Video: Matt Mullenweg: State of the Word 2019 (Lapkritis 2024)
Kiekvienas verslas nori surinkti verslo informacijos rinkinius (BI), nes duomenų gali gauti vadovai, rinkodaros specialistai ir visi kiti organizacijos padaliniai. Bet kai jūs turite šiuos duomenis, sunkumai kyla ne tik analizuojant didžiulį duomenų ežerą, kad būtų surastos pagrindinės įžvalgos, kurių ieškote (nebūdami užkalbinti vien tik informacijos apimties), bet ir užtikrindami visus šiuos duomenis..
Taigi, kol jūsų įmonės IT skyrius ir duomenų mokslininkai naudoja numatomus analizės algoritmus, duomenų vizualizaciją ir naudoja kitų duomenų analizės metodų arsenalą jūsų surinktuose „Big Data“, jūsų verslas turi įsitikinti, kad nėra nutekėjimų ar silpnų vietų. rezervuare.
Šiuo tikslu „Cloud Security Alliance“ (CSA) neseniai išleido „Didžiųjų duomenų saugumo ir privatumo vadovą“: 100 geriausių duomenų saugumo ir privatumo praktikos. Ilgas geriausios praktikos sąrašas yra padalintas į 10 kategorijų, todėl mes pateikėme geriausios praktikos pavyzdžių iki 10 patarimų, kurie padės jūsų IT skyriui užrakinti svarbiausius jūsų verslo duomenis. Šie patarimai naudoja duomenų saugojimo, šifravimo, valdymo, stebėjimo ir saugos metodų arsenalą.
1. Apsaugotos paskirstytos programavimo sistemos
Pasiskirstytos programavimo sistemos, tokios kaip „Hadoop“, sudaro didelę šiuolaikinių „Big Data“ paskirstymų dalį, tačiau kyla rimtas duomenų nutekėjimo pavojus. Jie taip pat pateikiami vadinamiesiems „nepatikimiems žemėlapių sudarytojams“ arba duomenims iš kelių šaltinių, kurie gali duoti apibendrintus rezultatus, susijusius su klaidomis.
CSA rekomenduoja organizacijoms pirmiausia sukurti pasitikėjimą, naudojant tokius metodus kaip „Kerberos“ autentifikavimas, užtikrinant atitiktį iš anksto nustatytai saugumo politikai. Tuomet „pašalinsite“ duomenis atsiedami visą asmenį identifikuojančią informaciją (PII) nuo duomenų, kad užtikrintumėte, jog nepakenktų asmeniniam privatumui. Iš čia jūs suteikiate prieigą prie failų su iš anksto nustatyta saugos politika ir tada įsitikinate, kad nepatikimas kodas nepraleidžia informacijos per sistemos išteklius, naudodamas privalomą prieigos valdymą (MAC), pvz., „Sentry“ įrankį „Apache HBase“. Po to sunkioji dalis pasibaigė, nes liko tik saugotis duomenų nutekėjimo reguliariai prižiūrint. IT skyrius turėtų tikrinti darbuotojo mazgus ir žemėlapių sudarytojus jūsų debesyje ar virtualioje aplinkoje ir stebėti, ar nėra suklastotų mazgų ir pakeistų duomenų kopijų.
2. Apsaugokite savo nesusijusius duomenis
Nesusijusios duomenų bazės, tokios kaip „NoSQL“, yra įprastos, tačiau jos yra pažeidžiamos tokių atakų, kaip „NoSQL“ įpurškimas; CSA išvardija daugybę atsakomųjų priemonių, kad apsisaugotų nuo to. Pradėkite šifruoti ar maišyti slaptažodžius ir būtinai užtikrinkite šifravimą iki galo, šifruodami duomenis ramybėje naudodamiesi algoritmais, tokiais kaip išplėstinis kodavimo standartas (AES), RSA ir „Secure Hash Algorithm 2“ (SHA-256). Transporto lygmens saugumas (TLS) ir saugaus lizdo sluoksnio (SSL) šifravimas taip pat yra naudingi.
Be šių pagrindinių priemonių ir tokių lygių, kaip duomenų žymėjimas ir objekto lygio saugumas, galite apsaugoti ir nesusijusius duomenis naudodami vadinamuosius įjungiamus atpažinimo modulius (PAM); Tai yra lankstus vartotojų autentifikavimo būdas, užtikrinant operacijų registravimą naudojant tokį įrankį kaip NIST žurnalas. Galiausiai, tai yra vadinamieji neaiškūs metodai, atskleidžiantys scenarijus keliose svetainėse ir nustatantys spragas tarp NoSQL ir HTTP protokolo, naudojant automatinį duomenų įvestį protokolo, duomenų mazge ir paskirstymo programų lygiuose.
