數據安全在云原生時代的探索與實踐-夏巨鵬.pdf

《數據安全在云原生時代的探索與實踐-夏巨鵬.pdf》由會員分享，可在線閱讀，更多相關《數據安全在云原生時代的探索與實踐-夏巨鵬.pdf（26頁珍藏版）》請在三個皮匠報告上搜索。

1、數據安全在云原生時代的探索與實踐夏巨鵬/真諦 螞蟻集團內容一.數據安全合規趨勢及挑戰二.數據安全實踐介紹三.核心技術介紹1.數據2.向云原生要數據3.智能防控體系四.未來發展方向五.總結數據安全合規趨勢與挑戰國內法規國內法規國家安全法密碼法網絡安全法數據安全法個人信息保護法民法典國際法規國際法規 2005，日本，個人信息保護法 2012，新加坡，個人數據保護法 2018，歐盟，通用數據保護條例GDPR 2019，美國，國防部數據戰略、聯邦數據戰略及2020年行動計劃規范數字經濟活動規范數字經濟活動，保障數字經濟安全保障數字經濟安全權利主體義務主體責權量化數據數據場景場景度量場景中度量場景中每個

2、每個值值數據安全數據安全數據規模大場景復雜度高大型互聯網企業大型互聯網企業基礎設施演進階段不一VS業務迭代快數據安全實踐介紹數字經濟安全數字經濟安全業務場景業務安全數據安全網絡安全基礎設施法律責任明確介于業務安全與網絡安全之間較網絡安全而言，需向上關聯業務場景向下對網絡安全、基礎設施提出新要求數據安全數據安全數據安全數據安全復用傳統安全能力復用傳統安全能力終端管控終端管控網絡管控網絡管控身份認證身份認證權限管理權限管理探索新技術紅利探索新技術紅利云原生重塑基礎設施云原生重塑基礎設施大數據技術廣泛應用大數據技術廣泛應用機器智能深入垂直領域機器智能深入垂直領域以數據為中心的技術體系以數據為中心的技

3、術體系數據驅動數據驅動數據數據 vs 場景場景靜態數據靜態數據 vs 流動路徑流動路徑可達可達 vs 事實事實合規保證合規保證授權授權使用審計使用審計全生命周期保護全生命周期保護復合治理復合治理戰略要位戰略要位實戰牽引實戰牽引全員參與全員參與技術創新技術創新核心技術介紹數據向云原生要數據智能防控體系數據-如何度量場景中每個值ABP1A：Id1B：Id2P1：數據類型1，數據類型2，數據-如何度量場景中每個值ABP1P2A：Id1B：Id2P1：數據類型1，數據類型2，P2：數據類型x，數據類型y，數據-如何度量場景中每個值ABP1P2A：Id1B：Id2P1：數據類型1，數據類型2，P2：數據

4、類型x，數據類型y，數據-如何度量場景中每個值A：Id1B：Id2C:Id3D:Id4P1：數據類型1，數據類型2，P2：數據類型x，數據類型y，P3：數據類型I，數據類型II，P4：數據類型i，數據類型ii，ABP1P2CP4P3D數據-ERB模型ABP1P2CP4P3DEEntity（實體），數據流動途經的節點，由一個Id和多個屬性來表示RRelation（聯系），數據流動節點間的可達性，類似圖數據結構中的邊，由一個Id和多個數據類型來表示，和節點一起刻畫鏈路BBehavior（行為），數據流動的事實行為，表達每次數據的流動簡潔簡潔、直觀的直觀的ERB模型模型應用維度應用維度E1:應用1E

5、2:應用2E1E2R1B1：值1，R1，E1-E2;值2,E1-E2,B2：值x，R1，E1-E2;值y,E1-E2,Bn：值I，R1，E1-E2;值II,E1-E2,架構域維度架構域維度E1:架構域1E2:架構域2E1E2R1B1：值1，R1，E1-E2;值2,E1-E2,B2：值x，R1，E1-E2;值y,E1-E2,Bn：值I，R1，E1-E2;值II,E1-E2,數據-ERB模型的同構性子公司維度子公司維度E1:子公司1E2:子公司2E1E2R1B1：值1，R1，E1-E2;值2,E1-E2,B2：值x，R1，E1-E2;值y,E1-E2,Bn：值I，R1，E1-E2;值II,E1-E

