2021年1月28日,阿裡雲正式釋出資料安全中心,在整合敏感資料保護(SDDP)等産品能力基礎上,為客戶提供全域一體标準化的雲上資料安全防護服務。
資料安全中心防護能力涵蓋非結構化、半結構化及結構化等不同類型資料,尤其在資料加密和脫敏領域,面向全體雲上開發者,提供了便捷,靈活,标準化的能力支援。
資料安全中心能力概述
2020年中釋出的《個人資訊保護法》草案中,對資料匿名化和去辨別化提出了明确要求,但在落地過程中,由于應用開發與資料使用場景的複雜多樣,通常很難形成标準化的脫敏防護體系。
阿裡雲資料安全中心通過多年的内部沉澱,為廣大雲上開發者提供了豐富的資料匿名化和去辨別化算法,可以根據實際業務場景靈活選擇,自定義參數,做到個性化資料脫敏。
小知識
· 動态脫敏
典型場景:主要用于直接通路生産資料的資料脫敏使用場景,例如前端頁面展示或應用使用資料的過程中進行脫敏。
适合人員:應用與資料開發人員,通過開發和應用接口實作資料防護。
關于資料安全中心提供的動态脫敏能力,可以參考以下文檔:
https://help.aliyun.com/document_detail/173158.html· 靜态脫敏
典型場景:主要用于将資料抽離生産環境并進行分發和共享的場景,例如生産環境向開發測試環境的資料脫敏導出。
适合人員:資料庫與資料安全管理者,定期實作資料防護。
關于資料安全中心提供的靜态脫敏能力,可以參考以下文檔:
https://help.aliyun.com/document_detail/124295.html資料脫敏方式比較示例資料脫敏不再難,阿裡雲資料安全中心幫您輕松搞定!步驟1:明确需要脫敏的資料。步驟2:确定需要的脫敏算法。步驟3:配置脫敏模闆。步驟4:在應用程式中引用SDK和脫敏函數,編寫代碼。
資料安全中心提供了自定義脫敏模闆:
企業應用開發人員可以通過自定義算法模闆,以API形式調用雲端脫敏接口,在應用層面實作敏感資料的自動化敏感度降級處理,大大提升應用可擴充性和算法的可維護性。
有關自适應脫敏模闆的介紹,可以參考以下文檔:
https://help.aliyun.com/document_detail/155870.html企業開發人員可以通過自适應的脫敏模闆,完成各類不同場景的資料脫敏分發,例如定期從生産環境向開發測試環境脫敏,不同資料類型(如OSS中的csv向RDS的資料表)之間的異構脫敏,資料庫層面的原庫/原表脫敏等等。
脫敏場景舉例:在頁面展示時進行個人身份證号和手機号的脫敏
描述:通過資料安全中心提供的SDK與API實作敏感資料的動态脫敏。
步驟1:明确需要脫敏的資料。
對于正常的頁面展示服務,一般會通過【Web頁面-應用-資料庫】的通路形式進行資料流的傳輸,動态脫敏無需更改資料庫底層資料,而是在應用中内嵌SDK,調用雲端API,實作敏感資料的脫敏。
本例中需要脫敏的字段為身份證号碼和手機号碼,存放資料的資料表列名分别為:
【身份證号碼】 - 列名【person id】
【手機号碼】 - 列名【phone number】
步驟2:确定需要的脫敏算法。
一般對于敏感資料,都有相對比較通用的脫敏算法可供使用,本例中主要使用遮蓋算法進行脫敏處理:
【身份證号碼】:一般為18位資料,展示時一般僅展示最後6位,其餘通過*進行遮蓋。
例如:123456
算法選擇:【遮蓋脫敏】-【保留自x至y】-【x=13,y=18】
【手機号碼】:國内一般為11位數字,通常會保留前三位和後四位,其餘通過*進行遮蓋。
例如:138**1234
算法選擇:【遮蓋脫敏】-【遮蓋自x至y】-【x=4,y=7】
使用哪種脫敏算法,一般需要根據實際業務場景進行選擇:
對于無需還原和二次處理的資料,一般使用匿名化方式,如遮蓋、哈希、取整等;
對于需要二次處理的資料,一般使用混淆,随機替換,加密等方式進行處理。
阿裡雲資料安全中心目前提供了多達30種脫敏算法,供開發者在各種場合根據業務需要進行選擇和使用。相關算法可以參考:
https://help.aliyun.com/document_detail/125498.html步驟3:配置脫敏模闆。
(前提:需要通過阿裡雲賬号開通阿裡雲資料安全中心服務)
記錄下應用連接配接資料庫過程中資料表中存放敏感資料的表字段名稱。
例如:身份證列名:【person id】;手機号:【phone number】
在資料安全中心控制台選擇建立一個脫敏模闆,比對方式選擇字段名稱(敏感類型目前僅支援靜态脫敏),在界面上分别填入列名和在步驟二中确定的脫敏算法,如下圖:
确認後記錄下模闆ID,在SDK中引用時能夠使用。
步驟4:在應用程式中引用SDK和脫敏函數,編寫代碼。
在應用中構造API Request,通過API請求的方式,獲得脫敏結果。以Python代碼舉例:
API調用示例,目前支援公共雲的API請求,如果需要雲内部請求,可以聯系資料安全産品團隊:
關于資料安全中心提供的ExecDatamask脫敏接口,可以參考以下文檔:
https://help.aliyun.com/document_detail/157173.html注意:在client連接配接中使用的accessKeyId和accessSecret能夠通過使用RAM Role進行更安全的授權,避免在應用中直接寫入AK/SK,降低洩漏風險。
【輸入參數】:
TemplateId選擇模闆ID,上例中為步驟三中記錄的303;
Data部分目前支援json的格式的輸入,能夠根據資料庫結構構造:
【輸出結果】
json格式的脫敏結果:
截止目前,阿裡雲資料安全中心已經累計為雲上客戶運作了數以萬計的脫敏任務,實作了幾百億字段的脫敏。同時,資料安全中心累計幫助雲上客戶防範了上百起潛在的資料洩漏事件。
除了脫敏能力的更新,阿裡雲資料安全中心還在下列能力上進行了擴充,為企業安全管理者提供如下能力:
· 中繼資料視角更加精準的自動識别與分類分級
阿裡雲資料安全中心通過提供接口的方式,從中繼資料視角打通各類資料,賦能客戶以更全局、更精準的視角,審視自身業務資料中存在的安全隐患,并針對性的落地防洩漏措施。
· 從靜态檢測到動态感覺進化的全域資料審計
資料安全中心可以實作對雲上各類資料源的安全審計,并在此基礎上深耕防洩漏場景,幫助客戶實作全域資料的風險感覺。
通過上述三大核心能力,資料安全中心能夠滿足企業在資料安全防護的核心訴求:
1. 提升治理能力
2. 降低洩露風險
3. 保障安全合規
還在等待什麼?快來免費試用阿裡雲資料安全中心吧!
https://www.aliyun.com/product/security/sddp附上阿裡雲SDK下載下傳連結:
https://next.api.aliyun.com/api-tools/sdk/Sddp?version=2019-01-03&language=python