Видео: unboxing turtles slime surprise toys learn colors (Ноябрь 2024)
Каждое предприятие хочет собрать множество бизнес-аналитики (BI), столько данных, сколько могут достать руководители, маркетологи и любой другой отдел в организации. Но как только вы получите эти данные, сложность заключается не только в анализе огромного озера данных, чтобы найти ключевые идеи, которые вы ищете (не будучи затопленными огромным объемом информации), но и в защите всех этих данных.,
Итак, в то время как ваш ИТ-отдел предприятия и специалисты по данным используют алгоритмы прогнозной аналитики, визуализации данных и используют арсенал других методов анализа данных для собранных вами больших данных, вашему бизнесу необходимо убедиться в отсутствии утечек или слабых мест. в водохранилище.
С этой целью Альянс облачной безопасности (CSA) недавно выпустил «Руководство по безопасности и конфиденциальности больших данных: 100 лучших практик в области безопасности и конфиденциальности больших данных». Длинный список лучших практик распределен по 10 категориям, поэтому мы сократили их до 10 советов, которые помогут вашему ИТ-отделу заблокировать ваши ключевые бизнес-данные. Эти советы используют арсенал методов хранения данных, шифрования, управления, мониторинга и безопасности.
1. Защитите структуры распределенного программирования
Структуры распределенного программирования, такие как Hadoop, составляют огромную часть современных распределений больших данных, но они сопряжены с серьезным риском утечки данных. Они также поставляются с так называемыми «ненадежными сопоставителями» или данными из нескольких источников, которые могут давать агрегированные результаты с ошибками.
CSA рекомендует организациям сначала установить доверие с помощью таких методов, как проверка подлинности Kerberos, обеспечивая при этом соответствие предопределенным политикам безопасности. Затем вы «деидентифицируете» данные, отделяя всю личную информацию (PII) от данных, чтобы гарантировать, что личная конфиденциальность не будет нарушена. Оттуда вы разрешаете доступ к файлам с предопределенной политикой безопасности, а затем гарантируете, что ненадежный код не пропускает информацию через системные ресурсы, используя обязательный контроль доступа (MAC), такой как инструмент Sentry в Apache HBase. После этого трудная часть закончена, и все, что остается сделать, это защитить от утечки данных при регулярном обслуживании. ИТ-отдел должен проверять рабочие узлы и средства отображения в вашей облачной или виртуальной среде и следить за поддельными узлами и измененными дубликатами данных.
2. Защитите свои нереляционные данные
Нереляционные базы данных, такие как NoSQL, распространены, но они уязвимы для атак, таких как внедрение NoSQL; CSA перечисляет множество контрмер для защиты от этого. Начните с шифрования или хеширования паролей и обязательно обеспечьте сквозное шифрование путем шифрования данных в состоянии покоя с использованием таких алгоритмов, как расширенный стандарт шифрования (AES), RSA и алгоритм безопасного хеширования 2 (SHA-256). Безопасность на транспортном уровне (TLS) и шифрование на уровне защищенных сокетов (SSL) также полезны.
Помимо этих основных мер, а также таких слоев, как тегирование данных и безопасность на уровне объектов, вы также можете защитить нереляционные данные с помощью так называемых подключаемых модулей аутентификации (PAM); это гибкий метод для аутентификации пользователей, при этом необходимо регистрировать транзакции с помощью такого инструмента, как журнал NIST. Наконец, есть так называемые методы фаззинга, которые раскрывают межсайтовый скриптинг и внедряют уязвимости между NoSQL и протоколом HTTP с помощью автоматического ввода данных на уровне протокола, узла данных и приложений уровня распространения.
3. Безопасное хранение данных и журналы транзакций.
Управление хранилищем является ключевой частью уравнения безопасности больших данных. CSA рекомендует использовать подписанные дайджесты сообщений для предоставления цифрового идентификатора для каждого цифрового файла или документа и использовать метод, называемый безопасным хранилищем ненадежных данных (SUNDR), для обнаружения несанкционированных изменений файлов вредоносными агентами сервера.
В справочнике также перечислен ряд других методов, включая ленивый отзыв и ротацию ключей, широковещательные и основанные на политиках схемы шифрования и управление цифровыми правами (DRM). Однако ничто не заменит простое создание собственного безопасного облачного хранилища поверх существующей инфраструктуры.
4. Конечная точка фильтрации и проверки
Безопасность конечных точек имеет первостепенное значение, и ваша организация может начать с использования доверенных сертификатов, тестирования ресурсов и подключения только доверенных устройств к вашей сети с помощью решения для управления мобильными устройствами (MDM) (поверх антивирусного и вредоносного программного обеспечения). Оттуда вы можете использовать методы обнаружения статистического сходства и методы обнаружения выбросов для фильтрации вредоносных входных данных, одновременно защищая от атак Сибил (т. Е. Одного объекта, маскирующегося под несколько идентификаторов) и атак с подделкой идентификаторов.
