Video: Кеннет Кукьер: Большие данные — лучшие данные (Oktober 2024)
Hver bedrift ønsker å samle inn troves of business intelligence (BI), så mye data som ledere, markedsførere og alle andre avdelinger i organisasjonen kan få tak i. Men når du har fått disse dataene, ligger vanskeligheten ikke bare i å analysere den enorme datasjøen for å finne de viktigste innsiktene du leter etter (uten å bli oversvømmet av det store informasjonsvolumet), men å sikre alle disse dataene også.
Så mens bedriftens IT-avdeling og dataforskere kjører prediktive analysealgoritmer, datavisualiseringer og bruker et arsenal av andre dataanalyseteknikker på Big Data du har samlet, trenger virksomheten din å sørge for at det ikke er lekkasjer eller svake steder i reservoaret.
For det formål har Cloud Security Alliance (CSA) nylig gitt ut The Big Data Security and Privacy Handbook: 100 Best Practices in Big Data Security and Privacy. Den lange listen over beste fremgangsmåter er spredt over 10 kategorier, så vi plyndret beste praksis ned til 10 tips for å hjelpe IT-avdelingen din med å låse viktige forretningsdata. Disse tipsene bruker et arsenal av datalagring, kryptering, styring, overvåking og sikkerhetsteknikker.
1. Sikre distribuerte programmeringsrammer
Distribuerte programmeringsrammer som Hadoop utgjør en enorm del av moderne Big Data-distribusjoner, men de har en alvorlig risiko for datalekkasje. De kommer også med det som kalles "ikke-tillitsfulle kartleggere" eller data fra flere kilder som kan gi feilaktige aggregerte resultater.
CSA anbefaler at organisasjoner først oppretter tillit ved å bruke metoder som Kerberos Authentication, samtidig som de sikrer samsvar med forhåndsdefinerte sikkerhetspolitikker. Deretter "avidentifiserer" du dataene ved å koble fra all personlig identifiserbar informasjon (PII) fra dataene for å sikre at personlig personvern ikke blir skadet. Derfra autoriserer du tilgang til filer med forhåndsdefinert sikkerhetspolicy, og sørger deretter for at upålitelig kode ikke lekker informasjon via systemressurser ved å bruke obligatorisk tilgangskontroll (MAC) som Sentry-verktøyet i Apache HBase. Etter det er den harde delen over, da det eneste som gjenstår å gjøre er å beskytte mot datalekkasje med regelmessig vedlikehold. IT-avdelingen bør sjekke arbeiderknuter og kartleggere i skyen eller det virtuelle miljøet ditt, og holde øye med falske noder og endrede duplikater av data.
2. Sikre dine ikke-relasjonelle data
Ikke-relasjonelle databaser som NoSQL er vanlige, men de er sårbare for angrep som NoSQL-injeksjon; CSA viser en rekke motforanstaltninger for å beskytte mot dette. Start med å kryptere eller haske passord, og sørg for å sikre ende-til-ende-kryptering ved å kryptere data i ro ved hjelp av algoritmer som avansert krypteringsstandard (AES), RSA og Secure Hash Algorithm 2 (SHA-256). Transportlagssikkerhets (TLS) og kryptering av sikre sokler (SSL) er også nyttige.
Utover disse kjernetiltakene, pluss lag som datatagging og sikkerhet på objektnivå, kan du også sikre ikke-relasjonelle data ved å bruke det som kalles pluggbare autentiseringsmoduler (PAM); Dette er en fleksibel metode for autentisering av brukere, mens du sørger for å logge transaksjoner ved å bruke et verktøy som NIST-logg. Til slutt er det det som kalles fuzzing-metoder, som blottlegger skripting og injeksjon av sårbarheter på tvers av steder mellom NoSQL og HTTP-protokollen ved å bruke automatisert datainnføring ved protokoll, datanode og applikasjonsnivåer for distribusjonen.
3. Sikker datalagring og transaksjonslogger
Lagringshåndtering er en sentral del av sikkerhetsligningen Big Data. CSA anbefaler å bruke signerte meldingsoppgraderinger for å gi en digital identifikator for hver digital fil eller dokument, og å bruke en teknikk som kalles sikre untrusted data repository (SUNDR) for å oppdage uautoriserte filendringer av ondsinnede serveragenter.
Håndboken lister opp en rekke andre teknikker, inkludert lat tilbakekall og nøkkelrotasjon, kringkasting og policybaserte krypteringsordninger og DRM (Digital Rights Management). Det er imidlertid ingen erstatning for å bare bygge din egen sikre skylagring oppå eksisterende infrastruktur.
4. Filtrering og validering av sluttpunkt
Endepunktsikkerhet er avgjørende og organisasjonen din kan starte med å bruke pålitelige sertifikater, utføre ressurstesting og bare koble pålitelige enheter til nettverket ditt ved å bruke en MDM-løsning (på toppen av antivirus- og malware-programvare). Derfra kan du bruke statistiske likhetsdeteksjonsteknikker og påvisningsteknikker for å filtrere ondsinnede innganger, mens du beskytter mot Sybil-angrep (dvs. en enhet som blir maskeret som flere identiteter) og ID-forfalskningsangrep.
