建议使用以下浏览器,以获得最佳体验。 IE 9.0+以上版本 Chrome 31+ 谷歌浏览器 Firefox 30+ 火狐浏览器
请选择 进入手机版 | 继续访问电脑版
设置昵称

在此一键设置昵称,即可参与社区互动!

确定
我再想想
选择版块
标签
您还可以添加5个标签
  • 没有搜索到和“关键字”相关的标签
  • 云产品
  • 解决方案
  • 技术领域
  • 通用技术
  • 平台功能
取消

彩虹上的水瓶座

发帖: 75粉丝: 33

级别 : 版主

发消息 + 关注

发表于2020年07月16日 20:01:26 3138 13
直达本楼层的链接
楼主
显示全部楼层
[活动公告] 【直播活动结束啦,代码参考附件】五节课掌握华为云数仓硬核技能--第三期数仓安全灵魂三问,论坛互动依然有奖哦!!!

     众所周知,未来是智能的时代,大数据的时代,大数据激活了人类的创造力和生产力的同时,也存在重大的安全隐患,尤其是上云之后。

     从技术的角度讲,除了网络层面的安全问题外,剩下的就是数据的访问权限问题,到底谁能看?能看啥?看没看?针对这三个数仓安全方面的灵魂拷问,

这期直播,华为云数仓GaussDB(DWS)的安全专家坤哥为您娓娓道来。 

     当然看了直播后想要了解GaussDB(DWS)的,可以参考以下两个链接做简短了解。

初识数据仓库服务

解密华为数据仓库产品GaussDB for DWS(十问十答

初步了解之后,话不多说,来看直播大纲

第三场直播回放地址:http://live.vhall.com/707647085


五节课课程大纲

01   疫情一码通背后的超大数据仓库设计     --已结束

02   大厂面试必备:PB级数据仓库性能调优  --已结束

03   数仓安全灵魂三问(2020/07/21)--已结束

04   数仓资源管控,让资源使用最大化(2020/08/04)

05   海量数据如何实现一键式迁移(2020/08/25)


第三节课

数仓安全灵魂三问 活动时间:2020721日 20:00~21:00

参与方式:

1、微信添加小助手“speakerHTJ”加入GaussDB DWS微信技术讨论群,直播二维码将提前发到群内

2、直播链接:http://live.vhall.com/707647085

image.png           


直播福利,参与华为云社区互动,大狮文化衫,棒球帽,华为手环,京东卡多重好礼等你拿


【参与互动】(可参考以下内容任选一个或多个进行回帖)

1.留下您对本次直播的疑问,不限技术,我们都将一一作答

2.发表直播观后感

3. 回复测试环境验证任意截图 (验证代码及造数脚本请参考附件,基础操作帮助文档及视频请参考华为云数据仓库知识地图


活动时间2020年7月21日-7月28日

【奖励及规则】

1.优秀博文奖

获奖人数:1

奖励:京东购物卡500元

评奖规则:1、与直播主题相关 2、有一定技术干货  3、将博文链接作为回帖,活动结束后,会有工作人员从论坛(碎片空间或者精品大作)或者博客中,评选出优秀博文。

image.png


2.优秀评论奖

获奖人数:3

奖励:京东购物卡200元

评奖规则:活动结束后从回帖留言用户中评选出3名优秀建议奖(包含参与互动话题)

image.png


3.最佳人气奖

参与方式:参与回帖,并分享邀请小伙伴给自己的回帖进行评论或点赞

奖励:

获奖总人数:20

评奖规则:活动结束后按照评论或点赞数进行排序。

评论+回复>=20,奖励大狮护体双肩包

评论+回复>=10,华为定制T-shirt

评论+回复>=5,棒球帽

定制T-shirt.png大狮双肩包.png棒球帽.png


4. 最佳体验奖

获奖人数:3

奖励:1000测试卷+华为手环(不一定是黑色哦)

评奖规则:活动结束后,回帖申请GaussDB DWS 500元测试券,并进行初步体验,完成所布置的题目,选择三名积极参与并提问的小伙伴获得奖励

提醒:测试券使用过程中,如果金额使用完毕,集群未删除会产生欠费,强烈建立费用快结束的时候删除集群

华为手环.PNG


【注意事项】

1.获奖结果将在活动结束后5个工作日内进行公示,所有奖品将在活动结束后十五个工作日内发放。

2.为防止有恶意发帖行为,同一ID回帖不得超过5条,若超过将取消获奖资格。

3.每个ID只能参与一次评选,同一ID不可重复中奖。

4.本次回帖内容需满足华为云论坛发帖规范 https://bbs.huaweicloud.com/forum/thread-23077-1-1.html

体验环境使用步骤

1、进去GaussDB DWS产品主页

2、点击“进入控制台

3、参考“数据仓库服务_快速入门” ,第三个视频手把手教你如何创建数仓及gsql客户端连接--当然得先申请测试劵

4、更多体验可以参考“华为云数据仓库知识地图”,由浅入深,带您玩转DWS


GaussDB(DWS)产品主页:https://www.huaweicloud.com/product/dws.html   

  GaussDB(DWS)产品主页二维码

产品主页二维码.png

添加微信小助手号码:speakerHTJ 欢迎加入专家技术讨论群,多种渠道获取信息,二维码如下:

                                                                                   image.png


分割线.png

 【中奖结果公布】

截止到7月28日24点,本次论坛互动活动已结束,感谢小伙伴们的积极参与!

