突破,利用MC的互关系,是去连个卡如果是MC内部,已经在各个微站已经打通,一些突出一些专线,或者说用个用户也可以用自己的专线去联通自己的VPN网络,MC 这种已经预设专线的话,是用服务预测的方式个本性代理的方式可以。
首先MC要开通这种卖网访卖网的个 IP 的这个白名单,也是说允许 MC 的这个 edf什么的去访问沪网的这个 IP,这个去MC这边做一个认证,这样打通的话其实网络是优先联通的,这样的话在这边可以访问,比如然后动画上的一个 ip,然后如果用户自己在vpc里的话,需要ABC里面会有一个安全组,MC 把几个把一个是几块 eni网卡虚拟网卡放到这个安全组里面,然后对这个门卡作为一个授权,然后包括用户的应用,比如还是应用做一些补白名单的授权,这样的话MC的这个这个银行网卡可以直接放到这个 BC 里面的要访问的书记员,然后可以做这个互相一体或者外表联邦。
这个是然后再还可以放在你比如说在s外网或者是网络里面的一个IP,这个详细的信息可以看一看工会上的网络网络这个网络说明,这个是通过安全的策略来访问外部数据,前面这个是通过一些 ABC 的这个安全策略来引起ABC来访问MC,然后前面是IP的这个这个白名单的这个这个认证过程,网络的这一块是这些。
八、项目空间保护
然后开始到第三是项目空间的一些安全的设置,一般来说为用户他加入到一个one的项目里头来,它可以访问这块的数据,他也加入到这个这块钢的这个项目里头,他也可以访问这个数据,有权限可以建一张表,他可以在这里面是这个标准的一个table。
from 100的一个卡松的一张表这样的话可以把它的卡通表这里面复制出一份,这个复制这个表是这个用户自己创建的,所以对 vita 这个用户这个管理员来说,他没有权限自己去管别人项目里面的自己生能力生成的一张表,这时候有可能造成疏泄漏。
如果微观的这个管理员想要控制这个数据不被泄露出去,可以有一个叫项目空间保护的这么一个机制,开启这个登记处之后,这个数据只能流出不能流出,上面这些所有的行为会被禁止掉。但是这个时候会有一些,因为所有的项目设成安安全的时候,不能变成一个只录不出的,在一些是比如授权的项目,或者是有一些策略是允许对别人访问的时候还有两个方法,一个是在这个项目保护的时候设置一些意外的策略。
然后,或者是说把另外一个项目,知道它的使用人员什么样,场景样,把它设置成授信的项目,这样的话往这个项目里的流出,然后不是违规,他可以像一个正常的项目一样去去交互,但是其他的没有授信的项目是不可能访问的。 这是项目空间保护。
这里的保护他使用场景,受保护的安全项目的话,一般是是允许数据流入禁止,对于种显示授权的时候流出,这个时候比如说把这个项目设置成一个环保工作模式,这里面有一些员工的工作信息,这种数据是不能被随导出的,所以把它设成强保护之后,必须是他即使获得个数据访问权限,你不能把这个数据把一些公司来的新这种方式去把它读走,开始人在这里没用。
另外一种是受人受保护的这些项目会有多种访问的教练种策略,来限制,用户的视频导出,然后也是说用户的及时被泄露,可能看到这个数据顶出去,对着屏幕照照两张相,也不可能说用一个语法或者是一个 download 的命令把这个数据拿走。
这个时候比如有一些场景,两个单位之间想要使用对方的敏感数据,但是又不想把数据拷给对方,是大家把数据放在这个受保护这个项目里头来。然后可能有一个对应权限的人去生成这个数据,计算完之后生成一个数据,然后经过一些显示授权或者一些特殊处理之后,大家拿的结果这个共共用的这个数据这个项目后面把它删掉或者关闭掉,这份数据谁也没有拿走,大家要什么结果,刚才已经把这个过程论证网络限制和项目保护的这这第三个部分,认证网络和保护这部分已经看看完,然后看在内部的很精细的权限广告。
