Videó: Az energiapályák megnyitása (November 2024)
Minden vállalkozás összegyűjti az üzleti intelligencia adatait (BI), annyi adatot tud megszerezni, mint a vezetők, a marketingszakemberek és a szervezet minden más szervezeti egysége. De ha egyszer megszerezte ezeket az adatokat, a nehézség nem csak a hatalmas adattó elemzésében rejlik, és megtalálja azokat a kulcsfontosságú betekintést, amelyekre kereset (anélkül, hogy elárasztaná a puszta információmennyiséget), hanem az összes ilyen adat védelme is.
Tehát, amíg a vállalati informatikai osztály és az adattudósok prediktív elemzési algoritmusokat, adatmegjelenítéseket futtatnak, és más adat-elemzési technikák arzenálját alkalmazzák a gyűjtött Big Data-n, az üzleti vállalkozásnak meg kell győződnie arról, hogy nincs-e szivárgás vagy gyenge pont. a tartályban.
E célból a Cloud Security Alliance (CSA) nemrégiben kiadta a Big Data Security and Privacy Handbook: 100 legjobb gyakorlatot a nagy adatbiztonság és adatvédelem területén. A bevált gyakorlatok hosszú listája 10 kategóriában oszlik meg, ezért a legjobb gyakorlatokat 10 tippre osztottuk, amelyek segítségével az informatikai részleg lezárhatja a legfontosabb üzleti adatokat. Ezek a tippek az adattárolás, titkosítás, irányítás, megfigyelés és biztonsági technikák arzenálját alkalmazzák.
1. Biztosítsa az elosztott programozási kereteket
Az olyan elosztott programozási keretek, mint például a Hadoop, a modern Big Data disztribúciók hatalmas részét alkotják, ám ezek az adatok szivárgásának komoly kockázatával járnak. Jönnek az úgynevezett „megbízhatatlan térképezők” -hez vagy több forrásból származó adatokhoz is, amelyek hibák által összegyűjtött összesített eredményeket eredményezhetnek.
A CSA azt ajánlja, hogy a szervezetek először hozzanak létre bizalmat olyan módszerekkel, mint a Kerberos hitelesítés, miközben biztosítsák az előre meghatározott biztonsági házirendeknek való megfelelést. Ezután „azonosítja” az adatokat azáltal, hogy elválasztja az összes személyesen azonosítható információt (PII) az adatokról annak biztosítása érdekében, hogy a személyes adatvédelem ne kerüljön veszélybe. Innentől kezdve felhatalmazza az előre meghatározott biztonsági házirendekhez való fájlokhoz való hozzáférést, majd ellenőrzi, hogy a nem megbízható kód nem szivárog-e információt rendszer erőforrásokon keresztül kötelező hozzáférés-vezérlés (MAC) használatával, például az Apache HBase Sentry eszközével. Ezután a kemény rész véget ért, mivel csak annyit kell tennie, hogy rendszeres karbantartással megvédje az adatszivárgást. Az informatikai osztálynak ellenőriznie kell a felhőben vagy a virtuális környezetben lévő dolgozói csomópontokat és térképezőket, és figyelnie kell a hamis csomópontokat és a megváltozott adatmásolatokat.
2. Biztosítsa a nem relációs adatokat
A nem relációs adatbázisok, mint például a NoSQL, gyakoriak, de érzékenyek olyan támadásokra, mint a NoSQL befecskendezése; a CSA felsorol egy sor ellenintézkedést annak ellen. Kezdje a jelszavak titkosításával vagy kivágásával, és mindenképpen biztosítsa a végpontok közötti titkosítást oly módon, hogy az adatokat nyugalmi állapotban olyan algoritmusokkal titkosítja, mint például a fejlett titkosítási szabvány (AES), az RSA és a Secure Hash Algorithm 2 (SHA-256). A szállítási réteg biztonsága (TLS) és a biztonságos socket réteg (SSL) titkosítása szintén hasznos.
Ezen alapvető intézkedések mellett olyan rétegek mellett, mint az adatcímkézés és az objektum szintű biztonság, a nem relációs adatokat is biztonságosíthatja úgynevezett pluggable hitelesítési modulok (PAM) segítségével; ez egy rugalmas módszer a felhasználók hitelesítésére, miközben ügyeljen a tranzakciók naplózására egy olyan eszköz, mint a NIST napló segítségével. Végül, ott nevezzük a fuzzing módszereket, amelyek feltárják a webhelyek közötti szkriptkészítést és a NoSQL és a HTTP protokoll közötti biztonsági rések injektálását automatizált adatbevitellel a protokoll, az adatcsomópont és a terjesztés alkalmazás szintjén.
