Video: 40 hyödyllistä Aliexpressin autotuotetta, jotka ovat sinulle hyödyllisiä (Lokakuu 2024)
Jokainen yritys haluaa kerätä liiketaloudellisia tietoja (BI), niin paljon tietoja kuin johtajat, markkinoijat ja organisaation kaikki muut osastot voivat saada käsiinsä. Mutta kun olet saanut nämä tiedot, vaikeus ei ole pelkästään valtavan datajärven analysoiminen löytää keskeisiä oivalluksia, joita etsit (ilman, että pelkkä tietomäärä on vallannut), vaan myös kaikkien näiden tietojen suojaaminen.
Joten kun yrityksesi IT-osasto ja tietoteknikot käyttävät ennustavia analyyttisiä algoritmeja, tietojen visualisointeja ja käyttävät kerättyyn Big Data -sovellukseen muiden tietojen analysointitekniikoiden arsenaalia, yrityksesi on varmistettava, ettei siinä ole vuotoja tai heikkoja kohtia. säiliössä.
Tätä varten Cloud Security Alliance (CSA) julkaisi äskettäin The Big Data Security and Privacy Handbook: 100 parhaita käytäntöjä suurten tietojen suojaukseen ja yksityisyyteen. Pitkä luettelo parhaista käytännöistä on jaoteltu 10 luokkaan, joten kokosimme parhaita käytäntöjä jopa 10 vinkiin, jotka auttavat IT-osastoa lukitsemaan tärkeimmät yritystietosi. Nämä vinkit käyttävät tietojen tallennus-, salaus-, hallinta-, seuranta- ja tietoturvatekniikoita.
1. Suojaa hajautettu ohjelmointikehys
Hajautetut ohjelmointikehykset, kuten Hadoop, muodostavat valtavan osan nykyaikaisista Big Data -jakeluista, mutta niihin liittyy vakava tietojen vuotoriski. Niiden mukana tulee myös niin kutsuttuja "epäluotettavia kartoittajia" tai tietoja useista lähteistä, jotka voivat tuottaa virheistä kerättyjä kokonaistuloksia.
CSA suosittelee organisaatioille ensin luottamuksen luomista käyttämällä menetelmiä, kuten Kerberos-todennus, samalla kun varmistetaan noudattaminen ennalta määritettyjä suojauskäytäntöjä. Sitten "tunnistaa" tiedot irrottamalla kaikki henkilökohtaisesti tunnistetiedot (PII) tiedoista varmistaaksesi, että henkilökohtaista yksityisyyttä ei vaaranneta. Sieltä valtuutat pääsyn tiedostoihin, joilla on ennalta määritetty suojauskäytäntö, ja varmistat sitten, että epäluotettu koodi ei vuoda tietoja järjestelmäresurssien kautta käyttämällä pakollista käyttöoikeuden hallintaa (MAC), kuten Apache HBase -sovelluksen Sentry-työkalua. Sen jälkeen kova osa on ohi, koska kaikki mitä on jäljellä, on suojautua tietojen vuotamiselta säännöllisellä kunnossapidolla. IT-osaston tulisi tarkistaa pilvipalvelimesi tai virtuaaliympäristösi työntekijöiden solmut ja kartoittimet sekä seurata vääriä solmuja ja muutettuja tietojen kopioita.
2. Suojaa ei-relaatiotietosi
Ei-relaatiotietokannat, kuten NoSQL, ovat yleisiä, mutta ne ovat alttiita hyökkäyksille, kuten NoSQL-injektiolle; CSA luettelee joukon vastatoimia sen suojelemiseksi. Aloita salaamalla tai hajauttamalla salasanat ja varmista varmasti päästä päähän -salaus salaamalla tietoja levossa käyttämällä algoritmeja, kuten edistynyt salausstandardi (AES), RSA ja Secure Hash Algorithm 2 (SHA-256). Kuljetuskerrosten suojaus (TLS) ja suojattujen pistokekerrosten (SSL) salaus ovat myös hyödyllisiä.
Näiden ylimitoitettujen toimenpiteiden lisäksi, kuten kerrokset, kuten tietojen merkitseminen ja objektitason suojaus, voit myös suojata ei-relaatiotiedot käyttämällä ns. Kytkettäviä todennusmoduuleja (PAM); tämä on joustava tapa todentaa käyttäjiä varmistamalla samalla, että lokit kirjataan käyttämällä työkalua, kuten NIST-loki. Lopuksi, kutsutaan sumeavina menetelminä, jotka paljastavat sivustojen väliset komentosarjat ja lisäävät haavoittuvuuksia NoSQL: n ja HTTP-protokollan välille käyttämällä automaattista tietojen syöttöä protokollan, datasolmun ja jakelun sovellustasoilla.
