如何有效下降大數據平臺安全風險

時間 2019-11-07

原文原文鏈接

摘要：在2019杭州雲棲大會大數據企業級服務專場，由阿里雲智能計算平臺事業部資深技術專家李雪峯帶來以「如何有效下降大數據平臺安全風險」爲題的演講。本文首先歸納了企業在大數據上雲過程當中會產生的安全顧慮。接着，在大數據平臺中要處理的安全風險中，對數據中心物理安全與網絡安全、大數據平臺系統安全以及數據應用安全三部分作了詳細的介紹。最後，描述了阿里雲飛天大數據平臺的安全體系。算法

如下爲精彩視頻內容整理：數組

企業大數據上雲的安全顧慮
企業大數據在上雲過程當中，一般會有這樣一些安全顧慮：「數據從企業內部遷移到雲上後，數據有沒有可能會被丟掉? 」，「數據在雲上存儲時，數據是否可能被篡改?」, 「數據在雲上使用的時候，數據是否有可能被泄露出去? 」。這三類問題很是具備表明性，它們恰好涵蓋了信息安全的三個基本要素，即: 信息的可用性、信息的完整性以及信息的保密性。應當說，這三類問題並非由於大數據上雲而額外帶來的，即便在企業內部構建自身的大數據平臺的時候，依然要解決這三類安全問題。今天咱們將經過深刻解讀飛天大數據中臺的安全體系，幫助企業瞭解如何有效下降大數據中臺的安全風險。

安全

咱們將企業級大數據中臺要面臨的安全風險, 根據其所涉及的系統及技術領域的不一樣, 分爲三個層次。最基礎的層次是數據中心的物理安全與網絡安全，數據中心是構建大數據中臺的基礎，數據中心自身安全性和網絡接入安全性直接影響到企業大數據中臺的可用性。在這之上是企業大數據平臺的系統安全，由大數據平臺內部的各個安全子系統構成，這些安全子系統共同保障了大數據平臺的完整性。最上層是數據應用安全，這層貼近於用戶的應用場景。經過在這一層提供豐富多樣的數據安全產品，大數據中臺爲用戶應用數據的各種業務場景提供切實可靠的數據安全能力。

數據中心物理安全與網絡安全

網絡

在飛天大數據中臺中，數據中心物理與網絡層的安全保障, 由阿里雲數據中心安全基礎設施提供。咱們重點介紹三個維度的安全措施：

第一個維度是數據中心保障設施，主要包括供電保障以及冷卻保障. 阿里雲數據中心能夠支持獨立的多路供電、低壓變配電系統和高冗餘UPS/HVDC以及高可靠後備電源系統和多級防雷接地系統, 這些設施共同爲阿里雲數據中心提供了高可用的供電保障。阿里雲數據中心的冷卻系統, 經過提供冷源設備管路以及終端的多路冗餘的基礎設施, 爲數據中心的提供了高可用的冷卻保障。

第二個維度是數據中心安全管控。阿里雲數據中心的運維過程遵循一系列的管控流程, 包括安全管控流程和運維管控流程. 在安全管控流程中，阿里雲數據中心將參與整個生產過程的人和物理建築各分爲三個等級，在每一個等級上標記不一樣的顏色，並基於這些顏色標記構建了色彩管控體系。同時，爲了檢驗安全管控流程在設施中持續有效的運行，阿里雲數據中心還創建了針對性的對抗檢驗體系。另外一方面，阿里雲數據中心還提供7×24運維監控，而且能夠將數據中心產生的各種運維事件接入到不一樣的管控平臺中。

第三個維度是數據中心的網絡安全。阿里雲數據中心一方面提供多路冗餘的網絡接入，最大限度保證接入網絡的可用性, 另外一方面提供低收斂比的網絡架構，針對大數據計算場景, 量身優化基礎網絡架構。此外，針對網絡攻擊，阿里雲數據中心不只能夠提供網絡高防服務和近源攻擊清洗的能力, 還能充分利用雲安全基礎設施WAF, 爲上層大數據平臺提供七層的網絡防護能力。
架構

大數據平臺系統安全

運維

MaxCompute平臺安全系統主要包括四個子系統：

訪問控制子系統，負責處理全部的訪問接入控制和權限控制. MaxCompute在接入控制上能夠支持IP白名單能力，在權限控制上提供ACL(DAC) , LABEL(MAC)權限控制以及基於屬性的POLICY(ABAC) 訪問控制能力, 還能經過Package提供安全的數據共享能力。

