MaxCompute大數(shù)據(jù)安全方案介紹

MaxCompute 是一個(gè)支持多租戶的統(tǒng)一大數(shù)據(jù)處理平臺(tái)，不同的用戶對(duì)數(shù)據(jù)安全需求不盡相同。為了滿足不同租戶對(duì)數(shù)據(jù)安全的靈活需求，MaxCompute 支持項(xiàng)目空間級(jí)別的安全配置，ProjectOwner 可以定制適合自己的外部賬號(hào)支持和鑒權(quán)模型并且在某種程度上保障Project的數(shù)據(jù)安全。

通常情況下，常見(jiàn)的開(kāi)發(fā)模式為_(kāi)_MaxCompute+DataWorks__方式，針對(duì)這種場(chǎng)景下數(shù)據(jù)安全方案如下：

一、禁止數(shù)據(jù)下載到本地

禁止數(shù)據(jù)流出或下載本地

方式①：

數(shù)據(jù)保護(hù)機(jī)制也被稱之為開(kāi)啟項(xiàng)目空間數(shù)據(jù)保護(hù)，可以通過(guò)MaxCompute console 開(kāi)啟服務(wù)端禁止數(shù)據(jù)流出：

方式②：

那么更多開(kāi)發(fā)者通過(guò)DataWorks進(jìn)行數(shù)據(jù)分析，通常會(huì)屏顯在IDE上并且可以下載結(jié)果，這種可以通過(guò)項(xiàng)目管理 》 項(xiàng)目配置中打開(kāi)“在本項(xiàng)目中能下載select結(jié)果”，具體如下：

那么這種情況下，在DataWorks查詢結(jié)果頁(yè)面就不可以通過(guò)“下載”按鈕進(jìn)行下載數(shù)據(jù)到本地。

開(kāi)啟數(shù)據(jù)保護(hù)機(jī)制后的數(shù)據(jù)流出方法

在您的Project被設(shè)置了ProjectProtection之后，您可能很快就會(huì)遇到這樣的需求：user1向您提出申請(qǐng)，她的確需要將某張表的數(shù)據(jù)導(dǎo)出您的項(xiàng)目空間。

而且經(jīng)過(guò)您的審查之后，那張表也的確沒(méi)有泄漏您關(guān)心的敏感數(shù)據(jù)。為了不影響user1的正常業(yè)務(wù)需要，MaxCompute為您提供了在ProjectProtection被設(shè)置之后的兩種數(shù)據(jù)導(dǎo)出途徑。

方式①：

ProjectOwner設(shè)置ExceptionPolicy，針對(duì)已經(jīng)開(kāi)啟項(xiàng)目數(shù)據(jù)保護(hù)的進(jìn)行開(kāi)例外。具體方式如下（需要通過(guò)MaxCompute console操作）：

SET ProjectProtection=true WITH EXCEPTION 《policyFile》

這種policy不同于Policy授權(quán)（盡管它與Policy授權(quán)語(yǔ)法完全一樣），它只是對(duì)項(xiàng)目空間保護(hù)機(jī)制的例外情況的一種描述，即所有符合policy中所描述的訪問(wèn)情形都可以打破ProjectProtection規(guī)則?！贰贰穚olicy詳細(xì)文檔

ProjectProtection是一種數(shù)據(jù)流向的控制，而不是訪問(wèn)控制。只有在用戶能訪問(wèn)數(shù)據(jù)的前提下，控制數(shù)據(jù)流向才是有意義的。

*** 另外，可以通過(guò)show grants ［for 《username》］ ［on type 《objectType》］ 查看某用戶權(quán)限，查看是否加例外成功。

方法②：

設(shè)置TrustedProject，若當(dāng)前項(xiàng)目空間處于受保護(hù)狀態(tài)，如果將數(shù)據(jù)流出的目標(biāo)空間設(shè)置為當(dāng)前空間的TrustedProject，那么向目標(biāo)項(xiàng)目空間的數(shù)據(jù)流向?qū)⒉粫?huì)被視為觸犯ProjectProtection規(guī)則?？梢酝ㄟ^(guò)如下命令方式進(jìn)行設(shè)置（需通過(guò)MaxCompute console進(jìn)行）：