3. Suojattu tietojen tallennus- ja tapahtumalokit
Tallennustilan hallinta on keskeinen osa Big Data -turvallisuusyhtälöä. CSA suosittelee allekirjoitettujen viestihakemusten käyttöä digitaalisen tunnisteen tarjoamiseksi jokaiselle digitaaliselle tiedostolle tai asiakirjalle ja käyttämään tekniikkaa, jota kutsutaan suojatuksi epäluotettavaksi tietovarastoksi (SUNDR), haitallisten palvelinagenttien luvattomien tiedostojen muutosten havaitsemiseksi.
Käsikirjassa luetellaan myös joukko muita tekniikoita, mukaan lukien laiska peruuttaminen ja avainten kierto, lähetys- ja politiikkapohjaiset salausjärjestelmät sekä digitaalisten oikeuksien hallinta (DRM). Ei kuitenkaan voida korvata yksinkertaisesti oman turvallisen pilvitallennuksen rakentamista olemassa olevan infrastruktuurin päälle.
4. Päätepisteiden suodatus ja validointi
Päätepisteiden suojaus on ensiarvoisen tärkeää, ja organisaatiosi voi aloittaa käyttämällä luotettuja varmenteita, tekemällä resurssitestauksia ja yhdistämällä verkkoon vain luotettavia laitteita käyttämällä mobiililaitteiden hallintaratkaisua (MDM) (virustorjunta- ja haittaohjelmien torjuntaohjelmiston päällä). Sieltä voit käyttää tilastollisia samankaltaisuuden havaitsemistekniikoita ja ulkopuolisia havaitsemistekniikoita suodattaaksesi haitallisia syötteitä samalla kun suojaudut Sybil-hyökkäyksiltä (ts. Yksi kokonaisuus naamioituna useiksi identiteetteiksi) ja ID-väärentämiseen.
5. Reaaliaikainen noudattaminen ja turvallisuuden seuranta
Vaatimustenmukaisuus on aina päänsärky yrityksille, ja vielä enemmän, kun käsittelet jatkuvaa tiedonsiirtoa. On parasta käsitellä sitä reaaliaikaisella analytiikalla ja tietoturvalla pinojen kaikilla tasoilla. CSA suosittaa, että organisaatiot soveltavat Big Data -analyysiä käyttämällä työkaluja, kuten Kerberos, suojattu kuori (SSH) ja Internet-protokollan suojaus (IPsec) saadakseen reaaliaikaisen datan käsittelyyn.
Kun olet tehnyt sen, voit kaivoa lokitiedot, ottaa käyttöön käyttöliittymän tietoturvajärjestelmiä, kuten reitittimiä ja sovellustason palomuureja, ja aloittaa suojaustoimintojen toteuttamisen koko pinon sisällä pilvi-, klusteri- ja sovellustasoilla. CSA varoittaa myös yrityksiä olemaan varovaisia väärinkäytöksistä, jotka yrittävät kiertää Big Data -infrastruktuuriasi ja ns. "Data-myrkytys" -hyökkäyksiä (ts. Väärennettyjä tietoja, jotka huijaavat valvontajärjestelmääsi).
6. Säilytä tietosuoja
Tietosuojaa jatkuvasti kasvavissa sarjoissa on todella vaikeaa. CSA: n mukaan avaimen on oltava "skaalautuva ja kompostoitava" toteuttamalla tekniikoita, kuten erilaista yksityisyyttä - maksimoimalla kyselyn tarkkuus minimoimalla tietueiden tunnistaminen - ja homomorfista salausta salatun tiedon tallentamiseksi ja käsittelemiseksi pilvessä. Älä myöskään tuhlaa niittejä: CSA suosittelee sisällyttämään työntekijöiden tietoisuuden lisäämiseen tähtäävän koulutuksen, joka keskittyy nykyisiin tietosuojamääräyksiin, ja ylläpitämään ohjelmistoinfrastruktuuria valtuutusmekanismien avulla. Lopuksi, parhaat käytännöt rohkaisevat toteuttamaan niin kutsuttua "yksityisyyttä suojaavaa tietojen koostumusta", joka hallitsee useiden tietokantojen tietojen vuotamista tarkistamalla ja tarkkailemalla tietokantoja yhdistävää infrastruktuuria.