應用程序隔離子系統，該子系統提供獨立的隔離環境用於執行數據處理Application. MaxCompute 能夠支持 Java和Python語言編寫的UDF, 還可以支持執行三方計算引擎，這些都爲 MaxCompute的客戶提供了更加多元化的數據處理能力。

風控審計子系統，提供多種事件審計的日誌，主要包括任務日誌和用戶日誌及表的日誌，還提供多種的元數據能力，包括表和資源。

平臺可信子系統，基於可信硬件和軟件設施提供存儲加密等能力。
函數

MaxCompute平臺訪問控制子系統

性能

MaxCompute訪問控制子系統是構建平臺多租戶體系的基礎。MaxCompute中的每一個租戶擁有一個或多個project，每一個project會包括三類的內容。第一類是project屬性，包括Quota和Owner信息。第二類是project數組，包括User ID和Role。第三類是project全部的資源，包括表、函數、文件系統和Instance實例等。

做爲咱們將在雲上提供的新功能之一, 租戶能夠將VPC ID配置爲訪問控制條件，僅容許來自於指定VPC的請求,訪問特定的project，這就是MaxCompute訪問控制的VPC白名單能力。針對在企業場景中，咱們還將提供對console端識別的訪問控制能力, 以知足企業對生產設備進行日益嚴格的訪問管控安全需求。同時。MaxCompute還將在雲上提供權限系統2.0，這其中主要包括精細粒度ACL權限控制能力, 獨立的下載權限，以及人到表及表到人的權限查詢能力。全部這些新功能，都旨在爲公共雲上的企業客戶提供更安全更專業的數據受權和適用控制支撐。
大數據

MaxCompute平臺應用程序隔離子系統

優化

MaxCompute平臺上可支持多種類型的應用程序。當被租戶要求執行這些應用程序時，MaxCompute應用程序隔離子系統會將它們分別運行在獨立的虛擬化隔離環境中。這不只爲應用的運行環境兼容性提供了保障, 還充分保證了這些應用之間以及他們與平臺自身之間有足夠強度的安全隔離。

基於這些技術沉澱以及安全保障，MaxCompute平臺將在雲上爲企業客戶提供新的應用程序類型 --- 用戶自定義引擎。經過用戶自定義引擎, 企業基於Spark或者Flink等開源引擎定製的計算引擎，都將能夠用來在MaxCompute平臺中處理數據。

MaxCompute平臺風控審計子系統

MaxCompute平臺將爲雲上的企業客戶重點提供Information Schema 1.0功能。

MaxCompute Information Schema1.0 將包括三種類型的元數據, 分別是數據管理類, 權限管理類以及綜合分析類。基於第一類元數據, 用戶能夠實現詳細的數據生命週期的管理功能, 還能夠實現Owner檢索以及存儲尺寸檢索的數據管理功能。基於第二類元數據, 用戶能夠實現用戶或角色信息的查詢、用戶的權限查詢、資源的權限查詢、表和字段打標的查詢等, 這些企業級權限管理類功能。基於第三類元數據, 用戶能夠實現定製化分析的功能，包括熱表分析、表血緣分析、費用分析、性能分析等企業級分析功能。

MaxCompute Information Schema1.0將以準實時的方式爲用戶提供數據。

MaxCompute 平臺可信子系統

MaxCompute將在雲上爲企業客戶提供BYOK的存儲加密能力。用戶能夠將本身指定的祕鑰上傳到阿里雲KMS中做爲數據加密的根祕鑰。 MaxCompute平臺在進行數據加密時，通過用戶受權, 使用用戶上傳的主祕鑰生成數據加密祕鑰(DataKey)，而後使用DataKey對數據進行加密, 並將加密過的數據以及通過根祕鑰加密過的DataKey存儲在物理介質中。加密過程的算法能夠支持AES256和國密算法SM4。

存儲加密BYOK，賦予企業須要銷燬雲上數據的能力. 企業只須要在阿里雲KMS中銷燬根祕鑰, 便可實現銷燬雲上全部基於此根祕鑰加密的數據。

數據應用安全

數據應用安全，本質上須要解決三大數據應用風險: 數據泄露,數據濫用和數據誤用。

飛天大數據中臺經過DataWorks數據安全產品爲用戶提供完善的數據應用安全解決方案。DataWorks數據安全產品主要分類三個類別: 權限管控類產品將提供申請流程控制、審批流程控制、權限回收以及權限查看的基本的產品能力; 數據保護類產品將提供數據分類分級、敏感數據識別、數據打標、靜態脫敏以及差分隱私的能力; 風險治理類產品將提供敏感權限審計、數據訪問審計、數據防泄漏以及數據防濫用能力。