5. Соответствие в реальном времени и мониторинг безопасности
Соблюдение требований всегда является головной болью для предприятий, и особенно в тех случаях, когда вы имеете дело с постоянным потоком данных. Лучше всего справиться с этим с помощью аналитики и безопасности в реальном времени на каждом уровне стека. CSA рекомендует организациям применять аналитику больших данных, используя такие инструменты, как Kerberos, защищенная оболочка (SSH) и безопасность интернет-протокола (IPsec), чтобы получить доступ к данным в реальном времени.
Как только вы это сделаете, вы сможете добывать события регистрации, развертывать внешние системы безопасности, такие как маршрутизаторы и брандмауэры на уровне приложений, и приступить к внедрению средств управления безопасностью в стеке на уровне облаков, кластеров и приложений. CSA также предупреждает предприятия о том, что следует избегать атак уклонения от попыток обойти инфраструктуру больших данных и так называемых атак «отравления данными» (т. Е. Фальсифицированных данных, которые вводят в заблуждение вашу систему мониторинга).
6. Сохранение конфиденциальности данных
Поддерживать конфиденциальность данных в постоянно растущих наборах действительно сложно. CSA сказал, что ключ должен быть «масштабируемым и компонуемым» путем реализации таких методов, как дифференциальная конфиденциальность, максимизация точности запросов при минимизации идентификации записей, и гомоморфное шифрование для хранения и обработки зашифрованной информации в облаке. Кроме того, не экономьте на скрепках: CSA рекомендует включить тренинг по повышению осведомленности сотрудников, в котором основное внимание уделяется текущим правилам конфиденциальности, а также поддерживать инфраструктуру программного обеспечения с использованием механизмов авторизации. Наконец, лучшие практики поощряют реализацию так называемой «композиции данных, сохраняющей конфиденциальность», которая контролирует утечку данных из нескольких баз данных, просматривая и отслеживая инфраструктуру, связывающую базы данных.
7. Криптография больших данных
Математическая криптография не вышла из моды; на самом деле, он стал намного более продвинутым. Создав систему для поиска и фильтрации зашифрованных данных, такую как протокол поиска с симметричным шифрованием (SSE), предприятия могут фактически выполнять логические запросы к зашифрованным данным. После того, как это установлено, CSA рекомендует множество криптографических методов.
Реляционное шифрование позволяет сравнивать зашифрованные данные без совместного использования ключей шифрования путем сопоставления идентификаторов и значений атрибутов. Шифрование на основе идентификаторов (IBE) упрощает управление ключами в системах с открытыми ключами, позволяя шифровать открытый текст для заданной идентичности. Шифрование на основе атрибутов (ABE) может интегрировать элементы управления доступом в схему шифрования. Наконец, есть конвергентное шифрование, которое использует ключи шифрования, чтобы помочь облачным провайдерам идентифицировать дубликаты данных.
8. Детальный контроль доступа
Согласно CSA, контроль доступа - это две основные вещи: ограничение доступа пользователей и предоставление доступа пользователям. Хитрость заключается в том, чтобы создать и внедрить политику, которая выберет правильную в любом конкретном сценарии. Для настройки детального контроля доступа у CSA есть несколько быстрых советов:
Нормализовать изменяемые элементы и денормализовать неизменяемые элементы,
Отслеживание требований секретности и обеспечение надлежащего выполнения,
Поддерживать метки доступа,
Отслеживать данные администратора,
Использовать единый вход (SSO) и
Используйте схему маркировки для обеспечения правильного объединения данных.
9. Аудит, Аудит, Аудит
Детальный аудит является обязательным условием безопасности больших данных, особенно после атаки на вашу систему. CSA рекомендует организациям создать целостное представление аудита после любой атаки и обязательно предоставить полный контрольный журнал, обеспечивая при этом легкий доступ к этим данным, чтобы сократить время реагирования на инциденты.
Аудит целостности информации и конфиденциальности также имеют важное значение. Аудиторская информация должна храниться отдельно и защищаться детальным контролем доступа пользователей и регулярным мониторингом. Убедитесь, что ваши большие данные и данные аудита разделены, и включите все необходимые журналы при настройке аудита (чтобы собрать и обработать максимально подробную информацию). Уровень аудита с открытым исходным кодом или инструмент управления запросами, такие как ElasticSearch, могут сделать все это проще.
10. Провенанс данных
Происхождение данных может означать множество разных вещей в зависимости от того, кого вы спрашиваете. Но CSA имеет в виду метаданные происхождения, генерируемые приложениями больших данных. Это совершенно другая категория данных, которая нуждается в значительной защите. CSA рекомендует сначала разработать протокол проверки подлинности инфраструктуры, который контролирует доступ, одновременно настраивая периодические обновления статуса и постоянно проверяя целостность данных с использованием таких механизмов, как контрольные суммы.
Вдобавок ко всему, остальные лучшие рекомендации CSA в отношении происхождения данных повторяют остальную часть нашего списка: внедряйте динамические и масштабируемые гранулярные средства контроля доступа и внедряйте методы шифрования. Не существует секретов для обеспечения безопасности больших данных в вашей организации и на всех уровнях вашей инфраструктуры и стека приложений. При работе с такими обширными пакетами данных только исчерпывающая комплексная схема ИТ-безопасности и участие пользователей в масштабах предприятия предоставят вашей организации наилучшие шансы обеспечить безопасность и надежность всех последних 0 и 1.
