投稿

阿里云通用解决方案数据安全解决方案

网友投稿 全球云 阅读 0

行业背景

如今企业数据时常面临着数据变更、查询、导出等操作,然而这些数据安全高危操作目前尚未做到兼顾高效与安全两方面。在数据安全方面,权限管控的缺失等均会导致后期安全管理及运维成本骤增,例如:

  • 数据库后台读写账号管控缺失。
  • 数据库权限管理过于松散。
  • 数据库表结构定义未接入规约。

解决方案优势

阿里云企业数据安全解决方案使用核心产品DMS,采用DevOPS思想设计数据安全管理,让一线开发工程师借助DMS平台完成传统DBA的部分工作,提高工作效率的同时,降低运维成本。

通过DMS可以实现:

  • 细粒度的权限管控:支持从数据库的库、表、字段进行权限管控。
  • 权限审批及时效控制:实行权限审批和过期机制,保障企业数据安全。

核心产品

DMS(Data Management),支持MySQL、SQL Server、PostgreSQL、MongoDB、Redis等关系型数据库和NoSQL的数据库管理,同时还支持Linux服务器管理。它是一种集数据管理、结构管理、访问安全、BI图表、数据趋势、数据轨迹、性能与优化和服务器管理于一体的数据管理服务。在数据安全解决方案中,通过DMS可实现对数据库的管控,保障数据安全的同时,协助工程师提高数据库运维效率。详细DMS介绍可参考数据管理一文。

解决方案应用场景

阿里云数据安全解决方案可对数据访问做多层隔离,并支持对数据访问人员做数据查询次数、高危查询操作的识别与拦截,且阿里云数据安全解决方案关注安全性的同时兼顾效率,同步实现数据的安全与高效。

安全隔离

阿里云数据安全解决方案通过对数据访问请求进行多层隔离,以提高数据访问安全性。此场景适用于:

  • 对企业组织内不同岗位员工赋予不同数据库或数据表的权限。
  • 禁止企业员工在公网环境查询、修改生产数据。
  • 对于指定的高保密级别字段进行脱敏处理,且此部分数据的访问需特殊授权。

fig_01

DMS数据访问请求隔离说明:

  • 网络访问隔离:DMS内置IP白名单设置功能,非白名单IP无法登录系统(企业VPN除外)。
  • 库表权限隔离:DMS的权限系统将数据库与数据表分离,允许管理员仅赋予用户某些表的相应权限,而非全库权限。
  • 字段敏感性隔离:DMS对字段进行三级安全定义,如果数据表中包含安全级别为保密及以上的字段,即使拥有表的相应权限也不能查看更改保密字段,保密字段默认以*展示。
  • 操作权限隔离:DMS权限体系中,查询、导出、订正三个权限需要分别申请,以便权限的细粒度管控。

操作管控

为防止生产数据被“蚂蚁搬家”式的盗取,阿里云数据安全解决方案通过DMS提供了每人每日查询数据上限设置功能;同时为避免低效查询对生产数据库性能的影响,DMS识别危险查询并对齐进行拦截,以保证生产数据库安全。

fig_02

通过DMS的限制可有效保障:

  • 数据不被窃取,此场景下可设置:
    • 单日最大执行次数限制
    • 单日最大返回行数限制
    • 单日最大订正记录数限制
    • 单笔查询返回记录数限制
  • 数据查询过程中生产库安全,此场景下可设置:
    • 单笔查询执行时间限制
    • 大表全表扫描执行限制

安全高效

阿里云数据安全解决方案兼顾了安全性与效率性,支持企业根据需要自定义数据各项权限的整审批流程,结合业务需求找到效率与安全的最佳平衡点。

通过DMS用户可自定义安全规则,对数据的各项操作设置符合业务需求的规则限制:

fig_03

自定义的安全规则包括:

  • 查询页面功能限制及审批流程定义
  • 根据变更记录数及表大小自定义变更审批流
  • 根据导出记录数及字段敏感度自定义导出审批流
  • 各级别权限申请审批流自定义
  • 字段敏感级别调整审批流

日志审计

当企业员工离职需要进行离职审计,或者审计配合场景下,需要对特定员工、特定数据库进行多维度审计,阿里云数据安全解决方案通过搜索操作日志,可实现“张三在过去一年内做过哪些数据操作”及“A库在过去一个月内被执行过哪些操作”等多维度审计。

fig_04

通过DMS的操作日志搜索可实现:

  • 多维度日志查询导出
  • 日志永久保存

更多信息

点击查看云上大数据仓库解决方案详情页
大数据解决方案咨询

原创文章,作者:网友投稿,如若转载,请注明出处:https://www.cloudads.cn/archives/33351.html

(0)
网友投稿网友投稿
0 0
上一篇 2023年2月2日 am10:17
下一篇 2023年2月2日 am10:18

相关推荐

发表评论

登录后才能评论