DataWorks 數據應用安全解決方案

DataWorks 數據應用安全解決方案如圖所示。數據識別能力爲用戶數據能夠提供多種類型的規則進行數據的打標，能夠基於數據的字段安全來定義數據的安全等級、我的信息數據等級、表安全等級和安全分類標籤，全部的數據在通過自動的識別以後，經過MaxCompute的字段級打標能力直接進入到MaxCompute的源數據中。

DataWorks權限管控類產品，能夠基於安全分類標籤, 對錶,字段級的權限申請進行控制. 這些權限申請在被提交後，交由企業內部業務角色審批。在審批經過以後, DataWorks使用MaxCompute的字段級ACL以及Label等受權手段，爲企業數據提供最小粒度的權限控制, 這幫助企業有效減小了數據濫用行爲。

全部的受權操做會進入到MaxCompute的風控審計數據中，並經過Information Schema提供給用戶進行審計。同時, 這些人員權限審計、資源權限審計、權限使用審計也將爲DataWorks 風險治理類數據安全產品提供了數據支撐. 經過使用這類產品, 企業能夠經過即時回收數據權限, 有效避免數據泄露。

通過數據識別, 打標爲我的敏感信息的數據, DataWorks提供靜態脫敏產品，並支持自定義脫敏規則。MaxCompute也提供回顯脫敏和下載脫敏的功能。此外，DataWorks還將提供差分隱私的脫敏服務。全部對我的敏感信息的使用也進入了到元數據中，經過MaxCompute Information Schema功能，爲用戶提供數據使用審計支持。

DataWorks數據安全權限管控產品

DataWorks 數據安全產品主要分爲權限管控類和數據保護類兩個部分。

DataWorks數據安全權限管控產品

DataWorks 安全中心2.0目前提供權限管控功能. 用戶能夠在DataWorks安全中心中針對特定的字段進行權限申請。在權限申請中能夠設置特定的權限使用時間、權限申請理由以及使用範圍。權限申請在被提交以後，將會出如今權限審批者的頁面中. 在審批者的待審批頁面中，能夠看到申請者提供的詳細申請信息。當審批按照拒絕流程處理時，申請人的列表裏，也會看到申請人拒絕審批的狀態。同時，在權限審批完成後，安全中心會提供表到人和人到表的權限查詢功能，並能夠在功能中直接進行權限回收。

DataWorks數據安全數隱私保護產品

差分隱私是目前在數學上能夠證實隱私保護手段。將包含敏感信息的數據通過差分隱私脫敏處理後, 脫敏數據與原始數據之間呈現出數學上可描述的機率分佈規律，如上圖所示。紅線是包含原始數據，黑線是通過脫敏的數據。這意味着, 在某些統計場景中, 能夠用脫敏後的數據替代原始數據而不影響統計結果。

DataWorks差分隱私服務提供兩個UDF函數，分別用來實現數據脫敏和脫敏結果的統計計算。由上圖能夠看出，通過DataWorks差分隱私服務脫敏處理後，脫敏數據與原始數據能夠呈現出很是好的統計一致性。

阿里雲飛天大數據平臺安全體系

最後咱們來回顧一下阿里雲飛天大數據中臺安全體系的主要內容。

首先，阿里雲數據中心的安全基礎設施爲飛天大數據中臺提供了物理層安全設施和安全管控流程,還提供了網絡安全的支撐。

在這之上，MaxCompute平臺安全系統經過訪問控制子系統、應用程序隔離子系統、風控審計子系統和平臺可信系統爲企業客戶提供大數據平臺的完整性保障。這一層最新發布了VPC白名單、App端識別、權限系統2.0以及用戶定義計算引擎的能力。還最新支持了InformationSchema1.0元數據能力和BYOK存儲加密能力。

在往上一層, DataWorks 數據安全產品爲用戶的數據應用場景提供的數據防泄漏，數據防濫用以及數據防誤用的能力。這一層主要包括權限管控類產品、數據保護類產品以及風險治理類產品。Dataworks最新發布了安全中心2.0以及差分隱私服務。

全部的產品和系統爲用戶數據的全生命週期安全提供了堅實保障。

原文連接

本文爲雲棲社區原創內容，未經容許不得轉載。