海量資料的使用正在為企業創造越來越多的價值,與此同時,資料也正成為企業的核心資産;如何在對資料高效使用的同時,確定資料的安全,尤其是敏感資料的安全,是一個重要的安全課題,也是很多企業的核心訴求。本次對阿裡雲SDDP(敏感資料保護)産品進行了測試調研。
一.主要功能
測試過程中,了解到SDDP實作的功能主要包括:
1.敏感資料識别:基于敏感資料識别規則,對使用阿裡雲産品服務中産生的資料進行分析,識别出其中的敏感資料和對應的風險等級。
2.異常事件告警:從權限開放,資料流轉和操作等方面對潛在的異常事件告警。
3.資料脫敏:敏感資料從高安全級别區域/系統進入低安全級别區域/系統使用前,進行靜态脫敏。
4.其他增強特性:如API等。
二.功能體驗
目前SDDP主要支援OSS,RDS,MaxCompute這三款阿裡雲産品,在使用該産品之前,首先需要對相應的産品資源進行連接配接授權,確定SDDP對這些資源有足夠的權限進行操作。
1.連接配接授權
以下是三種資源連接配接授權界面的截圖,整個過程還是比較簡單的,選擇需要授權的資源,并填入必要的連接配接資訊(如RDS的使用者名/密碼)即可。
連接配接授權資訊填入完畢後,SDDP會嘗試使用該授權資訊通路對應的資源,如果沒有問題,檢測狀态會變為通過,後續就可以正常使用SDDP的各項功能,連接配接授權整個配置過程還是比較簡單的。
2.敏感資料識别
2.1規則相關配置
敏感資料的識别需要基于一系列既定的規則,從實際使用過程中了解到,SDDP預設已經内置了一系列常見的敏感資料的識别規則,如身份證,手機号,銀行卡等個人敏感資訊的識别,以及在應用開發部署和安全場景中會經常接觸到的AccessKeyId,AccessKeySecret,key私鑰等敏感資訊。
敏感識别規則頁面可以看到SDDP預設内置了三十多項常見的敏感資料識别規則。以下是敏感識别規則頁面的部分截圖,可以看到,内置的規則覆寫了一些較為典型的敏感資料資訊,并且預設定義好了該類資訊對應的風險等級;例如身份證和手機号風險被定義為S3,銀行卡為S4;AccessKeyId被定義為S3,而AccessKeySecret和Key私鑰等則被定義為S4,個人認為預設的風險等級定義還是比較合理的。
值得一提的是,發現預設規則還內建了對身份證圖檔,護照圖檔等圖檔資訊的敏感資訊識别,推測可能使用了OCR之類的圖像識别技術?這一點還是很不錯的,畢竟現在的确有很多敏感資訊是通過圖檔的方式進行存儲,常見的直接基于文本字元串的識别規則,并不能覆寫這一部分。
敏感識别規則這一部分,除了産品自帶的一系列規則外,也支援自定義規則的配置,可以看到支援關鍵字以及正規表達式比對的模式,并且能對自定義的規則設定風險等級。
不過,關于自定義規則,發現有一些不友善的是,自定義的規則無法修改,如果因為規則編寫的原因需要修改時,隻能将原政策删除,重新添加。
其實建議這個自定義規則,可以和内置規則保持一些差異,自定義規則可以允許使用者編輯,因為在添加規則中,特别是正規表達式類型,由于編寫的準确性,是很有可能需要修改的。
2.2識别結果展示
因本次測試未添加MaxCompute資源,以下是OSS及RDS敏感資料識别頁面的展示效果:
從展示效果來看,還是不錯的;如果點選上圖中具體的資源,例如OSS的某個bucket或者RDS的某個庫,會顯示出具體的哪個對象包含敏感資訊,以及對應的風險等級:
在這裡需要注意的是,目前的展示效果不能對資料進行隐藏,例如隻顯示某一級别,或者某個級别以上的對象,擔心如果加入的資源較多時,展示效果可能會比較混亂,難以找到關鍵的風險資訊;在使用中就發現,例如我需要查找某個包含了S3級别風險的RDS字段時,因為該庫中的表和字段較多,需要翻頁,在多個S2中找到一個S3,比較困難。這應該是可以改進的地方。
3.異常事件告警和處置
SDDP能基于對OSS/RDS/MaxCompute等場景異常的定義,産生異常告警事件。目前的異常場景和事件規則定義以下:
可以看到,規則的豐富度尚可,但是不支援對規則的編輯,或者針對使用者場景的自定義規則,定制化略有不足。
在“異常事件處理”的标簽頁下,可以看到基于目前異常事件規則所産生的一些告警事件:
點選檢視詳情,可以看到該異常事件的細節;另外,在處理頁面,能對該異常事件的跟進調查進行簡單記錄,并确認是否誤報還是的确違規。
4.資料脫敏
通常,對資料脫敏功能的衡量,主要從支援的脫敏方式,以及脫敏動作執行的便利性,效率等方面來判斷。從SDDP資料脫敏的實際體驗來看,基本覆寫了目前最常見的一些資料脫敏方式,适用于對不同類型的源資料作脫敏,還是很全面的。比較貼心的是,對脫敏算法進行配置時,有一個測試功能,能夠提前驗證脫敏效果是否符合自己的預期。
資料脫敏的具體操作執行上,需要在脫敏任務裡指定脫敏源,脫敏算法,目标位置;該功能的實際使用比較簡單,配置也很友善,以下以RDS的脫敏為例,可以很便利的對需要脫敏的字段進行脫敏開關的開啟,在對脫敏算法進行選擇是,也支援提前測試和驗證:
任務的觸發方式,也支援人工,定時,人工+定時等多種方式;對于脫敏後可能存在的資料沖突,也給了使用者不同的選擇方式。
以下是任務建立完畢,并執行完成的截圖:
整體使用中,感覺資料脫敏的功能相當不錯,不管是功能設計,還是使用者體驗,都很不錯。
5.API等增強功能
根據産品介紹,SDDP也是支援通過API進行相關查詢和操作的,不過本次因時間原因,暫未對其API進行測試。
三.計費模式與版本
目前官方公布的計費模式如下:
從已經公布的敏感資料識别功能的計費模式來看,價格整體還算比較合理,OSS支援的最大存儲量為10T,RDS則為20個庫,對于部分深度企業使用者來說,總量很可能遠超這些;是以在使用中,個人認為更适合對那些比較重視資料敏感性的bucket和庫進行授權識别,而不是所有資源,這樣從使用效率以及成本上都可能會更好。至于敏感資料脫敏的計費模式,也值得後期關注。
四.總結與建議
經過以上的測試體驗,得出以下結論:
1.整體功能設計還是比較完善的,覆寫到了資料識别,事件跟進處置,基于處置的算法優化,以及資料脫敏等核心功能,有閉環的整體架構性設計;特别是資料脫敏功能,使用起來感覺很友善。
2.在敏感資料展示,敏感資料定位方面,目前對于使用者來講,還有些不便的地方,畢竟識别出來隻是第一步,定位到資料本身才是後續通常要進行的動作;另外,使用者自定義規則方面,目前給與使用者的選擇還不太夠,可以完善。