云安全守卫者优秀案例！云上数据安全治理实践分享 & 招聘集结号

2022-03-21 643

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

云安全中心免费版，不限时长

简介： 职等你来

近日，由中国信息通信研究院、中国通信标准化协会主办的“2021可信云安全论坛”在北京举行，阿里云“云环境数据安全治理方案”在全球某头部零售企业的落地实践入选首批云安全守卫者计划优秀案例，方案成熟度和行业示范作用得到认可。

封面.JPG

客户关键词

全球百大零售企业排行榜10强
覆盖全球市场50个
销售人员80万+

该客户是全球最大且发展最迅速的零售公司之一。2017年与阿里云合作，通过业务上云实现数字化转型目标，企业官网、公益、新零售业务、企业产品展示、销售、促销等核心业务完成数字化。2017年至今系统稳定运行，业务高速稳健发展。

云化，数据融合加速业务发展

上云前，该客户不同业务系统的数据完全独立。在瞬息万变的数字化时代，如何最大化发挥数据的价值，是突破增长熵值和数字化转型的关键。尤其是每年大促期间，线上购物商城面临数十倍流量冲击，传统IT架构成为了关键链路上的阻塞点，且数据在系统之间不流通导致的数据孤岛，让数字化运营难以实现，业务创新难上加难。

为了实现数字化转型，该客户整体业务上云，完成整套数据平台建设：使用云数据库RDS、DRDS存储业务系统结构化数据，对象存储OSS存储非结构化数据，并通过Dataphin实现智能数据构建与管理。

云化为业务部门带来两大核心价值：

第一，打通业务间数据孤岛。实现全链路业务数据管理，对会员、积分、APP营销等业务场景进行洞察，产生精细化报表。

第二，实现业务数据化运营。在用户层面，通过用户统计、用户转化统计、购物趋势统计等，构建人群画像；在业务层面，通过销售统计、市场趋势洞察，服务并赋能经销商，帮助其业务发展。

数字化转型带来整体业务发展及效率提升，带来新的安全挑战。

数据暴露面扩大。数据不再局限于单一系统，而是在多个系统、平台上流转，数据的灵活度相较于IT时代大幅提升，数据暴露面扩大。
数据复杂度提升。多种数据平台的使用、转换，结构化、半结构化、非结构化数据交融，数据复杂度提升，流转路径多样。
数据透明度降低。数据多平台之间流转后的留存，导致数据资产分布越发广泛，从IT、安全管理者的视角来看，广泛的分布也导致数据资产的透明度随之降低，难以识别敏感数据在哪里，分属哪个敏感等级。

“感知>治理>防控”数据安全治理体系

阿里云与客户经过充分沟通，针对性地提出了云上数据安全治理方案，构建从感知到治理再到防控的全链路数据安全体系。

治理体系.png

1. 数据感知层

云原生的数据安全中心自动化感知云端资产分布，包括结构化、非结构化数据等39种数据源，覆盖关系型、非关系型数据库；
整合应用、流量、数据库、对象存储等多维度审计日志，在云端全生命周期洞察数据流转情况；
基于资产分布，结合数据流转/访问关系，帮助用户绘制出云端数据资产地图。

2. 数据治理层

数据安全中心通过云端样本持续识别积累，目前已支持超过1000种文件类型，结合云端算力及阿里巴巴最佳实践，助力该客户自动化完成云上业务数据分类分级；
完成分类分级后，对敏感数据进行针对性的脱敏处理，借助数据安全中心积累的6类30种脱敏算法，自动化进行脱敏算法适配。
在权限治理方面，数据安全中心一键完成原生数据库的访问授权，主动探测数据库账号权限，分析并识别出特权账号、高危账号、闲置账号及相关权限配置风险，为数据权限治理工作提供关键的决策支撑。

3. 数据防护层

数据安全中心协助用户实现数据风险动态防控，通过调用原生接口，可以对云上原生数据的使用行为进行监控审计，识别全域数据访问、使用行为，建立行为基线；
结合云端情报数据以及安全规则积累，综合多维风险因子进行动态风险识别；数据被访问发起方的地点、设备、网络环境均会作为风险因子，对比前期学习沉淀出的基线，通过偏移量来判定该访问行为的风险水位，精准定位风险，进行告警，进一步对攻击行为采取响应行动。
在可用性层面，通过数据安全中心快速进行日志聚合、关联分析，通过拉通流量、数据源、应用、API等多维日志数据，还原攻击入侵链路，并锁定攻击源，降低攻击带来的损失，同时协助用户进行攻击溯源。

客户价值

1.通过这套治理方案，帮助客户首次看清云端数据资产全局分布；

协助用户识别发现超过8,000张敏感数据表，30,000张敏感字段，合计识别出100万敏感文件；
通过对100个文件存储Bucket的识别，定位出7个敏感Bucket，合计检测20兆文件，并从中识别出超过20万的敏感文件数；
在大数据场景识别出MaxCompute 8个实例，3,400张表，57,000列，其中超过1,400张敏感表以及5,600个敏感数据列。

2.在数据识别基础上，自动化完成数据分类分级，小时级完成了从前数月才能完成的任务，数据分类分级的效率、覆盖度以及精准性显著提升。

3.基于数据分类分级结果，轻松满足合规要求。整体方案通过提供数据静态/动态脱敏、存储加密、传输加密、APP隐私合规改造等，顺利完成治理工作，从容应对数据安全法、个人信息保护法的合规要求；通过全域数据的安全审计，满足等保2.0关于“个人信息保护”和”数据行为审计”两个维度的合规要求。

借助阿里云数据安全中心，第一次照亮了我们在云端的数据资产，看清了敏感数据分布，数据安全中心提供了丰富的能力，让我们可以顺利完成治理和保护工作。
                                                             ——客户安全负责人  

行业示范效应

数字化转型为企业带来生产力变革的同时也为企业带来了新的安全挑战，DT时代数据分布更广泛、种类更复杂、流转更灵活的特性决定了企业无法通过传统的边界防御措施来保持足够安全水位。

阿里云联合该客户打造的云上数据安全治理方案，以数据为中心，从风险视角，感知敏感数据资产分布，自动化分类分级，全生命周期监控数据流转，全方位防护敏感数据泄露风险，在可行性上经过了云端海量数据的检验，在通用性上通过云上数百位用户的成功实施得到了验证。在国家高度重视数据安全的背景下，具有广泛的行业示范效应。