MC的权限的检查这个顺序,首先先检查这种label的授权的目录的这个权限,是标签的这个权限列别的一些权限。
然后检查 policy 放在里头如果有一些废品单的策略的话,直接把它给你返回,然后 exl 会讲一下这个 exl 有什么区别,最后的话,在这个授权体系之外如果还有配置的这种共享的这种模式,这个也是最后要检查的一个策略。这样全面检查的数据,看看这个授权的整个环境是什么样的。首先授权的一个对象和一个授权的内容,有一个授权人他必须有这个数据的权限,他给用户或者角色来授权,授权他授权一些表,知道函数的这些使用创建删除等等的这些动作,所以看到三个东西是主体,一个是个体,一个是动作。
然后如果对另外一个授权的时候,需要一个用户授权的时候,必须得把这个用户加入才可以,然后可以加进来之后,可以分配一个或者多个的角色,然后一旦被授予一个角色之后,继承这个角色所有的权限,然后把这个用户一次性的这个用户没有个项目里面这个权限。
acl授权,acl是一个标准的数据库有的这种授权的体系,主体是被授权的人,然后授权人是执行这条命令的人,这个人必须得是有个为个目标客体。
然后这个操作这个说明操作执行这个权限才能敲这条命令,否则的话会报你没有权限。然后执行操作的时候,它可以为当前个账号下的子账号或者是其他的阿里账号授权,不能被别人的账号授权。然后用户在执行透视性操作的时候。可以为其他的让是这个准备账号下面其他的用户去收钱,不能被其他账号授权的客体前面包括项目表,函数,包括开业者这种授权的这个对象,然后任务是一个权限的集合,然后把对称删除的时候,exl 上面这个策略已经没有,这个 Excel 授权的个也没有。
授权方法是一添加一个用户给用户不让他然后也可以创建一个角色,然后给这个角色授予权限以后,增加一个用户把这个用户授予这个角色的话,这个用户有个决策所有的权限,比如这样给一个用户评价权限,添加这个项目里面创建表或者是创建实例,可以一个任务的权限。
例子的一种可以查询的权限。
然后也可以把这个用户加到一个角色里来,用这个 Abc 用户加上一个 work 的角色,但是把这个用户的数据的话他没有权利。
这个是 exl,这里可以看看这个其实官网上有这个信息,哪些角色的人有这个授权的这个权限,然后他可以对个被授权的用户授予他项目表或者发生这些课题 right, great 或者是电影等等这些操作的政策的权限。
policy 是一种比较是一些规则描述的这种授权的这种机制。
它可以解决 exl 没法解决的一些很复杂的一些场景。有一次对一组的对象进行授权,或者说所有函数和 ABC 开头的这些表什么的,这个微信一个一个的很麻烦,也很也能出错,然后还可以带一些控制条件,然后比如说像一些 IP 的发发起的这个 IP、的一些、信息或者是哪些用户,或者是使用使用c扣的类型,不允许使用其他的类型或者什么时间段的转换的,可以做这种很细规则的这种授权,然后你使用这种授权的话,大概有 20 多种这种条件和维度去去做授权,然后可以比如说授权之间还没断规正则,然后授权的某种类型的对象或者是什么哪一种类型操作,当然还可以加一些黑名单的禁止。
policy 的个一个结构,可以看看它前面,然后是一个策略,策略里面包括是允许还是禁止,然后哪个账号他可以做一些什么样的操作,然后他对什么资个体来做,然后他的可能肯定是条件里面是时间还是 IP 段什么可以写的。
然后再看一下 acl 跟 policy 的差异, Asl 的话它是必须客体和主体必须存在才可以。 ACL 没有是一个默认的一个规则,加进来的时候必须得符合这个规则。
然后删除个对象的时候这个exl授权已经没有,但是抛物体还是在然后 exl 允许白名单是 exl 告诉你允许办,然后其实原来是不支持这种带条件的,其实新版本其实 CEO 也可以加一些肯定性的,
