拿什么保护你---TDW数据安全
互联网时代,大数据扮演着极为重要的角色;腾讯作为中国最大社交平台,具备最具权威、代表性的互联网大数据。数据平台部TDW作为公司级的海量数据存储和计算平台,集中了公司90%以上产品(近400款)的核心数据,覆盖全部BG,积累约4000个开发者,如何保障如此之多的用户安全合理地使用这么丰富珍贵的数据?本文将从数据生命周期(传输—>存储—>使用)角度揭密数平的数据安全体系如何为腾讯大数据保驾护航。
1 传输安全
所有数据通过tdbank自动采集接入,只要告诉TDBank数据在哪里,数据是什么,数据要怎么用,TDBank就会自动完成一整套的数据采集分拣和处理流程,无需人工干预, 缩短流程,降低风险。
针对敏感数据,在通道中设置加密,密钥由数据owner掌握,同时TDW支持运行加密数据的sql,数据在TDW中可用但不可见,犹如数据咖啡馆,既让数据流动碰撞发挥价值,又保护了数据安全。
2 系统安全
2.1 洋葱入侵检测
TDW所有机器在机器初始化后默认安装洋葱客户端,上报所有用户行为数据至洋葱服务端,并对行为分析、分类,针对对检测入侵行为链和对敏感操作进行有效监控、分析、告警。
2.2 铁将军管理
通过接入铁将军系统,建立帐号管理、权限管理及运维审计体系:
- 集中管理账户:实名制用户通过PIN+TOLKEN动态口令进行登录
- 帐号权限管理:Sudo权限管理
- 实名审计:实名审计操作行为及可回溯
3 存储安全
数据量大(volume)且类型繁多(Variety)是大数据的两大特征,这为数据应用带来了福音。同时,对于大数据存储来说,这是一项大的考验,如此大而全的数据我们如何保证数据的完整存储,不丢失,不删除?
3.1 多副本存储,防止数据丢失
- 热数据:3个副本存放在不同机架,任意2台机器故障不会丢数据
- 冷数据:采用Raid压缩(10数据块+4校验块,可容忍任意4块丢失)
- 自动修复:系统后台自动扫描,及时修复丢失或损坏的副本,业务无感知
3.2 多层保护,防止数据删除
3.2.1 防 DB删除
对于database层的目录,在源码中进行保护,设置目录删除黑名单,要删除database或者目录,需要更改源码,并且重启服务
- 防止drop database操作:在TDW中drop database会失败
- 防止在文件系统中删除目录:在文件系统中,直接删除目录会失败
3.2.2 防table删除
- 设置回收站,延迟删除
- 数据并不会被立刻删除,而是移入回收站
- 数据会在回收站保存大于48小时,大数据需手工确认之后被真正删除
- 节点延迟删除
- 先将元数据删除,数据block块延迟一天删除
- 通过元数据冷备,可以恢复数据
4 使用安全
TDW中数据的产品线众多,用户也来源于各个不同的产品,自然而然,数据共享的需求日益增多,那么如何做到数据共享的同时保障数据安全可控呢?下面将从数据使用这个动作的三个要素(who, what,where)来说明如何保障数据的使用安全。
4.1 who --谁可以使用
平台秉承开放的心态,拥抱公司内部所有用户。但鉴于安全考虑,平台各子系统均对用户身份进行双重验证,通过认证的用户方可使用平台。此外,经过各系统严谨的鉴权校验后,方能真正触达目标数据。
同时,账户实行个人实名精细化管理,保证系统内所有操作记录均可追踪到个人。
4.2 what—可以使用什么数据
不同的用户对数据需求不同,用户按需申请使用权限。其中,不同级别数据权限流程不同,不同类别数据的权限类型不同。
- 数据分级管理:数据根据不同的敏感度分级管理,不同级别的数据权限需走不同的申请通道,部分敏感数据权限需由部门最高领导人进行审批。
- 数据分类管理:对于入库层数据,只开放只读权限,防止源数据被污染,保持数据源的完整性。
4.3 where—在哪里使用
非tdw系统的ip不能直接访问。
- IP白名单控制:只有指定安全IP方可访问数据库,白名单ip都是我们自己的。
- 平台内流转:数据控制在TDW平台内流转,不流出;
- 导出申请:如有特殊导出需求,需申请,由上级确认;
4.4 how — 审计用户如何使用
平台提供用户全流程操作记录审计功能,用户拥有哪些权限,使用哪些表,什么时间,在哪个系统进行了什么操作均有迹可循。
- 权限开放审计:权限系统提供权限开放审计功能,供数据owner审计名下数据权限开放情况,权限管理透明化;针对高敏感表,权限开放实时监控。
- 使用情况审计: 构建统一操作流水查询系统,各系统的操作流水永久保存;其中针对敏感数据,每日定期统计使用情况,供管理员每日审计。
- 内部人员审计: 在机器上所有操作都会上报到到审计系统; 对敏感操作实时审计,邮件上级及本人确认。