如何有效降低大数据平台安全风险

本文涉及的产品
大数据开发治理平台DataWorks,Serverless资源组抵扣包300CU*H
云原生大数据计算服务MaxCompute,500CU*H 100GB 3个月
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 在2019杭州云栖大会大数据企业级服务专场,由阿里云智能计算平台事业部资深技术专家李雪峰带来以“如何有效降低大数据平台安全风险”为题的演讲。本文首先概括了企业在大数据上云过程中会产生的安全顾虑。接着,在大数据平台中要处理的安全风险中,对数据中心物理安全与网络安全、大数据平台系统安全以及数据应用安全三部分做了详细的介绍。最后,描述了阿里云飞天大数据平台的安全体系。

摘要:在2019杭州云栖大会大数据企业级服务专场,由阿里云智能计算平台事业部资深技术专家李雪峰带来以“如何有效降低大数据平台安全风险”为题的演讲。本文首先概括了企业在大数据上云过程中会产生的安全顾虑。接着,在大数据平台中要处理的安全风险中,对数据中心物理安全与网络安全、大数据平台系统安全以及数据应用安全三部分做了详细的介绍。最后,描述了阿里云飞天大数据平台的安全体系。

精彩视频回放 >>>
以下为精彩视频内容整理:


企业大数据上云的安全顾虑

企业大数据上云过程中,通常会产生一些安全顾虑。当数据进行企业内部的云上迁移时,数据是否可能会丢掉。当数据在云上被存储时,数据是否有可能被篡改。当数据在云上被使用的时候,数据是否有可能被泄露。这些顾虑都来自于信息的基本元素,包括信息的可能性问题、信息的完整性问题以及信息安全的保密性问题。这三个问题并不是因为数据要上云而额外带来的。此外,在企业内部构建自己的大数据中台的时候,也仍然会遇到安全问题。

image.png

上图是大数据平台安全风险框架。对于一个企业级的大数据中台要处理的安全风险,分为三个层次。第一个层次是数据中心的物理安全与网络安全,要构建一个数据中心需要有基础的数据中心,还需要有自己的IDC,IDC自身的安全以及网络接入的安全直接影响到数据平台的可用性。数据中心的物理安全能够提供更可靠的基础,也为大数据平台带来更高的安全保障。第二层是大数据平台的系统安全,是由大数据内部的各个安全子系统构成的,这些安全子系统共同保障了大数据平台的完整性。第三层是数据应用的安全,它非常接近于用户的使用场景。用户需要使用各种各样的数据安全产品,来为自己的数据安全场景做保障,从而保密自己的数据。

数据中心物理安全与网络安全

image.png

在飞天大数据平台中,阿里云的数据中心承担了数据中心的物理安全与网络安全的职责。整个安全风险可以分为三个维度:

第一个维度是数据中心的保障设施,包括供电保障以及冷却保障,阿里云的数据中心可以支持独立的多路供电、低压变配电系统和高冗余UPS/HVDC以及高可靠后备电源系统和多级防雷接地系统共同为阿里的数据中心提供了高可用的数据保障。阿里云的数据中心在冷却系统中可以提供冷源设备管路以及终端的多路冗余,从而为数据中心提供冷却的高可用的保障。

第二个维度是数据中心的安全管控。在数据中心运维过程中会出现一系列安全的流程,一方面是安全管控,在安全管控中,阿里云的数据中心将参与整个生产过程中的人和建筑物各分为三个等级,并在每个等级上标记不同的颜色,基于这些颜色构成了色彩管理体系。同时,为了安全的管控整个设施的有效运行,阿里云的数据中心还建立了对抗的检验体系。另一方面,在阿里的数据中心中将提供7×24监控系统,可以将数据中心的事件进入到不同的管控平台中。

第三个维度是数据中心的网络安全。数据中心都是要提供网络访问的,在数据中心自身的网络架构中,阿里能够提供多路的冗余接入,最大限度的保证网络可用。同时,作为一个数据中心要提供低收敛比的网络架构,主要是针对数据中心进行的量身优化。此外,针对网络防御,阿里提供高防的网络服务和近源攻击的清洗,同时,阿里的数据中心利用云安全的基础设施WAF提供七层的网络防御。

大数据平台系统安全

image.png

MaxCompute平台安全系统主要包括四个子系统。

第一个子系统是访问控制,主要处理所有的访问接入控制以及限制控制,在接入控制上可以支持IP白名单,在权限控制上提供ACL(DAC)能力和LABEL(MAC)能力以及基于属性的POLICY(ABAC)能力、共享能力、数据保护能力。

第二个子系统是应用程序的隔离,用户执行的UDF会在这个子系统里执行,支持没有权限限制的Java和Python语言所编写的UDF,同时提供三方引擎的计算能力,为MaxCompute提供计算平台。

