阿里云HBase数据安全实践-阿里云开发者社区

开发者社区> 阿里云数据库HBase> 正文

阿里云HBase数据安全实践

简介: 受近期“微盟员工删库事件”的影响,大量客户咨询云HBase在备份恢复方面的能力。数据是客户的核心资产,数据安全是生命线,本文总结了云HBase在数据安全方面的使用实践,希望可以帮助用户建立更完善的数据安全保护。

云HBase活动福利

【云HBase产品介绍】

3.jpg

更多活动内容请参考链接

背景

受近期“微盟员工删库事件”的影响,大量客户咨询云HBase在备份恢复方面的能力。数据是客户的核心资产,数据安全是生命线。世界范围内数据丢失的案件其实一直都有发生,有恶意的,但更多是操作不当造成,我们在备份!备份!备份! 看阿里云HBase的企业级备份恢复如何设计一文中罗列了一些较著名的事件。本文总结了云HBase在数据安全方面的使用实践,希望可以帮助用户建立更完善的数据安全策略。

云数据安全三道防线

  1. 防止恶意或操作不当释放实例。实例都被释放了,那么连带服务器和数据一起都没了。
  2. 防止恶意或操作不当删除、污染数据。实例虽然释放不了,但可以登陆系统去Drop表,去覆盖数据。一般这种情况需要备份数据。
  3. 防止备份被删除。微盟这次就是备份也被删除了。

云HBase应对之策

删除保护&子账号管理

云HBase支持指定实例开启删除保护,此时释放实例的操作会被阻止。再加上通过RAM权限管理可以收回子账号对“解除删除保护”的权限,最终只有主账号有权限解除删除保护。这个功能可以方便的保护核心资产,而且比较灵活,平时购买和释放测试实例就无需开启保护。

删除保护.jpg

(子账号的RAM配置见后面)

备份恢复

云HBase支持备份恢复,周期性的对集群进行全量备份,同时支持秒级RPO的实时增量备份。云HBase备份恢复具有如下特点:

  • 混合云,支持对自建HBase进行备份
  • 灵活的备份策略,支持表级别备份
  • 防恶意删除,备份计划删除前有静默期
  • 低成本,备份存储在OSS

备份恢复入口:
开通备份.jpg

详情参考: 备份恢复使用文档

如何用RAM限制“删除保护”

1 进入RAM控制台,创建自定义权限策略HBaseDeleteProtection,这里需要使用脚本方式创建,脚本如下:

{
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "hbase:ModifyClusterDeletionProtection",
            "Resource": "acs:hbase:*:*:dbinstance/*"
        }
    ],
    "Version": "1"
}

DeleteProtection.jpg

2 为子账号授权
权限管理.jpg

可以看到有两个权限,第一个是系统权限AliyunHBaseFullAccess,第二个是我们刚刚自定义的权限,这样就允许该子账号执行除了“开启、解除删除保护”之外的所有云HBase操作。

技术交流

大家有疑问或者更多想法可扫描下面二维码加入专家群
image.png

版权声明:本文中所有内容均属于阿里云开发者社区所有,任何媒体、网站或个人未经阿里云开发者社区协议授权不得转载、链接、转贴或以其他方式复制发布/发表。申请授权请邮件developerteam@list.alibaba-inc.com,已获得阿里云开发者社区协议授权的媒体、网站,在转载使用时必须注明"稿件来源:阿里云开发者社区,原文作者姓名",违者本社区将依法追究责任。 如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:developer2020@service.aliyun.com 进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
阿里云数据库HBase
使用钉钉扫一扫加入圈子
+ 订阅

基于Apache HBase 深度扩展,融合Spark、Phoenix、Solr等技术,支持海量数据的一站式存储、检索、分析,历经阿里巴巴近十年的大规模锤炼,被广泛用于风控、推荐、搜索、画像、社交、物联网、离线数仓等场景,助力企业数据智能化

官方博客
链接