云器Lakehouse安全功能概览

云器Lakehouse致力于为客户打造一个安全可靠的云上环境，确保客户的账户、信息、业务和数据得到企业级的安全保障。为了实现这一目标，云器Lakehouse采用了多层次的安全措施，涵盖了架构安全、网络安全、访问控制、审计与监控以及数据加密等方面。以下是对这些安全功能的详细解析。

1. 架构安全和多租户隔离

云器Lakehouse在公有云环境中部署，采用高可用性架构，确保服务的稳定性和可靠性。通过使用多副本冗余存储和多种防护技术（如主机安全、WAF、抗DDOS等），保障服务架构和基础设施的安全。

为了实现不同租户之间的数据和计算资源隔离，云器Lakehouse在数据传输层进行数据完整性和正确性校验，确保数据的完整性和防篡改。

云器Lakehouse支持SSL/TLS加密传输，确保数据在传输过程中的安全性。租户可以通过设置IP白名单策略，控制可访问其Lakehouse服务实例的网络地址范围。例如，租户可以将公司内部的IP地址添加到白名单中，以允许仅来自这些地址的访问。

云器Lakehouse通过工作空间实现对数据和计算资源的进一步隔离。只有加入工作空间的用户才能访问其中的数据和计算资源。此外，云器Lakehouse提供ACL（访问控制列表）和RBAC（基于角色的访问控制）两种授权方式，允许用户根据业务需求自定义角色，并进行表级别颗粒度的授权。

例如，管理员可以为数据分析师创建一个工作空间，并为其分配相应的角色和权限，以便他们能够访问和处理特定的数据表。

云器Lakehouse记录了对数据的所有操作，这些历史记录只读且不可编辑，保存时间长达6个月。同时，平台提供监控和报警功能，帮助用户及时感知作业异常、数据异常等情况，并根据报警的严重程度发送通知。

例如，当某个作业执行失败时，系统会自动发送报警通知给管理员，以便他们能够及时采取措施解决问题。

云器Lakehouse对敏感数据（如账户信息）进行加密存储，确保数据在整个生命周期中的安全性。用户可以通过配置数据加密功能来进一步保护数据。当数据加密功能启用后，数据将在写入Lakehouse后的全生命周期内保持加密存储，仅在租户专属的计算节点处理数据时进行解密。

例如，当企业需要存储和处理涉及个人隐私的数据时，可以启用数据加密功能，以确保数据的安全性。

云器Lakehouse依托云服务商IaaS层的存储服务，基于多副本、高可用的云基础设施搭建，具备极高的服务可用性和数据可靠性。此外，平台默认提供1天的数据恢复功能，有效降低数据误删除、误修改风险，加强对数据完整性的保护。

例如，在发生数据误删除的情况下，用户可以通过time travel功能恢复数据至7天内的任意状态，从而避免数据丢失的风险。

综上所述，云器Lakehouse通过多层次的安全措施，为用户提供了一个安全可靠的云上环境。用户可以根据自己的需求和场景，灵活地配置和使用这些安全功能，确保业务和数据的安全。

联系我们