二、IP白名單控制

MaxCompute支持Project級(jí)別的IP白名單。

設(shè)置IP白名單后，只有白名單列表中的IP（console或者SDK所在的出口IP）能夠訪問(wèn)這個(gè)Project。

設(shè)置IP白名單后，您需要等待五分鐘后才會(huì)生效。

切記在設(shè)置白名單的時(shí)候，加上自己當(dāng)前機(jī)器IP，以免把自己屏蔽。

setproject odps.security.ip.whitelist=101.132.236.134，100.116.0.0/16，101.132.236.134-101.132.236.144;

白名單中IP列表的表示格式有三種。

單純IP：例如101.132.236.134。

子網(wǎng)掩碼：100.116.0.0/16。

網(wǎng)段：101.132.236.134-101.132.236.144。

具體詳細(xì)教程可以參考，》》》》IP白名單控制。

更精細(xì)化的管理

當(dāng)然MaxCompute Policy機(jī)制也可以實(shí)現(xiàn)控制某個(gè)用戶/或者角色的用戶從具體IP地址來(lái)訪問(wèn)具體資源（表、UDF、資源）等。

Policy樣例：

授權(quán)用戶alice@aliyun.com只能在“2013-11-11T23:59:59Z”這個(gè)時(shí)間點(diǎn)之前、只能從“10.32.180.0/23”這個(gè)IP段提交請(qǐng)求， 只允許在項(xiàng)目空間prj1中執(zhí)行CreateInstance， CreateTable和 List操作，禁止刪除prj1下的任何table。具體可以參考Policy文檔。

三、數(shù)據(jù)保護(hù)傘（數(shù)據(jù)脫敏）

數(shù)據(jù)保護(hù)傘為DataWorks的一個(gè)數(shù)據(jù)安全模塊，具體可以通過(guò)點(diǎn)擊進(jìn)入進(jìn)行了解，其包括數(shù)據(jù)脫敏、安全審計(jì)等。https://help.aliyun.com/document_detail/86320.html

可以針對(duì)敏感數(shù)據(jù)在DataWorks屏顯進(jìn)行加**顯示，如下圖所示：

注意：數(shù)據(jù)保護(hù)傘是DataWorks的一個(gè)模塊，如果使用了數(shù)據(jù)保護(hù)傘且進(jìn)行了數(shù)據(jù)脫敏，但是通過(guò)console進(jìn)行tunnel download還是未脫敏狀態(tài)。

四、細(xì)粒度的權(quán)限管控

1、列級(jí)別LabelSecurity訪問(wèn)控制

項(xiàng)目空間中的LabelSecurity安全機(jī)制默認(rèn)是關(guān)閉的，ProjectOwner可以自行開(kāi)啟。

【應(yīng)用場(chǎng)景】

場(chǎng)景說(shuō)明：user_profile是某項(xiàng)目空間中的一張含有敏感數(shù)據(jù)的表，它包含有100列，其中有5列包含敏感數(shù)據(jù)：id_card， credit_card， mobile， user_addr， birthday. 當(dāng)前的DAC機(jī)制中已經(jīng)授權(quán)了所有用戶對(duì)該表的Select操作。ProjectOwner希望除了Admin之外，所有用戶都不允許訪問(wèn)那5列敏感數(shù)據(jù)。

ProjectOwner操作步驟如下：

Alice是項(xiàng)目空間中的一員，由于業(yè)務(wù)需要，她要申請(qǐng)?jiān)L問(wèn)user_profile的mobile列的數(shù)據(jù)，需要訪問(wèn)1周時(shí)間。項(xiàng)目空間管理員操作步驟如下：

GRANT LABEL 2 ON TABLE user_profile TO USER alice WITH EXP 7;