第三个子系统是风控和审计,提供多种事件审计的日志,包括任务日志和用户日志及表的日志,同时提供多种的元数据能力,包括表和资源。

第四个子系统是平台的可信系统,基于信任的语言提供了存储加密的能力。

MaxCompute平台访问控制系统

image.png

MaxCompute平台访问控制系统是基于多租户的体系进行构建的,在云上的每个MaxCompute租户在MaxCompute内部会对应到一个或多个project,其中任何一个project会包括三类的内容。第一类是project属性,包括Quota和Owner信息。第二类是project数组,包括User ID和Role。第三类是project所有的资源,包括表、函数、文件系统和Instance实例。

当用户使用混合云的方案和云上的VPU进行打通的时候,可以将VPC作为一个防控的条件配置到MaxCompute中,同时仅允许这个VPC的来源去访问用户的project,这就是VPC的白名单能力。同时,也提供了端的能力,主要针对在企业场景中,对企业自身的生产设备进行控制的需求。现在的MaxCompute可以提供权限系统2.0,在权限系统2.0中提供了ACL的控制能力,和独立的下载权限能力,同时提供人到表及表到人的查询能力。这些都将在公共云上向企业客户所开放。

MaxCompute平台应用程序隔离系统

当用户在MaxCompute中创建一个UDF时, 可以直接使用UDF函数执行应用程序。当应用程序在MaxCompute中执行时,会执行在虚拟化隔离过程中,保证用户的代码不会映到平台及平台的其他租户。现在,MaxCompute能够提供更新的应用程序。企业在使用开源引擎时,通常会有自己定制的分支,为了支持这些分支,提供了Plugin的能力,企业只需要在自己独立的分支上做分装,就可以将Spark打包为User Defined Engine,在自己的MaxCompute中执行起来。

用户创建自定义的计算引擎非常简单,只需要创建一个engine,然后使用一个指定的Spark jar包就可以。在提交任务时,只需要自己的Spark作业使用所创建的engine就可以运行。

image.png

MaxCompute 平台风控审计系统中重点提供了Information Schema 1.0的能力。包括三种类型的源数据。企业用户在使用Information Schema 的基础上可以使用第一类的数据做非常详细的数据的生命周期的管理、Owner检索以及存储尺寸的检索。第二类主要用于用户或角色信息的查询、用户的权限查询、资源的权限查询、表和字段打标的查询。第三类可以实现定制化分析的功能,包括热表分析、表血缘分析、费用分析、性能分析。此外,还以准实时的方式为企业提供信息。

MaxCompute 平台可信系统

image.png

在MaxCompute 平台可信系统中,MaxCompute将提供BYOK存储加密的能力,企业和用户可以将自己指定的秘钥上传到阿里云的KMS中,作为一个数据存储的总秘钥。MaxCompute在进行数据加密时,可以直接使用企业上传的主秘钥生成数据的加密秘钥,然后将加密过的数据以及加密过的数据秘钥存储在物理介质中。整个过程可以支持AES256,同时符合国家安全规定的国密算法SM4的算法支持规定。支持完BYOK之后,就赋予了企业的能力。当企业需要在云上销毁数据时,只需要在阿里云的KMS中,将自己的主秘钥销毁掉。这时,在MaxCompute上存储的所有数据就处于逻辑上销毁的状态。

在数据安全领域,主要面对三大安全风险:
1.数据泄露:缺少权限管控导致数据泄露。
2.数据滥用:无法最小化授权导致数据滥用。
3.数据误用:无法追踪数据使用情况导致数据误用。

数据应用安全

DataWorks数据安全产品承担了阿里云数据应用安全的职责。数据安全产品涉及三个方面为企业的客户提供保障。第一方面是权限管控类,阿里云将提供申请流程控制、审批流程控制、权限回收以及权限查看的基本的产品能力。第二方面是数据保护类,将提供数据分类分级、敏感数据识别 、数据打标、静态脱敏以及差分隐私的能力。第三方面是风险治理,将提供敏感权限审计、数据访问审计、数据防泄漏以及数据防滥用能力。

DataWorks 数据应用安全解决方案

image.png

DataWorks 数据应用安全解决方案的过程为上图所示。首先对于用户数据可以提供多种类型的规则进行数据的打标,可以基于数据的字段安全来定义数据的安全等级、个人信息数据等级、表安全等级和安全分类标签,所有的数据在经过自动的识别之后,通过MaxCompute的字段级打标能力直接进入到MaxCompute的源数据中。

在DataWorks的权限管控产品中,基于这些安全的分类等级进行包和字段级的权限申请和控制,整个权限申请控制之后,由企业的内部人员进行权限审批,之后由DataWorks使用由MaxCompute2.0提供的权限系统,进行字段级的ACL授权以及Label授权等一系列的授权手段,为企业提供最小权限的能力。

