03-数据安全-ACA-01-数据安全中心_数据审计_数据脱敏_数据库防火墙(二)

本文涉及的产品
注册配置 MSE Nacos/ZooKeeper,118元/月
性能测试 PTS,5000VUM额度
函数计算FC,每月15万CU 3个月
简介: 03-数据安全-ACA-01-数据安全中心_数据审计_数据脱敏_数据库防火墙(二)

开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程03-数据安全-ACA-01-数据安全中心_数据审计_数据脱敏_数据库防火墙(二)

课程地址:https://edu.aliyun.com/course/3111981/lesson/18874


03-数据安全-ACA-01-数据安全中心_数据审计_数据脱敏_数据库防火墙(二)


四、数据脱敏

数据脱敏,确切的来说数据脱敏并不是一个单一的产品,因为在阿里云,无论在数据安全中心里还是在 data works 这样的大数据产品里,只要跟数据有关的这些产品可能都会有一些功能是和数据脱敏或者数据保护有关的,或者入口是放在不同的产品里。甚至我们在云盾专有云里面也提供一个叫做数据发现与脱敏的单独的数据安全产品。


无论是从哪个入口进来,数据脱敏的整体原理是大同小异的,数据脱敏是指我们采用专门的脱敏算法.图片81.png

这里列出有 6 类 30 种的脱敏算法,对我们的敏感数据去进行像哈希、加密、屏蔽、变形、替换、洗牌,也就是所谓的随机等,这样把我们的敏感数据转换为虚构数据,从而隐藏了真正的隐私信息,这就对我们的数据安全提供了有力的保障。


最为重要的是什么呢?脱敏以后它不影响原有数据的特征和分布,只是把敏感数据给通过各种算法给替换,这样我们不影响数据的准确性,我们就不需要去改动我们的业务逻辑,我们就非常的简单。数据脱敏主要有两种方式,一种是静态脱敏,主要用于把数据抽离出生产环境去进行分发跟共享的场景,比如把生长环境里面的数据脱敏导出给开发测试环境去使用。


第二种叫动态脱敏,主要是直接访问生产数据,然后我们使用的时候直接脱敏使用,比如前端页面展示或者应用使用数据的过程当中直接进行脱敏,所以在处理数据的过程当中,我们前面分析了有静态脱敏跟动态脱敏。


静态脱敏主要是使用我们前面所讲的各种脱敏算法,对敏感数据去进行遮盖、加密或替换,然后把脱敏后的数据保存在我们的目标位置上,这种是属于静态脱敏的范畴,而动态脱敏相比于静态脱敏是更加灵活的,是我们可以在生产环境里面直接指定数据进行脱敏,但是两者之间有一个比较大的区别是什么呢?图片82.png动态脱敏,由于它是及时的动态的去进行操作的,所以对数据单次脱敏的大小是有限制的,现在要求每次去进行脱敏的数据必须小于两兆才能够提交。 右边的这个界面是数据安全中心里面的自定义脱敏模板的界面,我们可以把使用频率比较高的,并且应用场景相同的这种脱敏算法配置成一个脱敏的模板,这样我们就不需要重复的去配置,我们直接以后去脱敏类似数据的时候,就直接通过模板去脱敏,可以提高我们的效率。 我们通过上面的这些标签页就可以看得出,支持了多种的脱敏算法,比如哈希脱敏、遮盖脱敏、替换脱敏等,这些算法根据我们不同的使用场景可以去有针对的去进行选择,这个就需要大家对应的脱敏算法有一些了解,这里我们不跟大家展开详细的讲解,大家可以自行去查阅帮助文档。


举几个简单的例子,因为这些脱敏算法有一些是可逆的,有一些是不可逆的,还有一些是部分可逆的,所以我们就需要针对我们不同的业务场景,以及我是静态的还是动态的脱敏方式来有针对的去进行选择。比如像哈希托敏页面中显示的,哈希托敏就是一个不可逆的算法,所以比较经常使用在像对密码去进行这种哈希保存的这种场景,比如加密脱敏,它就是一种可逆的算法。对称式的加密,那比如 DES 或AES,这是一种对称性的加密,这种就是一种可逆的算法。