7. Big Data -salaus
Matemaattinen kryptografia ei ole menettänyt tyyliään; Itse asiassa se on saatu paljon edistyneemmäksi. Rakentamalla järjestelmä salatun datan, kuten etsittävän symmetrisen salausprotokollan (SSE) etsimiseksi ja suodattamiseksi, yritykset voivat tosiasiallisesti suorittaa Boolean-kyselyjä salatussa tiedossa. Asennuksen jälkeen CSA suosittelee erilaisia salaustekniikoita.
Suhteellinen salaus antaa sinun verrata salattua dataa jakamatta salausavaimia sovittamalla tunnisteet ja määritteen arvot. Identiteettipohjainen salaus (IBE) helpottaa avainten hallintaa julkisen avaimen järjestelmissä sallimalla selkeän tekstin salaus tietylle identiteetille. Attribuuttipohjainen salaus (ABE) voi integroida käyttöoikeudet salausjärjestelmään. Lopuksi on olemassa sulautettu salaus, joka käyttää salausavaimia auttamaan pilvipalveluntarjoajia tunnistamaan päällekkäiset tiedot.
8. Rakeinen kulunvalvonta
Käyttöoikeuksien hallinta on CSA: n mukaan kahta keskeistä asiaa: käyttäjän pääsyn rajoittaminen ja käyttäjän pääsyn myöntäminen. Temppu on rakentaa ja toteuttaa politiikka, joka valitsee oikean kussakin skenaariossa. Rakeisten käyttöoikeuksien asettamista varten CSA: lla on joukko pikaohjeita:
Normalisoi muuttuvat elementit ja denormaloi muuttumattomat elementit,
Seuraa salassapitovaatimuksia ja varmista asianmukainen täytäntöönpano,
Ylläpitä käyttöoikeustarrat,
Seuraa järjestelmänvalvojan tietoja,
Käytä kertakirjautumista (SSO) ja
Käytä merkintäjärjestelmää ylläpitääksesi asianmukaista tietojen yhdistämistä.
9. Tarkastus, tarkastus, tarkastus
Rakeinen tarkastus on välttämätöntä Big Data -suojauksessa, etenkin hyökkäyksen jälkeen järjestelmääsi. CSA suosittaa, että organisaatiot luovat yhdenmukaisen tarkastusnäkymän minkä tahansa hyökkäyksen jälkeen, ja varmista, että annat täydellisen tarkastusketjun, samalla kun varmistat, että tietoihin on helppo pääsy, jotta voidaan lyhentää tapahtumien vastausaikaa.
Tarkastustietojen eheys ja luottamuksellisuus ovat myös välttämättömiä. Tarkastustiedot tulisi tallentaa erikseen ja suojata rakeisilla käyttäjän käyttöoikeuksilla ja säännöllisellä seurannalla. Varmista, että säilytät Big Data- ja auditointitiedot erillään ja ota kaikki tarvittavat lokitiedot käyttöön, kun määrität auditointia (mahdollisimman yksityiskohtaisten tietojen keräämiseksi ja käsittelemiseksi). Avoimen lähdekoodin tarkastuskerros tai kyselyorkesterityökalu, kuten ElasticSearch, voi tehdä tästä kaiken helpompaa.
10. Tietojen esiintyvyys
Tietojen lähtöisyys voi tarkoittaa useita eri asioita sen mukaan, kettä kysyt. Mutta mitä CSA viittaa, ovat Big Data -sovellusten tuottamat lähteen metatiedot. Tämä on kokonaan toinen tietoryhmä, joka tarvitsee merkittävää suojausta. CSA suosittelee ensin kehittämään infrastruktuuritodennusprotokollaa, joka hallitsee pääsyä, samalla kun perustaa säännöllisiä tilapäivityksiä ja tarkistaa jatkuvasti tietojen eheys mekanismeilla, kuten tarkistussummilla.
Lisäksi CSA: n muut parhaita tietolähteitä koskevat käytännöt vastaavat loput luetteloa: ota käyttöön dynaamiset ja skaalautuvat rakeiset käyttöoikeudet ja ota käyttöön salausmenetelmät. Ei ole yhtä salaista temppua, joka takaa Big Data -turvallisuuden koko organisaatiossasi ja kaikilla infrastruktuurin ja sovelluspinon tasoilla. Kun käsitellään tietojoukkoja, tämä laaja-alainen vain kattava IT-tietoturvajärjestelmä ja koko yrityksen laajuinen sisäänosto antaa organisaatiollesi parhaan mahdollisuuden pitää kaikki viimeiset 0 ja 1 turvallisina.