3. Biztonságos adattárolási és tranzakciós naplók
A tárolókezelés a Big Data biztonsági egyenletének kulcsfontosságú része. A CSA azt javasolja, hogy aláírt üzenetkészletek használatával biztosítson digitális azonosítót minden digitális fájlhoz vagy dokumentumhoz, és használjon egy biztonságos, nem megbízható adattár (SUNDR) nevű technikát a rosszindulatú kiszolgáló ügynökök általi jogosulatlan fájlmódosítások észlelésére.
A kézikönyv számos más technikát is felsorol, ideértve a lusta visszavonást és a kulcsforgatást, a sugárzott és házirend-alapú titkosítási sémákat, valamint a digitális jogkezelést (DRM). Ennek ellenére nem helyettesítheti a biztonságos felhőalapú tároló egyszerű létrehozását a meglévő infrastruktúra tetején.
4. Végpont szűrés és érvényesítés
A végpont biztonsága kiemelkedő fontosságú, és a szervezet elindulhat megbízható tanúsítványok felhasználásával, erőforrás-teszteléssel, és csak megbízható eszközök csatlakoztatásával a hálózathoz mobil eszközkezelő (MDM) megoldás segítségével (az antivírusok és a rosszindulatú programok védelme mellett). Innentől statisztikai hasonlósági észlelési technikákat és külsõ észlelési technikákat használhat a rosszindulatú bemenetek kiszûrésére, miközben véd a Sybil támadásoktól (azaz egy entitás maszkírozása több identitásként) és az ID-hamisítás támadásokkal szemben.
5. Valósidejű megfelelés és biztonsági figyelés
A megfelelés mindig fejfájást jelent a vállalkozások számára, és még inkább, ha az adatok folyamatos elárasztásával foglalkozik. A legjobb megoldás, ha a verem minden szintjén valós idejű elemzéssel és biztonsággal foglalkozik. A CSA azt ajánlja, hogy a szervezetek alkalmazzák a Big Data elemzést olyan eszközök használatával, mint Kerberos, biztonságos shell (SSH) és internetes protokoll biztonság (IPsec), hogy kezeljék a valós idejű adatokat.
Miután ezt megtette, bányászhat naplózási eseményeket, telepíthet front-end biztonsági rendszereket, például útválasztókat és alkalmazás szintű tűzfalakat, és megkezdheti a biztonsági ellenőrzések végrehajtását a verem egészében a felhő, a fürt és az alkalmazás szintjén. A CSA arra is figyelmezteti a vállalkozásokat, hogy vigyázzanak az adócsalási támadásokkal, amelyek megpróbálják megkerülni a Big Data infrastruktúrát, és az úgynevezett "adatmérgező" támadások (azaz hamisított adatok, amelyek becsapják a megfigyelő rendszerét).
6. Az adatvédelem megőrzése
Az adatvédelem fenntartása az egyre növekvő halmazokban nagyon nehéz. A CSA szerint a kulcs "méretezhető és összeállítható" technikák, például differenciális adatvédelem megvalósításával - a lekérdezés pontosságának maximalizálása és a rekord azonosításának minimalizálása mellett - és a homomorf titkosítás a titkosított információk tárolására és feldolgozására a felhőben. Ezen túlmenően ne sokat merítsen a kapocsokon: A CSA azt ajánlja, hogy építsenek be munkavállalói figyelemfelkeltő képzést, amely a jelenlegi adatvédelmi előírásokra összpontosít, és ügyeljen arra, hogy a szoftver-infrastruktúrát karbantartja engedélyezési mechanizmusok használatával. Végül, a bevált gyakorlatok ösztönzik az úgynevezett "adatvédelem-megőrző adatösszetétel" végrehajtását, amely több adatbázisból származó adatok szivárgását ellenőrzi az adatbázisokat összekötő infrastruktúra áttekintésével és megfigyelésével.
