當企業轉變為數據驅動的機器時,其潛力是巨大的:企業所擁有的數據可能成為獲得競爭優勢的關鍵。因此,企業的數據和基礎設施的安全也變得比以往任何時候都重要。
在許多情況下,企業或組織都可能得到Forrester所說的“有毒的數據”。例如,一家無線公司正在收集誰登錄哪一個天線塔、他們在線逗留多長時間、他們使用多少數據、他們是在移動還是處于靜止狀態等數據,這些數據可用來了解用戶行為的狀況。
這家無線公司也許有許多用戶生成的數據:信用卡號碼、社會保險號碼、購買習慣數據和用戶使用任何信息的方式等。關聯這種數據和從這些數據中提取推斷結果的能力是有價值的,但是,這種做法也是有害的,如果這種關聯的數據泄露到機構外部并且落入他人手中,這將給個人和機構造成災難性的損失。
應用大數據,不要忘記法規遵從和控制。下面是保證大數據安全的9個技巧。
1. 在啟動大數據項目之前要考慮安全問題。不應該等到發生數據突破事件之后再采取保證數據安全的措施。組織的IT安全團隊和參加大數據項目的其他人員在向分布式計算(Hadoop)集群安裝和發送大數據之前應該認真地討論安全問題。
2. 考慮要存儲什么數據。在計劃使用Hadoop存儲和運行要提交給監管部門的數據時,可能需要遵守具體的安全要求。即使所存儲的數據不受監管部門的管轄,也要評估風險,如果個人身份信息等數據丟失,造成的風險將包括信譽損失和收入損失。
3. 責任集中。現在,企業的數據可能存在于多個機構的豎井之中和數據集中。集中的數據安全的責任可保證在所有這些豎井中強制執行一致的政策和訪問控制。
4. 加密靜態和動態數據。在文件層增加透明的數據加密。SSL(安全套接層)加密能夠在數據在節點和應用程序之間移動時保護大數據。安全研究與顧問公司Securosis的首席技術官和分析師阿德里安·萊恩(Adrian Lane)稱,文件加密解決了繞過正常的應用安全控制的兩種攻擊方式。在惡意用戶或者管理員獲得數據節點的訪問權限和直接檢查文件的權限以及可能竊取文件或者不可讀的磁盤鏡像的情況下,加密可以起到保護作用。這是解決一些數據安全威脅的節省成本的途徑。
5. 把密鑰與加密的數據分開。把加密數據的密鑰存儲在加密數據所在的同一臺服務器中等于是鎖上大門,然后把鑰匙懸掛在鎖頭上。密鑰管理系統允許組織安全地存儲加密密鑰,把密鑰與要保護的數據隔離開。
6. 使用Kerberos網絡身份識別協議。企業需要能夠管理什么人和流程可以訪問存儲在Hadoop中的數據。這是避免流氓節點和應用進入集群的一種有效的方法。萊恩說,這能夠幫助保護網絡控制接入,使管理功能很難被攻破。我們知道,設置Kerberos比較困難,驗證或重新驗證新的節點和應用可以發揮作用。但是,沒有建立雙向的信任,欺騙Hadoop允許惡意應用進入這個集群、或者接受引進的惡意節點是很容易的。這個惡意節點以后可以增加、修改或者提取數據。Kerberos協議是可以控制的最有效的安全控制措施。Kerberos建在Hadoop基礎設施中,因此,請使用它。
7. 使用安全自動化。企業是在處理一個多節點環境,因此,部署的一致性是很難保證的。Chef和Puppet等自動化工具能夠幫助企業更好地使用補丁、配置應用程序、更新Hadoop棧、收集可信賴的機器鏡像、證書和平臺的不一致性等信息。事先建立這些腳本需要一些時間,但是,以后會得到減少管理時間的回報,并且額外地保證每一個節點都有基本的安全。
8. 向Hadoop集群增加記錄。大數據很自然地適合收集和管理記錄數據。許多網站公司開始使用大數據專門管理記錄文件。為什么不向現有的集群增加記錄呢?這會讓企業觀察到什么時候出現的故障或者是否有人以為企業已經被黑客攻破了。沒有一個事件跟蹤記錄,你就是一個瞎子。記錄MR請求和其它集群活動是很容易的并且可以稍微提高存儲和處理需求。但是,當有需要的時候,這些數據是不可或缺的。
9. 節點之間以及節點與應用之間采用安全通信。要做到這一點,需要部署一個SSL/TLS(安全套接層/傳輸層安全)協議保護企業的全部網絡通信,而不是僅僅保護一個子網。就像許多云服務提供商一樣,Cloudera等Hadoop提供商已經在做這件事。如果設置上沒有這種能力,就需要把這些服務集成到應用棧中。
京公網安備 11010502049343號