3. Saugus duomenų saugojimas ir operacijų žurnalai
Sandėliavimo valdymas yra pagrindinė „Big Data“ saugos lygties dalis. CSA rekomenduoja naudoti pasirašytų pranešimų santraukas, kad būtų pateiktas kiekvieno skaitmeninio failo ar dokumento skaitmeninis identifikatorius, ir naudoti metodą, vadinamą saugia nepatikima duomenų saugykla (SUNDR), kad aptiktų neteisėtų serverio agentų neleistinus failų pakeitimus.
Vadovėlyje taip pat išvardijama keletas kitų metodų, įskaitant tingų atšaukimą ir raktų pasukimą, transliavimo ir politika pagrįstas šifravimo schemas bei skaitmeninių teisių valdymą (DRM). Tačiau tai nėra pakaitalas, kuriant savo saugią debesų saugyklą ant esamos infrastruktūros.
4. Galutinio taško filtravimas ir patvirtinimas
Galutinio taško sauga yra svarbiausia, ir jūsų organizacija gali pradėti naudodama patikimus sertifikatus, atlikdama išteklių patikrinimą ir prijungdama prie tinklo tik patikimus įrenginius, naudodama mobiliųjų įrenginių tvarkymo (MDM) sprendimą (antivirusinių ir kenkėjiškų programų apsaugos programinės įrangos viršuje). Iš čia galite naudoti statistinio panašumo aptikimo metodus ir pašalinius aptikimo būdus, kad filtruotumėte kenksmingas įvestis, saugodamiesi nuo Sybil atakų (ty vieno subjekto, maskuojamo kaip kelios tapatybės) ir ID apgaulingų atakų.
5. Atitikimas realiuoju laiku ir saugumo stebėjimas
Atitikimas įmonėms visada yra galvos skausmas, o dar daugiau - kai susiduriate su nuolatiniu duomenų naikinimu. Geriausia tai spręsti realiu laiku atliekant analizę ir užtikrinant saugumą kiekviename krūvos lygyje. CSA rekomenduoja organizacijoms taikyti „Big Data“ analizę, naudojant įrankius, tokius kaip „Kerberos“, apsaugotą apvalkalą (SSH) ir interneto protokolo apsaugą („IPsec“), kad būtų galima valdyti duomenis realiuoju laiku.
Tai atlikę, galėsite iškasti registravimo įvykius, diegti priekines apsaugos sistemas, tokias kaip maršrutizatoriai ir programų lygio ugniasienės, ir pradėti įgyvendinti saugos kontrolę visame krūve debesies, klasterio ir programų lygiuose. CSA taip pat perspėja įmones būti atsargiems dėl sukčiavimo išpuolių, bandant apeiti jūsų „Big Data“ infrastruktūrą ir tai, kas vadinama „apsinuodijimo duomenimis“ išpuoliais (ty suklastotais duomenimis, kurie apgauna jūsų stebėjimo sistemą).
6. Išsaugokite duomenų privatumą
Iš tikrųjų sunku išlaikyti duomenų privatumą nuolat augančiuose rinkiniuose. CSA teigė, kad svarbiausia yra „mastelį didinti ir kompiliuoti“, įgyvendinant tokius metodus, kaip diferencijuotas privatumas - maksimalus užklausos tikslumas, sumažinant įrašų identifikavimą - ir homomorfinis šifravimas, siekiant saugoti ir apdoroti užšifruotą informaciją debesyje. Be to, nesinervinkite į sąvaržėles: CSA rekomenduoja įtraukti darbuotojų informuotumo mokymus, kuriuose pagrindinis dėmesys skiriamas dabartiniams privatumo teisės aktams, ir būtinai prižiūrėti programinės įrangos infrastruktūrą naudodamas autorizacijos mechanizmus. Galiausiai, geriausia praktika skatina įgyvendinti tai, kas vadinama „privatumą saugančia duomenų sudėtimi“, kuri kontroliuoja duomenų nutekėjimą iš kelių duomenų bazių, peržiūrint ir stebint infrastruktūrą, jungiančią duomenų bazes.
