IT世界正在迅速擁抱“大數據”。龐大的數據存儲將是大數據分析的下一個討論話題,因為大數據正變得越來越大,例如,初創公司正在使用這些系統來對數以萬億計的DNA檢測條進行分析以研究人類演化史。雖然大數據(及其底層技術NoSQL)正成為信息系統界的流行語,但目前關于大數據的安全隱患并沒有太多討論。
大數據概述
NoSQL指的是非關系型數據庫,是包含大量不同類型結構化數據和非結構化數據的數據存儲。由于數據多樣性,這些數據存儲并不是通過標準SQL語音進行訪問的。此前,我們經常會將數據存儲分為兩種:關系型數據庫(RDBMS)和文件服務器。而NoSQL打開了我們的眼界,與傳統關系型概念不同,NoSQL并不遵循結構化形式。這種NoSQL數據存儲方法的主要優點是數據的可擴展性和可用性,以及數據存儲的靈活性。每個數據存儲都鏡像存儲在不同地點以確保數據持續可用性和沒有數據丟失,這樣的存儲系統通常用于趨勢分析,但這些系統并不適用于需要實時更新的金融交易,金融機構可以使用這個系統來分析最有效或業務最繁忙的分支機構。
NoSQL等于沒有安全?
很多人可能會說,不同NoSQL系統的開發人員會有針對性地將安全因素從其系統中剔除。例如,Cassandra只有基本的內置身份認證程序,他們的想法是數據庫管理員不需要擔心安全問題,安全問題應該交由專門的團隊來處理。在我們看來,NoSQL帶來以下安全挑戰:
★ 模式成熟度。 目前的標準SQL技術包括嚴格的訪問控制和隱私管理工具,而在NoSQL模式中,并沒有這樣的要求。事實上,NoSQL無法沿用SQL的模式,它應該要有自己的新模式。例如,與傳統SQL數據存儲相比,在NoSQL數據存儲中,列和行級的安全性更為重要。此外,NoSQL允許不斷對數據記錄添加屬性,所以前瞻安全性變得非常重要,企業需要為這些未來屬性定義安全。
★ 軟件成熟度。 多年來,在飽受各種安全問題的困擾后,數據庫和文件服務器系統已經變得比較成熟。雖然NoSQL可以從這些系統中取得一些經驗教訓,并且NoSQL數據存儲的復雜性有所減少,但我們相信至少在五年內NoSQL仍然會存在各種漏洞,畢竟它使用的是新代碼。
★ 員工成熟度。 即使是最有經驗的數據庫管理員也是NoSQL的新手。這意味著這些人員首先要著眼于如何讓它運作(這已經夠難了),也許以后有時間才會考慮安全問題。當到那個時候,他們肯定會犯很多整合錯誤。
★ 客戶端軟件。 由于NoSQL服務器軟件沒有內置足夠的安全,因此,必須對訪問這些軟件的應用程序內建安全因素,這反過來又會導致大量的安全問題:
☆ 增加身份驗證和授權過程到應用程序。這需要更多的安全考慮,而這只會讓應用程序更復雜。例如,應用程序將需要定義用戶和角色。基于這種類型的數據,應用程序可以決定是否向用戶授權對系統的訪問權限。
☆ 輸入驗證。再一次,我們看到困擾著關系型數據庫應用程序的問題又來繼續困擾NoSQL數據庫。例如,在去年的黑帽會議上,研究人員展示了黑客如何利用“NoSQL注入”來訪問受限制的信息。雖然2012年黑帽大會的時間還沒有確定,我們非常期待今年看到更多關于NoSQL的展示。
☆ 應用程序意識。在每個應用程序需要管理安全的情況下,應用程序必須意識到所有其他應用程序。這能夠禁止對所有非應用程序數據的訪問。
☆ 當新數據類型被添加到數據存儲時,數據存儲管理員必須弄清楚哪些應用程序不能訪問特定的數據。
☆ 容易產生漏洞的代碼。市面上有很多NoSQL產品,但又更多應用程序和應用程序服務器產品。應用程序越多,容易產生漏洞的代碼就越多。
★ 數據冗余性和分散性。 關系型數據庫安全基礎知識談論的是數據正常化---在單個位置存儲一塊數據。但大數據系統完全改變了這種模式。這些系統的固有模式是復制數據到很多表以優化查詢處理。數據分散在不同地理位置的不同服務器的不同的數據倉庫中,企業將很難定位這些數據和保護所有機密信息。
★ 隱私問題。 隱私問題并不是因為安全問題而受到推動,而是因為大數據的這種使用情況:即對來自不同系統的不同應用程序的不同活動的數據進行關聯。就拿谷歌舉例來說,他們在幾個月前對其隱私條款進行了修改,新條款允許谷歌融合來自所有服務中的信息。作為個人而言,這嚴重影響了我們逃避企業跟蹤的能力,即使我們使用多個身份。不過,這些企業現在面臨著風險。一方面,他們試圖將這些數據保存在其企業范圍內,主要因為所有權和監管的需要。然而,最近,科學家開始對這種做法表示擔心,要求企業透露這些數據集以驗證其研究結果。
總結
NoSQL仍然處于起步階段,在未來一年左右,我們可能都無法看到任何NoSQL安全解決方案。對于想自己開發NoSQL解決方案企業而言,他們首先應該仔細選擇其開發團隊,該團隊應該包括具有安全觀念的業界資深人士。另外,還應該進行代碼審查以確保軟件的安全性。
最后,應該通過密集的輸入驗證和網絡隔離以盡可能地減少平臺暴露給用戶。還好我們現在才進入大數據時代,現在存儲的成本下降了,技術也允許我們能夠方便地訪問和分析數據。
京公網安備 11010502049343號