比如替换脱敏,替换的脱敏它是一种部分可逆的算法,也就是用替换的码表去进行映射,所以替换码表它其实就可逆。 这种一般就是用于像,比如我们的卡证或者手机号这种中间去隐掉一部分信息的这种场景,所以我们的业务场景不一样,可以使用的充裕算法是不一样的,这个需要大家自己去研究,我们这里不跟大家再去进行更多的展开。


五、数据库防火墙

数据库防火墙主要是用于抵御或者消除我们的业务裸检,特别是数据库这一层有没有逻辑漏洞或者缺陷导致我们的数据产生数据库安全问题的这样的一个防火墙产品。


数据库防火墙一般是部署在我们的业务程序跟数据库之间,通过旁路检测数据库的协议的方式来完成,并且它对于我们的 WAF 是一个有益的补充。 数字库防火墙主要提供的功能第一个是修复人工不易加固的复杂的数据库漏洞,像 SQL 注入,像补丁未升级,拒绝服务等这些原则上我们的 WAF 从一定程度上也可以去进行缓解,当然有专业的税库防火墙可以弥补 WAF 的不足,也就是当 WAF 被绕过了或者是用户没有配备WAF,有数据库防火墙也能够去抵御这个方面的问题。 通过虚拟补丁的方式,我们不需要在数据库上打补丁,就可以在完成数据库的这种漏洞防护。图片83.png第二个是访问控制,就可以对于用户的访问权限进行细粒度的控制,比如防止批量的导出数据,防止人员的这种恶意操作,从山库到跑路的这种恶意操作.


第三个是启发式的防火墙,能够去免疫一些数据库的高危操作,恶意操作,数据库的攻击等。


第四个也提供了一些审计功能来确保我们当真正的发生数据库的一些安全问题的时候,是有源可追溯的,所以数据库防控墙的主要能力主要就体现在这三个方面。


第一个是登录控制,去记录或者根据 IP 或者用户名称或者是访问应用的一些身份来去控制有没有登录的权限。


第二个是应用访问合规,比如设置一些规则,仅允许合法的应用来访问数据,禁止绕过应用这样的非法的访问数据的行为,通过各种细粒度的准入控制规范来让我们的应用访问是在合规的控制底下。图片84.png第三个记录一些准入规则,也就是白名单或者黑名单的机制,比如从时间,从防务员或者防护工具上去做一些准入或者是这个黑名单这样的机制,从而来规范应用系统的访问行为,这是数据库防火墙的主要能力。