7. Didžiųjų duomenų kriptografija
Matematinė kriptografija neišėjo iš stiliaus; Tiesą sakant, jis tapo žymiai tobulesnis. Sukūrę užšifruotų duomenų, tokių kaip ieškomo simetrinio šifravimo (SSE) protokolą, paiešką ir filtravimą, įmonės iš tikrųjų gali vykdyti Boole užklausas šifruotuose duomenyse. Įdiegę, CSA rekomenduoja įvairius šifravimo metodus.
Reliacinis šifravimas leidžia palyginti užšifruotus duomenis nebendraujant su šifravimo raktais, suderinant identifikatorius ir atributų reikšmes. Tapatumu pagrįstas šifravimas (IBE) palengvina rakto valdymą viešųjų raktų sistemose, nes leidžia šifruoti paprastą tekstą tam tikrai tapatybei. Atributais pagrįstas šifravimas (ABE) gali integruoti prieigos valdiklius į šifravimo schemą. Galiausiai yra suvienodintas šifravimas, kuris naudoja šifravimo raktus, kad padėtų debesų paslaugų teikėjams atpažinti pasikartojančius duomenis.
8. Granulių prieigos kontrolė
Prieigos kontrolė, remiantis CSA, yra du pagrindiniai dalykai: vartotojo prieigos apribojimas ir vartotojo prieigos suteikimas. Patarimas yra sukurti ir įgyvendinti politiką, kuri kiekvienam scenarijui pasirenka tinkamą. Norėdami nustatyti granuliuotas prieigos kontrolės priemones, CSA turi daugybę greitų patarimų:
Normalizuokite nekintančius elementus ir denormalizuokite nekintamus elementus,
Sekite slaptumo reikalavimus ir užtikrinkite tinkamą įgyvendinimą,
Prižiūrėkite prieigos etiketes,
Stebėkite administratoriaus duomenis,
Naudokite vienkartinį prisijungimą (SSO) ir
Norėdami išlaikyti tinkamą duomenų sujungimą, naudokite ženklinimo schemą.
9. Auditas, auditas, auditas
Detalusis auditas yra būtinas didžiųjų duomenų saugumui užtikrinti, ypač po jūsų sistemos užpuolimo. CSA rekomenduoja organizacijoms sukurti nuoseklų audito vaizdą po bet kokio išpuolio ir būtinai pateikite visą audito seką, užtikrindami lengvą prieigą prie tų duomenų, kad sutrumpintumėte reagavimo į įvykius laiką.
Taip pat labai svarbu audito informacijos vientisumas ir konfidencialumas. Audito informacija turėtų būti saugoma atskirai ir apsaugota naudojant išsamias vartotojo prieigos kontrolės priemones ir reguliarų stebėjimą. Būtinai laikykite atskirus „Big Data“ ir audito duomenis ir nustatydami auditą įgalinkite visą reikalingą registravimą (kad būtų galima surinkti ir apdoroti kuo išsamesnę informaciją). Visa tai padaryti gali lengviau atlikti naudojant atvirojo kodo audito lygmenį arba užklausų tvarkytojo įrankį, pvz., „ElasticSearch“.
10. Duomenų įrodymas
Duomenų kilmė gali reikšti daugybę skirtingų dalykų, atsižvelgiant į tai, ko klausiate. Bet tai, ką nurodo CSA, yra kilmės duomenų metaduomenys, kuriuos sukuria „Big Data“ programos. Tai visai kita duomenų kategorija, kurią reikia žymiai apsaugoti. CSA pirmiausia rekomenduoja sukurti infrastruktūros autentifikavimo protokolą, kuris kontroliuoja prieigą, tuo pačiu metu nustatant periodinius būsenos atnaujinimus ir nuolat tikrinant duomenų vientisumą naudojant tokius mechanizmus kaip kontrolinės sumos.
Be to, visa kita CSA geriausia duomenų kilmės praktika pakartoja likusį mūsų sąrašą: įgyvendinkite dinamines ir keičiamas granulių prieigos kontrolės priemones ir įgyvendinkite šifravimo metodus. Nėra vieno slapto triuko, kaip užtikrinti „Big Data“ saugumą jūsų organizacijoje ir kiekviename jūsų infrastruktūros bei programų kamino lygyje. Kai prekiaujate duomenų baze šiomis didžiulėmis dalimis, tik išsami IT sistemos schema ir visos įmonės vartotojų įsigijimas suteiks jūsų organizacijai geriausią galimybę saugoti visus paskutinius 0 ir 1.