话题互动幸运奖:经过评选,获得优秀评论奖,话题互动幸运奖和最佳人气奖的小伙伴名单如下,请小伙伴们在7月20日前到下面链接反馈收货信息,逾期礼品作废哦^_^  

https://bbs.huaweicloud.com/forum/thread-71549-1-1.html


奖  项

 楼  层

     昵  称

   奖  品

优秀评论奖


hw04703201

京东卡200元

优秀评论奖

Li_1

京东卡200元

优秀评论奖
ad123445 京东卡200元



数仓安全场景demo代码.txt 1.97 KB,下载次数:4

举报
分享

分享文章到朋友圈

分享文章到微博

这名太难起

发帖: 28粉丝: 0

级别 : 版主

发消息 + 关注

发表于2020年07月16日 20:23:55
直达本楼层的链接
沙发
显示全部楼层

点赞 评论 引用 举报

Tianyi_Li

发帖: 227粉丝: 68

级别 : 外部版主

发消息 + 关注

发表于2020年07月20日 08:44:45
直达本楼层的链接
板凳
显示全部楼层

期待ing

点赞 评论 引用 举报

听风吹雪

发帖: 19粉丝: 0

级别 : 新手上路

发消息 + 关注

发表于2020年07月21日 19:57:02
直达本楼层的链接
地板
显示全部楼层

顶!

点赞 评论 引用 举报

问道

发帖: 0粉丝: 1

级别 : 中级会员

发消息 + 关注

发表于2020年07月21日 20:06:21
直达本楼层的链接
5#
显示全部楼层

在哪些应用场景采用数据仓库会给我们带来哪些方便的服务呢?

点赞 评论 引用 举报

孙小北

发帖: 1粉丝: 4

级别 : 中级会员

发消息 + 关注

发表于2020年07月21日 23:40:08
直达本楼层的链接
6#
显示全部楼层

老师您好,非常感谢您的分享。就是关于您直播中讲的权限的问题,这些权限的配置和管理都需要DBA来执行吗,对于客户查询的数据等权限是不是应该放到应用层去控制。谢谢老师。

点赞 评论 引用 举报

zhangkunhn

发帖: 0粉丝: 0

级别 : 新手上路

发消息 + 关注

发表于2020年07月23日 11:00:52
直达本楼层的链接
7#
显示全部楼层

回复:孙小北 发表于 2020-7-21 23:40 老师您好,非常感谢您的分享。就是关于您直播中讲的权限的问题,这些权限的配置和管理都需要DBA来执行吗,对于客户查询的数据等权限是不是应该放到应用层去控制。谢谢老

第一个问题:权限的控制一般是由管理员或者数据库对象的拥有者来实施。

第二个问题:一般情况下,客户使用的是应用,客户不直接与数据库交互,由应用跟数据库来连接并执行查询。应用也可以来控制。但是越靠近数据来实施权限控制,数据泄漏或篡改的风险越小。

点赞 评论 引用 举报

zhangkunhn

发帖: 0粉丝: 0

级别 : 新手上路

发消息 + 关注

发表于2020年07月23日 11:09:38
直达本楼层的链接
8#
显示全部楼层

回复:问道 发表于 2020-7-21 20:06 在哪些应用场景采用数据仓库会给我们带来哪些方便的服务呢?

在华为云数仓DWS的官方文档页面介绍了数仓的应用场景,请移步浏览。https://support.huaweicloud.com/productdesc-dws/dws_01_0002.html