policy 是可以有很丰富的成员的,然后 SL 不是同 policy 支持的。然后。
再看一下a ble to operate in Abell here,uh一种 DHA MAC acl 窗,这个属于 DAC是自主的防控控制。 然后这种是属于一种基于标签的,是一种强保护的策略,他是为让管理员更灵活的去控制一些敏感数据用的,比如说刚才说的个SL东西它是一种自主的这种这是强制的方法,叫自主访问的控制机制,可以举个例子,比如说要访问一个一个表的一个数据授予 exl 的权限,是这个用户,可以对这张表做一个个的这个条件,而且这个类比一个国家,然后他想要开车,然后一些获得驾照,这是一个显示的前置条件,但是这个国家经常会酒驾的问题,是需要禁止这个酒驾,相当于额外一个你有驾照也得遵守东北亚的这个这个要求,所以这种酒精这种策略类似于一个MC的能能管理的,对于这个 MC 来说是一个敏感数据不能访问的这么一个规则,的数据打招签对用户打这个签,有对应的权限在访问这个级别的数据,什么人可以干的事,然后有什么你对数据进行的0~9级的这个权限的标签的设置,然后数据大安全级别也高,用户也有对应的这个领导和9级的这个敏感的权限跟数据联动,权限可以访问他的这个权限级别的数据以及低于他这个权限的数据,比如说用户它是三级的。
它的用户有这张表的 select 权限,个别人是应该读到所有的数据,但是开启雷博罗斯登记之后,它这个4级的数据因为它不够,它访问不到,有时候这个疾病会多很多,会建议一些地方把它设计成一个机构,命令到一级,你二级基地三级高度经济的这个这种个标记方法是增加实践,打开这个小问题之后,有一些默认的安全策略,当然包括用户不能允许多高于自己级别的这个数据,然后已经写入的数据默认是一个0级的不保密的。
默认是关的,然后如果一旦开启的话,被强制执行有除有 exl policy 授权之外,必须要跟这个敏感级别等,是匹配才可以访问,然后个手机是个什么的应用场景,包括这种根据用户读这种高于他自己权限的数据,具有是比如把它的运营用户给设计成一个最高等级,是他的非要的用户是一个低的能力,非要命的用户防不人民用户能看到个大于二的这个这个数据。
还有一种是比如说张三他获得一个等级为三的收益访问权限,但是管理员担心他把这等级a三的数据写在一个等级为二的这个列里面,这样的话别人可以看到,比如这个李四能看到这个等级编号的数据,数据泄露,是可以设计一个安全策略唉能能无赖道,这样的话招生不能把它的数据写到一个d它不是统一的列里面。
还有访问高级别的数据的这个权限,也只能写到一个高级别的列里面,其他的人访问不了。最后的话还包括一个配置的授权 package的 ,作用是说一般的项目是说把一个用户加进来。
比如说把一个用户他加到这个观察站个项目里来,他可以访问,他可以在自己的项目里去使用。
但是很多时候不想把很多用户,只是为共享一点数据加到的项目里来,他会用的资源会比如给他加一个角色之后,如果对角色做一些其他的授权之后,它会自动记上这个决策权限之后,会造成一些权限的失控。这时候需要个数据给到别人的项目里头,让别人的项目能用这种为跨项目换个组织这种会享用的。
这时候创建一个 package,把这些资源插进去,然后可以允许哪些项目来去访问他。然后另外这个项目被允许访问之后,他把这 个 package 上,然后把这个里面的这些资源数据给他自己对应的用户。项目一旦把这个数据加进去之后,给这个 b项目的话授权不用你管,但是还有很多可以管理的地方。这里稍微提一个是开业式的面积是高于项目空间保护的,一个是把这个设置项目空间保护,但是你留一个通道来让别人去用的话,package 是不受这个向风险保护解决掉的。