所有的授权操作会进入到MaxCompute的风控审计数据中,通过Information Schema提供给企业级客户进行审计,所有的人员权限审计、资源权限审计、权限使用的审计将在风险治理过程中为DataWorks的安全产品提供数据支持,同时为企业提供权限回收的选项,允许企业去制定一些权限回收的规则。

在另外一个分支上,源数据为数据的本身对敏感信息提供一些标识。DataWorks将提供静态脱敏能力,可以支持多种多样的脱敏规则。同时,阿里也可以提供回显脱敏和下载脱敏的能力。所谓的回显脱敏是指企业的开发人员在开发过程中进行一个表格展示时,数据会被进行强制的脱敏,并且回显在用户的开发界面上。所谓下载脱敏是指使用DataWorks进行数据下载时,数据会经过脱敏规则。此外,DataWorks还将提供差分隐私的脱敏服务。所有敏感信息的使用也将进入到源数据中,通过Information Schema,为用户和企业客户提供服务。另外,数据表的审计、用户审计以及计算作业审计将为数据的泄露告警、数据滥用以及数据误用提供数据支撑。

DataWorks 数据安全产品

image.png

DataWorks 数据安全产品主要分为权限管控类和数据保护类两个部分。

DataWorks数据安全权限管控产品

image.png

DataWorks在安全中心2.0中提供了简单的使用过程,如上图所示为权限申请的过程。客户使用者可以在DataWorks的安全中心中针对特定的字段进行权限申请。在权限申请过程中可以设置特定的申请权限的时间、申请的理由以及使用的环境。权限申请在被提交之后,将会出现在权限拥有者的页面中,就可以看到待审批的过程,打开之后,可以看到申请者提供的信息,用以支持审批。当审批按照拒绝流程处理时,在申请人的列表里,会看到申请人拒绝审批的状态。同时,在权限审批过程中,页面会提供表到人和人到表的详细查询,在这个过程中实现权限的回收。

DataWorks数据安全数隐私保护产品

image.png

隐私保护在数学上可以证明的模型是差分隐私。所谓差分隐私是指将包含敏感数据的信息以及经过差分隐私处理后的信息呈现出一种数学可描述的概率分布过程,如上图所示。红线是包含隐私的数据,黑线是经过脱敏过的数据。正是因为呈现出的这种数学规律,在统计场景中拥有了可替代能力。在某些使用统计函数的场景中,可以使用脱敏过的数据为统计流程提供支持。

到目前为止,差分隐私有两种实现方式,一种是全局模型,另一种是局部模型。在全局模型中,用户仍然需要将自己的隐私交给某一个中间方,由中间方进行统计计算之后,将结果进行差分隐私的处理,再交给数据分析者。在局部模型中,每一个隐私包含者会将自己的数据进行脱敏之后直接交给中间者,然后进行差分隐私,这种模型的实现是比较难的,但是,会为用户的隐私带来更好的保护。

image.png

image.png

现今,DataWorks将基于局部模型为用户提供服务,并且提供两个UDF函数,其中一个函数用来做数据的脱敏,另一个函数将用于脱敏结果的统计计算。在使用过程中,使用第一个函数将敏感数据进行脱敏,所有脱敏过的数据经过Data Collector汇总到一起,然后,调用第二个函数进行统计和分析。由上图可以看出,经过差分隐私处理后,源数据与处理过的数据显示出非常好的一致性。

阿里云飞天大数据平台安全体系

image.png

根据阿里云飞天大数据平台安全体系,阿里云数据中心安全基础设施提供了数据中心的保护设施、数据中心安全管控以及数据中心网络安全。MaxCompute的平台可信系统通过访问控制系统、应用程序隔离系统以及风控审计系统为企业客户提供大数据平台的完整性保障,同时提供VPC白名单、App端识别、权限系统2.0以及用户定义计算引擎。另外,还支持InformationSchema1.0源数据能力,还将提供BYOK的存储能力。DataWorks 数据安全产品包括权限管控产品、数据保护产品以及风险治理产品,阿里云主要发布的是DataWorks安全中心2.0以及DataWorks的差分隐私产品。所有的产品和系统为数据的生命周期安全提供了真实的保障。