image.png

点赞 评论 引用 举报

zhangkunhn

发帖: 0粉丝: 0

级别 : 新手上路

发消息 + 关注

发表于2020年07月24日 11:57:41
直达本楼层的链接
9#
显示全部楼层
##根据官方文档指导开启三权分立 [设置三权分立](https://support.huaweicloud.com/mgtg-dws/dws_01_0074.html) ##以安全管理员身份登录后创建用户 ```sql select CURRENT_USER; --创建老师用户 CREATE USER teacher PASSWORD 'Gauss@029'; --创建学生用户daqiu, yangyang CREATE USER daqiu PASSWORD 'Gauss@123'; CREATE USER yangyang PASSWORD 'Gauss@234'; SELECT * FROM pg_roles; ``` ##以系统管理员身份登录后建表插数据 ```sql select CURRENT_USER; --创建学生考试成绩表 DROP TABLE IF EXISTS score; CREATE TABLE score(id int, name varchar(10), math int); SELECT * FROM pg_class WHERE relname = 'score'; --向数据表插入数据 INSERT INTO score(id, name, math) VALUES (1, 'daqiu', 98), (2, 'yangyang', 97); SELECT * FROM score; ``` ##以系统管理员身份登录给用户赋权 ```sql --将表的所有权限赋予教师角色 GRANT ALL ON score TO teacher; --将表的查看权限赋予学生 GRANT SELECT ON score TO daqiu, yangyang; ``` ##以系统管理员身份登录后,开启或关闭行级访问控制策略 ```sql --打开行访问控制策略开关 ALTER TABLE score ENABLE ROW LEVEL SECURITY; ALTER TABLE score DISABLE ROW LEVEL SECURITY; --创建行访问控制策略,当前用户只能查看用户自身的数据 CREATE ROW LEVEL SECURITY POLICY score_rls ON score USING(name = CURRENT_USER); ``` ##以学生身份登录后查看结果 ```sql SELECT CURRENT_USER; --开启或关闭行级访问策略结果不同 SELECT * FROM score; --尝试更新报错,权限不足 UPDATE score SET math=100 WHERE id = 1; ``` ##以审计管理员身份登录,查看指定时间的指定用户的查询 ```sql SELECT CURRENT_USER; SELECT * FROM pg_query_audit('2020-07-21 18:30:00','2020-07-21 21:00:00') WHERE username = 'daqiu' and type='dml_action_select'; SELECT * FROM pg_query_audit('2020-07-21 18:30:00','2020-07-21 21:00:00') WHERE username = 'daqiu' and result='failed'; ```
点赞 评论 引用 举报

Li__1

发帖: 0粉丝: 1

级别 : 新手上路

发消息 + 关注

发表于2020年07月27日 20:48:53
直达本楼层的链接
10#
显示全部楼层

这次直播觉得还是比较有意思的,结构比较清晰完整,感觉比较友好,基本了解了。通过这次直播,主要围绕以下四部分展开:

1、 安全场景介绍

2、 DWS架构

3、 灵魂三问

4、 环境演示

首先就是数据安全了,特别是在如今的网络时代,海量数据是一笔巨大的财富,数据快速和大量传输,数据安全至关重要。好的产品不仅要有极致的性能,还要有牢不可破的安全呀,特别是一般而言数据仓

库中数据有很大价值,隐私性强,所以安全性格外重要。华为云数仓产品安全性能强大,权限控制,三权分立。

image.png

此外,在广泛调研行业算法基础上,选取AES128,实现透明加密,尽量降低性能损耗,最大程度保证用户数据安全。这里的“透明”指的是用户无感知,方便快捷

image.png

其次,就是DWS架构。

老师还详细地剖析讲解了灵魂三问:

1. 谁能看?

2. 能看啥?

3. 看没看?

既有技术内涵,又有安全保障,强啊!

这里印象深刻的还有行级访问控制策略,数据脱敏策略等贴心操作,特别是数据脱敏,满足涉及敏感信息的行业需求,比如金融、政府部门等,避免敏感数据泄露风险,很棒!


最后就是实战了,代码是最好的语言,直接上代码吧:

##以安全管理员身份登录后创建用户
```sql
select CURRENT_USER;

--创建老师用户
CREATE USER teacher PASSWORD 'Gauss@029';

--创建学生用户daqiu, yangyang

CREATE USER daqiu PASSWORD 'Gauss@123';

CREATE USER yangyang PASSWORD 'Gauss@234';

SELECT * FROM pg_roles;
```
##以系统管理员身份登录后建表插数据
```sql
select CURRENT_USER;
--创建学生考试成绩表
DROP TABLE IF EXISTS score;

CREATE TABLE score(id int, name varchar(10), math int);

SELECT * FROM pg_class WHERE relname = 'score';

--向数据表插入数据
INSERT INTO score(id, name, math)
VALUES (1, 'daqiu', 98), (2, 'yangyang', 97);
SELECT * FROM score;