7. Big Data kriptográfia
A matematikai kriptográfia nem ment ki a stílusból; Valójában sokkal fejlettebb lett. A titkosított adatok keresésére és szűrésére szolgáló rendszer, például a kereshető szimmetrikus titkosítási (SSE) protokoll felépítésével a vállalkozások ténylegesen Boole-lekérdezéseket futtathatnak titkosított adatokon. A telepítés után a CSA különféle kriptográfiai technikákat javasol.
A relációs titkosítás lehetővé teszi a titkosított adatok összehasonlítását a titkosítási kulcsok megosztása nélkül az azonosítók és az attribútum értékek összevetésével. Az identitás alapú titkosítás (IBE) megkönnyíti a kulcskezelést a nyilvános kulcsú rendszerekben, lehetővé téve a sima szöveg titkosítását egy adott identitás számára. Az attribútum-alapú titkosítás (ABE) integrálhatja a hozzáférés-vezérlőket a titkosítási sémába. Végül van egy összevont titkosítás, amely titkosítási kulcsokat használ a felhő szolgáltatók számára az ismétlődő adatok azonosításában.
8. Granulált hozzáférés-ellenőrzés
A hozzáférés-ellenőrzés a CSA szerint két alapvető dolgot jelent: a felhasználói hozzáférés korlátozása és a felhasználói hozzáférés biztosítása. A trükk az, ha olyan irányelvet építünk és hajtunk végre, amely az adott forgatókönyvhöz a megfelelőt választja meg. A granulált hozzáférés-vezérlések beállításához a CSA egy csomó gyors találatot tartalmaz:
Normalizálja a változtatható elemeket és denormalizálja a változhatatlan elemeket,
A titoktartási követelmények nyomon követése és a megfelelő végrehajtás biztosítása,
Karbantartja a hozzáférési címkéket,
A rendszergazda adatainak nyomon követése,
Használjon egyszeri bejelentkezést (SSO), és
Használjon címkézési sémát a megfelelő adatok összevonásának fenntartásához.
9. Audit, Audit, Audit
A szemcsés ellenőrzés elengedhetetlen a nagy adatbiztonság szempontjából, különösen a rendszer támadása után. A CSA azt ajánlja, hogy a szervezetek hozzanak létre koherens ellenőrzési nézetet minden támadás után, és mindenképpen biztosítsanak teljes ellenőrzési nyomkövetést, miközben biztosítják az adatokhoz való könnyű hozzáférést az eseményekre adott válaszidő csökkentése érdekében.
Az ellenőrzési információk integritása és titkossága szintén nélkülözhetetlen. Az ellenőrzési információkat külön kell tárolni, és védeni kell a granulált felhasználói hozzáférés-vezérlőkkel és a rendszeres monitorozással. Ügyeljen arra, hogy a Big Data és az audit adatok külön legyenek, és engedélyezze az összes szükséges naplózást az auditálás beállításakor (a lehető legpontosabb információk gyűjtése és feldolgozása érdekében). Egy nyílt forrású ellenőrzési réteg vagy lekérdezés-irányító eszköz, például az ElasticSearch mindezt megkönnyíti.
10. Adatbiztonság
Az adatforrás számos különféle dolgot jelenthet, attól függően, hogy ki kérdezi. A CSA utal azonban a Big Data alkalmazások által létrehozott származási metaadatokra. Ez egy egész másik adatkategória, amely jelentős védelmet igényel. A CSA azt javasolja, hogy először dolgozzon ki egy infrastruktúra-hitelesítési protokollt, amely ellenőrzi a hozzáférést, miközben beállítja az időszakos állapotfrissítéseket és folyamatosan ellenőrzi az adatok integritását olyan mechanizmusok, mint például ellenőrző összegek felhasználásával.
Ráadásul a CSA adatgyűjtési bevált gyakorlatainak többi része visszatükrözi a listánk többi részét: dinamikus és méretezhető granulált hozzáférési vezérlőket vezet be és titkosítási módszereket vezet be. Nincs egyetlen titkos trükk a nagy adatbiztonság biztosításában a szervezeten belül, valamint az infrastruktúra és az alkalmazáscsomag minden szintjén. Ha ezt a hatalmas adatsort kezelik, csak egy kimerítően átfogó informatikai biztonsági rendszer és a vállalati szintű felhasználói beszerzés biztosítja a szervezet számára a legjobb esélyt az utolsó 0 és 1 biztonságos megőrzésére.