更多關(guān)于列級(jí)別安全控制文檔：https://help.aliyun.com/document_detail/34604.html

2、Role Policy管理自定義Role

很多用戶會(huì)因?yàn)镈ataWorks內(nèi)置的數(shù)據(jù)開(kāi)發(fā)、運(yùn)維、管理員等角色不能滿足其個(gè)性化需求，會(huì)基于ACL創(chuàng)建符合自己業(yè)務(wù)邏輯的角色如數(shù)據(jù)分析師、ETL開(kāi)發(fā)等，基于這些role如何進(jìn)行復(fù)雜的授權(quán)，如批量授予ods_開(kāi)頭的表權(quán)限，但限制條件的，以及Deny類型的角色，這個(gè)時(shí)候就需要結(jié)合Role policy來(lái)精細(xì)化管理。

一次操作對(duì)一組對(duì)象進(jìn)行授權(quán)，如所有的函數(shù)、所有以”taobao”開(kāi)頭的表。

帶限制條件的授權(quán)，如授權(quán)只會(huì)在指定的時(shí)段內(nèi)才會(huì)生效、當(dāng)請(qǐng)求者從指定的IP地址發(fā)起請(qǐng)求時(shí)授權(quán)才會(huì)生效、或者只允許用戶使用SQL（而不允許其它類型的Task）來(lái)訪問(wèn)某張表。

方式①：

Policy操作代碼如下所示：

更多關(guān)于Policy的介紹以及操作詳見(jiàn)文檔：http://www.aiwanba.net/plugin/odps-doc/prddoc/odps_security/odps_sec_authorization_dac.html

方式②：

通過(guò)DataWorks-項(xiàng)目管理-MaxCompute配置-自定義用戶角色中進(jìn)行。

創(chuàng)建步驟：

【新增角色】點(diǎn)擊新建角色，填寫(xiě)角色名稱，勾選需要加入該角色的賬號(hào)（子賬號(hào)用戶）。

【角色授權(quán)】包括兩種一個(gè)是表一個(gè)是項(xiàng)目。以表為例：

選擇需要授權(quán)的表，并賦予相應(yīng)的操作權(quán)限，如下所示針對(duì)具體表賦予具體權(quán)限。

說(shuō)明：上述兩種方式最大的區(qū)別就是，role policy可以進(jìn)行批量表授權(quán)，如以taobao_開(kāi)頭的。但是DataWorks大的方式需要逐個(gè)表來(lái)進(jìn)行篩選并配置權(quán)限。

四、JDBC 2.4（數(shù)據(jù)安全加固）

MaxCompute JDBC 2.4針對(duì)數(shù)據(jù)安全加固做了一定的挑戰(zhàn)，具體JDBC地址：https://github.com/aliyun/aliyun-odps-jdbc/releases

在JDBC中使用數(shù)據(jù)安全加固方案具體步驟：

下載JDBC 2.4（建議）

配置jdbc url，通常如下制定Tunnel endpoint地址，如 jdbc:odps:http://service.cn.maxcompute.aliyun-inc.com/api？tunnelEndpoint=http://dt.cn-shanghai.maxcompute.aliyun-inc.com。

具體region對(duì)應(yīng)的MaxCompute Endpoint和Tunnel Endpoint可以參考文檔：https://help.aliyun.com/document_detail/34951.html

開(kāi)啟項(xiàng)目保護(hù)SET ProjectProtection=true，不需要加exception例外，具體可以想見(jiàn)項(xiàng)目保護(hù)機(jī)制章節(jié)。

打開(kāi)控制返回?cái)?shù)據(jù)條數(shù)：setproject READ_TABLE_MAX_ROW=1000;

基于JDBC的工具進(jìn)行查詢，數(shù)據(jù)返回條數(shù)會(huì)控制在1000條以內(nèi)。

說(shuō)明：如果使用的版本小于JDBC 2.4，并且開(kāi)啟了項(xiàng)目保護(hù)那么通過(guò)JDBC方式會(huì)直接報(bào)錯(cuò)（無(wú)權(quán)限）。

作者：云棲社區(qū) 祎休