```
##以系统管理员身份登录给用户赋权
```sql
--将表的所有权限赋予教师角色

GRANT ALL ON score TO teacher;

--将表的查看权限赋予学生
GRANT SELECT ON score TO daqiu, yangyang;
```
##以系统管理员身份登录后,开启或关闭行级访问控制策略
```sql
--打开行访问控制策略开关
ALTER TABLE score ENABLE ROW LEVEL SECURITY;
ALTER TABLE score DISABLE ROW LEVEL SECURITY;

--创建行访问控制策略,当前用户只能查看用户自身的数据
CREATE ROW LEVEL SECURITY POLICY score_rls ON score USING(name = CURRENT_USER);
```
##以学生身份登录后查看结果
```sql
SELECT CURRENT_USER;
--开启或关闭行级访问策略结果不同
SELECT * FROM score;
--尝试更新报错,权限不足
UPDATE score SET math=100 WHERE id = 1;
```
##以审计管理员身份登录,查看指定时间的指定用户的查询
```sql
SELECT CURRENT_USER;
SELECT * FROM pg_query_audit('2020-07-21 18:30:00','2020-07-21 21:00:00') WHERE username = 'daqiu' and type='dml_action_select';
SELECT * FROM pg_query_audit('2020-07-21 18:30:00','2020-07-21 21:00:00') WHERE username = 'daqiu' and result='failed';
```


点赞 评论 引用 举报

ad123445

发帖: 8粉丝: 5

级别 : 实习版主

发消息 + 关注

发表于2020年07月27日 20:52:33
直达本楼层的链接
11#
显示全部楼层

要保护云数仓安全,因此就要做到安全层层防护,华为云采用Anti-DDoS、DDoS高防、Web应用防火墙、漏洞扫描服务、企业主机安全、容器安全服务、数据加密服务、数据库安全服务、态势感知、云堡垒机、SSL证书管理、云证书管理服务等一些云安全手段可以防止80%的用户的攻击,而剩下的20%则有云数仓本身的安全特性来保证。数仓安全特性则有一下几点:


数仓安全的核心问题--灵魂三问:

1.谁能看?--授权用户才能看:就是哪些用户可以连进数据库,可以看哪些表

权限控制,三权分立:一般小型数据库有一个管理员就够了,而大型数仓委托给单点则风险较大,因此吧权限进行了分离,分为系统管理员、安全管理员、审计管理员三个管理员,职责划分清晰,即使单个管理员密码泄露时,也能将风险降到最低。


第二个是通过透明加密来进行OS层面的数据防护,利用密钥来进行安全防护,而透明的意思则是加密解密过程中用户无感知,性能消耗低。


2.能看啥?--行列策略决定能看到啥:用户连进来之后能看数据表里的哪些信息

行级访问控制策略:访问控制精确到数据表行级别;不同用户执行相同的SQL查询操作,读取到的结果是不同的;在目标数据表上预定义过滤器,在优化器机器SQL阶段应用到执行计划上,影响最终的执行结果。


列上进行数据脱敏策略:涉及敏感信息的行业都对数据脱敏有着天然的需求,例如金融、政府、医疗等,其在应用开发、测试、培训等活动中都需要使用数据,因此都可以使用脱敏功能来避免敏感信息的泄露风险。


策略特性:

  • 策略可配置:客户可结合自身业务场景识别敏感数据并以表的列为单元创建脱敏策略。

  • 访问控制:制定脱敏策略后,只有管理员和表对象的owner才能访问原始数据。

  • 数据可用性:需脱敏的数据可以参与实际运算及使用,并在SQL引擎中支持最终返回时脱敏。


3.看没看?--审计懂你看没看:即数据修改的追溯

通过审计日志监视记录系统用户的行为,对非法操作进行定位,支持对数据库操作细粒度的筛选,可以对事故进行追溯,具体审计项如下:用户登录、注销数据库启动、停止、恢复和切换、用户锁定和解锁、用户越权访问、授权和回收权限、数据库对象的CREATE,ALTER,DROP操作、具体表的INSERT、UPDATE和DELETE操作、SELECT操作、COPY、存储过程和自定义函数的执行、SET


对于不同的架构要采取不同的技术来实现安全得保证,华为云数仓采用的是基于无共享的逻辑架构,客户的应用通过负载均衡链接Coordinator节点,也就是协调节点。一个查询在协调节点上解析优化生成计划之后,在通过高速网络分配到Data Node,即执行节点上去执行,执行完之后,在把数据返回给协调节点来汇总,然后返回用户,因此要在协调节点、数据处理节点等所有节点都要进行数据的防护。比如协调节点要做访问控制、连接管理、数据脱敏、权限管理、审计等,而数据上,要做数据加密。通讯网络相应的也要进行防护,要做节点认证、传输加密等。

image.png


这次直播坤哥带来了关于数仓安全的一些技术和理论--灵魂三问,包括通过实践来演示数仓安全的特性,坤哥讲的非常通俗易懂,并且例子也很简单,有一点数据库基础的都能很好的理解整个课程的内容,看完直播收获很大,对数据库的安全问题也有了更深层的理解。



点赞 评论 引用 举报

游客

富文本
Markdown
您需要登录后才可以回帖 登录 | 立即注册