5. Overholdelse av sanntid og sikkerhetsovervåking
Overholdelse er alltid en hodepine for bedrifter, og enda mer når du arbeider med en konstant strøm av data. Det er best å takle det head-on med sanntidsanalyse og sikkerhet på alle nivåer i stabelen. CSA anbefaler at organisasjoner bruker Big Data-analyse ved å bruke verktøy som Kerberos, sikker shell (SSH) og internettprotokollsikkerhet (IPsec) for å få tak i sanntidsdata.
Når du har gjort det, kan du gruve loggingshendelser, distribuere front-end sikkerhetssystemer som rutere og brannmurer på applikasjonsnivå og begynne å implementere sikkerhetskontroller i hele stabelen på sky-, klynge- og applikasjonsnivåer. CSA advarer også bedrifter om å være på vakt mot unndragelsesangrep som prøver å omgå Big Data-infrastrukturen din, og det som kalles "dataforgiftning" -angrep (dvs. forfalskede data som lurer overvåkningssystemet ditt).
6. Bevar personvern for data
Det er virkelig vanskelig å opprettholde personvernet i stadig voksende sett. CSA sa at nøkkelen er å være "skalerbar og komponerbar" ved å implementere teknikker som forskjellig personvern - maksimere spørresnøyaktighet og samtidig minimere postidentifikasjon - og homomorf kryptering for å lagre og behandle kryptert informasjon i skyen. Utover det, ikke skimp på stiftene: CSA anbefaler å innarbeide bevissthetstrening for ansatte som fokuserer på gjeldende personvernforskrifter, og være sikker på å opprettholde programvareinfrastruktur ved å bruke autorisasjonsmekanismer. Til slutt oppfordrer beste praksis til å implementere det som kalles "personvernbevarende datasammensetning", som kontrollerer datalekkasje fra flere databaser ved å gjennomgå og overvåke infrastrukturen som knytter databasene sammen.
7. Big Data Cryptography
Matematisk kryptografi har ikke gått ut av stil; faktisk har det blitt langt mer avansert. Ved å konstruere et system for å søke og filtrere krypterte data, for eksempel den søkbare symmetriske krypteringsprotokollen (SSE), kan virksomheter faktisk kjøre boolske spørsmål om krypterte data. Etter at det er installert, anbefaler CSA en rekke kryptografiske teknikker.
Relasjonskryptering lar deg sammenligne krypterte data uten å dele krypteringsnøkler ved å matche identifikatorer og attributtverdier. Identitetsbasert kryptering (IBE) gjør det enklere å styre nøkkelhåndteringen i offentlige nøkkelsystemer ved å la ren tekst krypteres for en gitt identitet. Attribusjonsbasert kryptering (ABE) kan integrere tilgangskontroller i et krypteringsskjema. Endelig er det konvertert kryptering, som bruker krypteringsnøkler for å hjelpe skyleverandører med å identifisere duplikatdata.
8. Granulær tilgangskontroll
Tilgangskontroll handler om to hovedtemaer i henhold til CSA: å begrense brukertilgang og gi brukertilgang. Trikset er å bygge og implementere en policy som velger den rette i et gitt scenario. For å sette opp granulære tilgangskontroller har CSA en rekke tips som du får raskt:
Normaliser mutable elementer og denormalisere uforanderlige elementer,
Spor taushetsplikt og sørg for riktig implementering,
Opprettholde tilgangsetiketter,
Spor admin data,
Bruk enkel pålogging (SSO), og
Bruk en merkeordning for å opprettholde riktig dataforbund.
9. Revisjon, revisjon, revisjon
Granulær revisjon er et must i Big Data-sikkerhet, spesielt etter et angrep på systemet ditt. CSA anbefaler at organisasjoner oppretter en sammenhengende revisjonsvisning etter ethvert angrep, og sørger for å gi en full revisjonsspor mens du sikrer at det er lett tilgang til disse dataene for å redusere responstiden for hendelser.
Integritet og konfidensialitet til revisjon er også viktig. Tilsynsinformasjon skal lagres separat og beskyttes med granulerte brukeradgangskontroller og regelmessig overvåking. Sørg for å holde Big Data og revisjonsdata atskilt, og aktiver all nødvendig logging når du setter opp revisjon (for å samle inn og behandle mest mulig detaljert informasjon). Et åpen kildekontrolllag eller spørringsorkestreringsverktøy som ElasticSearch kan gjøre alt dette enklere å gjøre.
10. Dataprovenanse
Dataprovens kan bety en rekke forskjellige ting, avhengig av hvem du spør. Men det CSA viser til er metadata for proveniens generert av Big Data-applikasjoner. Dette er en helt annen kategori av data som trenger betydelig beskyttelse. CSA anbefaler først å utvikle en infrastrukturgodkjenningsprotokoll som kontrollerer tilgang, mens du setter opp periodiske statusoppdateringer og kontinuerlig verifiserer dataintegritet ved å bruke mekanismer som sjekksum.
På toppen av det gjenspeiler resten av CSAs beste praksis for dataprioritering resten av listen vår: implementer dynamiske og skalerbare granulære tilgangskontroller og implementer krypteringsmetoder. Det er ingen hemmelige triks for å sikre Big Data-sikkerhet i hele organisasjonen og på alle nivåer i infrastrukturen og applikasjonsstabelen din. Når du handler med databaser så store, er det bare en uttømmende IT-sikkerhetsordning og innkjøp av hele brukeren som gir organisasjonen den beste sjansen til å holde hver siste 0 og 1 trygg og sikker.