MaxCompute产品官网 >>>
DataWorks产品官网 >>>

相关实践学习
基于MaxCompute的热门话题分析
本实验围绕社交用户发布的文章做了详尽的分析,通过分析能得到用户群体年龄分布,性别分布,地理位置分布,以及热门话题的热度。
SaaS 模式云数据仓库必修课
本课程由阿里云开发者社区和阿里云大数据团队共同出品,是SaaS模式云原生数据仓库领导者MaxCompute核心课程。本课程由阿里云资深产品和技术专家们从概念到方法,从场景到实践,体系化的将阿里巴巴飞天大数据平台10多年的经过验证的方法与实践深入浅出的讲给开发者们。帮助大数据开发者快速了解并掌握SaaS模式的云原生的数据仓库,助力开发者学习了解先进的技术栈,并能在实际业务中敏捷的进行大数据分析,赋能企业业务。 通过本课程可以了解SaaS模式云原生数据仓库领导者MaxCompute核心功能及典型适用场景,可应用MaxCompute实现数仓搭建,快速进行大数据分析。适合大数据工程师、大数据分析师 大量数据需要处理、存储和管理,需要搭建数据仓库?学它! 没有足够人员和经验来运维大数据平台,不想自建IDC买机器,需要免运维的大数据平台?会SQL就等于会大数据?学它! 想知道大数据用得对不对,想用更少的钱得到持续演进的数仓能力?获得极致弹性的计算资源和更好的性能,以及持续保护数据安全的生产环境?学它! 想要获得灵活的分析能力,快速洞察数据规律特征?想要兼得数据湖的灵活性与数据仓库的成长性?学它! 出品人:阿里云大数据产品及研发团队专家 产品 MaxCompute 官网 https://www.aliyun.com/product/odps 
目录
相关文章
|
5月前
|
运维 Cloud Native 领域建模
核心系统转型问题之实现风险可控如何解决
核心系统转型问题之实现风险可控如何解决
|
5月前
|
运维 监控
运维自动化:提升效率与降低风险的关键
【8月更文挑战第6天】在信息技术高速发展的今天,企业对运维工作的要求越来越高。传统的手工运维方式已经无法满足现代业务的需求,而运维自动化则成为了解决这一问题的有效手段。通过引入自动化工具和流程,运维团队不仅能够提高工作效率,还能降低人为错误带来的风险。本文将探讨运维自动化的重要性、实施步骤以及面临的挑战,旨在为读者提供一套完整的运维自动化实践指南。
|
存储 运维 Prometheus
《云上业务稳定性保障实践白皮书》——五.行业客户稳定性保障实践——5.3 平台网站业务稳定性保障——5.3.1监控预警体系建设
《云上业务稳定性保障实践白皮书》——五.行业客户稳定性保障实践——5.3 平台网站业务稳定性保障——5.3.1监控预警体系建设
309 0
|
SQL 监控 关系型数据库
《云上业务稳定性保障实践白皮书》——五.行业客户稳定性保障实践——5.3 平台网站业务稳定性保障——5.3.2 全链路压测与容量评估(3)
《云上业务稳定性保障实践白皮书》——五.行业客户稳定性保障实践——5.3 平台网站业务稳定性保障——5.3.2 全链路压测与容量评估(3)
214 0
|
监控 测试技术 UED
《云上业务稳定性保障实践白皮书》——五.行业客户稳定性保障实践——5.3 平台网站业务稳定性保障——5.3.2 全链路压测与容量评估(1)
《云上业务稳定性保障实践白皮书》——五.行业客户稳定性保障实践——5.3 平台网站业务稳定性保障——5.3.2 全链路压测与容量评估(1)
313 0
|
域名解析 网络协议 数据可视化
《云上业务稳定性保障实践白皮书》——五.行业客户稳定性保障实践——5.3 平台网站业务稳定性保障——5.3.2 全链路压测与容量评估(2)
《云上业务稳定性保障实践白皮书》——五.行业客户稳定性保障实践——5.3 平台网站业务稳定性保障——5.3.2 全链路压测与容量评估(2)
228 0
《云上大型赛事保障白皮书》——第六章 云产品稳定性治理与风险管控——6.3 稳定性巡检总结
《云上大型赛事保障白皮书》——第六章 云产品稳定性治理与风险管控——6.3 稳定性巡检总结
109 0
《云上大型赛事保障白皮书》——第六章 云产品稳定性治理与风险管控——6.1 云产品稳定性治理——6.1.1 什么是稳定性治理
《云上大型赛事保障白皮书》——第六章 云产品稳定性治理与风险管控——6.1 云产品稳定性治理——6.1.1 什么是稳定性治理
119 0
|
容灾 测试技术 数据中心
《云上大型赛事保障白皮书》——第六章 云产品稳定性治理与风险管控——6.1 云产品稳定性治理——6.1.2 稳定性治理的思想
《云上大型赛事保障白皮书》——第六章 云产品稳定性治理与风险管控——6.1 云产品稳定性治理——6.1.2 稳定性治理的思想
113 0
|
存储 运维 监控
什么样的综合运维管理系统为政企降低运维成本?华汇数据
运维管理智能化、自动化作为后台支撑,对生产系统、业务系统的安全稳定运行起着不可或缺的作用
218 0
什么样的综合运维管理系统为政企降低运维成本?华汇数据

热门文章

最新文章