相关文章
|
3月前
|
存储 人工智能 Cloud Native
云栖重磅|从数据到智能:Data+AI驱动的云原生数据库
在9月20日2024云栖大会上,阿里云智能集团副总裁,数据库产品事业部负责人,ACM、CCF、IEEE会士(Fellow)李飞飞发表《从数据到智能:Data+AI驱动的云原生数据库》主题演讲。他表示,数据是生成式AI的核心资产,大模型时代的数据管理系统需具备多模处理和实时分析能力。阿里云瑶池将数据+AI全面融合,构建一站式多模数据管理平台,以数据驱动决策与创新,为用户提供像“搭积木”一样易用、好用、高可用的使用体验。
云栖重磅|从数据到智能:Data+AI驱动的云原生数据库
|
1月前
|
数据采集 数据库 Python
有哪些方法可以验证用户输入数据的格式是否符合数据库的要求?
有哪些方法可以验证用户输入数据的格式是否符合数据库的要求?
144 75
|
1月前
|
存储 安全 Cloud Native
从数据风险出发的云上数据安全最佳实践
本文介绍了从数据风险出发的云上数据安全最佳实践,涵盖数据泄露现状及原因分析,以及基于云的安全机制。文章详细探讨了以云为基础实现数据全链路可视可控的方法,包括资产可见可控、数据安全中心、治理闭环和自动化智能化的数据安全治理能力。通过云原生方案,企业可以更高效地识别、预警和处置数据风险,确保数据安全。文中还提到多项免费工具和服务,帮助企业降低数据泄露风险并减少安全投入。
105 60
|
2月前
|
存储 数据采集 监控
云上数据安全保护:敏感日志扫描与脱敏实践详解
随着企业对云服务的广泛应用,数据安全成为重要课题。通过对云上数据进行敏感数据扫描和保护,可以有效提升企业或组织的数据安全。本文主要基于阿里云的数据安全中心数据识别功能进行深入实践探索。通过对商品购买日志的模拟,分析了如何使用阿里云的工具对日志数据进行识别、脱敏(3 种模式)处理和基于 StoreView 的查询脱敏方式,从而在保障数据安全的同时满足业务需求。通过这些实践,企业可以有效降低数据泄漏风险,提升数据治理能力和系统安全性。
486 12
云上数据安全保护:敏感日志扫描与脱敏实践详解
|
3月前
|
存储 监控 数据处理
flink 向doris 数据库写入数据时出现背压如何排查?
本文介绍了如何确定和解决Flink任务向Doris数据库写入数据时遇到的背压问题。首先通过Flink Web UI和性能指标监控识别背压,然后从Doris数据库性能、网络连接稳定性、Flink任务数据处理逻辑及资源配置等方面排查原因,并通过分析相关日志进一步定位问题。
294 61
|
2月前
|
SQL 存储 运维
从建模到运维:联犀如何完美融入时序数据库 TDengine 实现物联网数据流畅管理
本篇文章是“2024,我想和 TDengine 谈谈”征文活动的三等奖作品。文章从一个具体的业务场景出发,分析了企业在面对海量时序数据时的挑战,并提出了利用 TDengine 高效处理和存储数据的方法,帮助企业解决在数据采集、存储、分析等方面的痛点。通过这篇文章,作者不仅展示了自己对数据处理技术的理解,还进一步阐释了时序数据库在行业中的潜力与应用价值,为读者提供了很多实际的操作思路和技术选型的参考。
56 1
|
2月前
|
存储 Java easyexcel
招行面试:100万级别数据的Excel,如何秒级导入到数据库?
本文由40岁老架构师尼恩撰写,分享了应对招商银行Java后端面试绝命12题的经验。文章详细介绍了如何通过系统化准备,在面试中展示强大的技术实力。针对百万级数据的Excel导入难题,尼恩推荐使用阿里巴巴开源的EasyExcel框架,并结合高性能分片读取、Disruptor队列缓冲和高并发批量写入的架构方案,实现高效的数据处理。此外,文章还提供了完整的代码示例和配置说明,帮助读者快速掌握相关技能。建议读者参考《尼恩Java面试宝典PDF》进行系统化刷题,提升面试竞争力。关注公众号【技术自由圈】可获取更多技术资源和指导。
|
2月前
|
前端开发 JavaScript 数据库
获取数据库中字段的数据作为下拉框选项
获取数据库中字段的数据作为下拉框选项
67 5
|
3月前
|
SQL 关系型数据库 数据库
国产数据实战之docker部署MyWebSQL数据库管理工具
【10月更文挑战第23天】国产数据实战之docker部署MyWebSQL数据库管理工具
290 4
国产数据实战之docker部署MyWebSQL数据库管理工具
|
3月前
|
存储 数据采集 监控
云上数据安全保护:敏感日志扫描与脱敏实践详解
随着企业对云服务的广泛应用,数据安全成为重要课题。通过对云上数据进行敏感数据扫描和保护,可以有效提升企业或组织的数据安全。本文主要基于阿里云的数据安全中心数据识别功能进行深入实践探索。通过对商品购买日志的模拟,分析了如何使用阿里云的工具对日志数据进行识别、脱敏(3 种模式)处理和基于 StoreView 的查询脱敏方式,从而在保障数据安全的同时满足业务需求。通过这些实践,企业可以有效降低数据泄漏风险,提升数据治理能力和系统安全性。