6、2,數據的數據的同構性同構性1.遍歷E及E的屬性，檢查節點的風險2.遍歷R及R的屬性，檢查鏈路加固漏洞3.分析B，確定數據使用行為風險算法的算法的遞歸性遞歸性風險求解算法舉例風險求解算法舉例回顧數據數據場景場景度量場景中度量場景中每個每個值值數據安全數據安全BE描述數據流動描述數據流動R合規立法合規立法側重邊界關注數據向云原生要數據sidecarABCsidecarsidecarIsidecarDataEApp CallAPI CallS向云原生要數據-R的邊緣視角IApp CallAPI Callhttps:/ CallAPI Callhttps:/ traceId 跟蹤R中的一次全鏈路調用

7、Data向云原生要數據-從R到全鏈路2sidecarABCsidecarsidecarIsidecarApp CallAPI CallData鏈路采集控制器2、在Ingress（邊緣）、sidecar（近源）增加鏈路采集功能鏈路采集鏈路采集3、根據定義的path，分發不同的config到不同的邊緣與近源采集點4、百萬級節點接收分發結果，復雜性高，穩定性及性能均存在極大挑戰1、traceId末位取模，冷啟動向云原生要數據-從R到全鏈路3sidecarABCsidecarsidecarIsidecarApp CallAPI CallData鏈路采集控制器2、在Ingress（邊緣）、sidecar

8、（近源）增加鏈路采集功能鏈路采集鏈路采集3、根據定義的path，分發不同的config到不同的邊緣與近源采集點4、百萬級節點接收分發結果，復雜性高，穩定性及性能均存在極大挑戰1、traceId末位取模，冷啟動3、由于traceId在邊緣處生成，故可以在traceId上動手腳：如，邊緣和近源發現traceId以 G 開頭，則無腦采集鏈路數據4、鏈路采集控制器僅需考慮邊緣traceId生成即可完成整個采集過程，節點數驟降5、多種采樣策略融入鏈路采集控制器向云原生要數據-從R到BIApp CallAPI Call鏈路采集控制器鏈路鏈路RCount/day采樣策略采樣策略備注備注Path1100萬10

9、:00-12:00，每分鐘頭10s，隨機1/10，邊界無敏感數據，但中間節點涉及敏感數據內部流動Path21千全天，全量，含極度敏感數據，且當前鏈路未有防護手段覆蓋Path310億17:00-18:00，全量1/100萬含低敏感數據，且當前鏈路有防護手段覆蓋.回顧數據數據場景場景度量場景中度量場景中每個每個值值數據安全數據安全BE描述數據流動描述數據流動R合規立法合規立法側重邊界關注數據數據流動刻畫數據流動刻畫IApp CallAPI Call鏈路采集控制器智能防控體系數據體系-ERB態勢感知云原生/基礎設施安全管控邊緣/近源威脅態勢數據采集/清洗風險態勢防控態勢檢測響應防護外部數據源風險/威

10、脅 檢測算法自動化響應賬戶/終端/網絡/主機/應用/數據多層防護能力編排數據靜態分布刻畫數據流動鏈路刻畫安全主體刻畫未來發展方向數據安全與云原生、大數據、機器智能技術結合愈發緊密數據保護技術成為數據要素時代關鍵技術數據安全合規科技成為企業持續發展的核心競爭力總結2021年作為數據安全元年，大型互聯網企業面臨挑戰，建設思路從側重邊界到關注數據流動大數據、云原生、機器智能等技術給安全行業帶來的機遇以數據安全中的數據鏈路刻畫為關鍵問題，給出ERB數據模型應用的探索與實踐智能防控體系，介紹如何以數據體系為核心，將智能化深入防控的方方面面基礎設施與數據應用能力仍在快速演進，數據安全技術發展加速，同時也在不斷突破自身領域的核心問題