数据安全在云原生时代的探索与实践-夏巨鹏.pdf

1、数据安全在云原生时代的探索与实践夏巨鹏/真谛 蚂蚁集团内容一.数据安全合规趋势及挑战二.数据安全实践介绍三.核心技术介绍1.数据2.向云原生要数据3.智能防控体系四.未来发展方向五.总结数据安全合规趋势与挑战国内法规国内法规国家安全法密码法网络安全法数据安全法个人信息保护法民法典国际法规国际法规 2005，日本，个人信息保护法 2012，新加坡，个人数据保护法 2018，欧盟，通用数据保护条例GDPR 2019，美国，国防部数据战略、联邦数据战略及2020年行动计划规范数字经济活动规范数字经济活动，保障数字经济安全保障数字经济安全权利主体义务主体责权量化数据数据场景场景度量场景中度量场景中每个

2、每个值值数据安全数据安全数据规模大场景复杂度高大型互联网企业大型互联网企业基础设施演进阶段不一VS业务迭代快数据安全实践介绍数字经济安全数字经济安全业务场景业务安全数据安全网络安全基础设施法律责任明确介于业务安全与网络安全之间较网络安全而言，需向上关联业务场景向下对网络安全、基础设施提出新要求数据安全数据安全数据安全数据安全复用传统安全能力复用传统安全能力终端管控终端管控网络管控网络管控身份认证身份认证权限管理权限管理探索新技术红利探索新技术红利云原生重塑基础设施云原生重塑基础设施大数据技术广泛应用大数据技术广泛应用机器智能深入垂直领域机器智能深入垂直领域以数据为中心的技术体系以数据为中心的技

3、术体系数据驱动数据驱动数据数据 vs 场景场景静态数据静态数据 vs 流动路径流动路径可达可达 vs 事实事实合规保证合规保证授权授权使用审计使用审计全生命周期保护全生命周期保护复合治理复合治理战略要位战略要位实战牵引实战牵引全员参与全员参与技术创新技术创新核心技术介绍数据向云原生要数据智能防控体系数据-如何度量场景中每个值ABP1A：Id1B：Id2P1：数据类型1，数据类型2，数据-如何度量场景中每个值ABP1P2A：Id1B：Id2P1：数据类型1，数据类型2，P2：数据类型x，数据类型y，数据-如何度量场景中每个值ABP1P2A：Id1B：Id2P1：数据类型1，数据类型2，P2：数据

4、类型x，数据类型y，数据-如何度量场景中每个值A：Id1B：Id2C:Id3D:Id4P1：数据类型1，数据类型2，P2：数据类型x，数据类型y，P3：数据类型I，数据类型II，P4：数据类型i，数据类型ii，ABP1P2CP4P3D数据-ERB模型ABP1P2CP4P3DEEntity（实体），数据流动途经的节点，由一个Id和多个属性来表示RRelation（联系），数据流动节点间的可达性，类似图数据结构中的边，由一个Id和多个数据类型来表示，和节点一起刻画链路BBehavior（行为），数据流动的事实行为，表达每次数据的流动简洁简洁、直观的直观的ERB模型模型应用维度应用维度E1:应用1E

5、2:应用2E1E2R1B1：值1，R1，E1-E2;值2,E1-E2,B2：值x，R1，E1-E2;值y,E1-E2,Bn：值I，R1，E1-E2;值II,E1-E2,架构域维度架构域维度E1:架构域1E2:架构域2E1E2R1B1：值1，R1，E1-E2;值2,E1-E2,B2：值x，R1，E1-E2;值y,E1-E2,Bn：值I，R1，E1-E2;值II,E1-E2,数据-ERB模型的同构性子公司维度子公司维度E1:子公司1E2:子公司2E1E2R1B1：值1，R1，E1-E2;值2,E1-E2,B2：值x，R1，E1-E2;值y,E1-E2,Bn：值I，R1，E1-E2;值II,E1-E

6、2,数据的数据的同构性同构性1.遍历E及E的属性，检查节点的风险2.遍历R及R的属性，检查链路加固漏洞3.分析B，确定数据使用行为风险算法的算法的递归性递归性风险求解算法举例风险求解算法举例回顾数据数据场景场景度量场景中度量场景中每个每个值值数据安全数据安全BE描述数据流动描述数据流动R合规立法合规立法侧重边界关注数据向云原生要数据sidecarABCsidecarsidecarIsidecarDataEApp CallAPI CallS向云原生要数据-R的边缘视角IApp CallAPI Callhttps:/ CallAPI Callhttps:/