Osvědčené postupy 10 pro zajištění velkých dat

Cloud Security Playbook pro malé a střední podniky

Každý podnik chce shromažďovat trovy business intelligence (BI), mohou se dostat do rukou tolik údajů, jako výkonní pracovníci, obchodníci a další oddělení organizace. Jakmile však obdržíte tato data, obtížnost spočívá nejen v analýze rozsáhlých datových jezer, aby bylo možné nalézt klíčové pohledy, o které se díváte (aniž by byly zaplaveny velkým množstvím informací), ale také zajistit všechna tato data .

Takže i když vaše oddělení IT oddělení a vědci v oblasti dat provozují algoritmy pro prediktivní analýzy, vizualizaci dat a využívají arzenál dalších technik analýzy dat na shromážděných Big Data, vaše firma potřebuje zajistit, aby nedošlo k netěsnosti ani k slabým místům v nádrži.

Za tímto účelem byla nedávno uvolněna alianční služba Cloud Security Alliance (CSA) Velká příručka pro bezpečnost a ochranu osobních dat: Nejlepší postupy 100 v oblasti zabezpečení velkých dat a soukromí. Dlouhý seznam osvědčených postupů se rozšiřuje v kategoriích 10, takže jsme oslabili osvědčené postupy podle tipů 10, abychom pomohli vašemu oddělení IT uzamknout klíčová obchodní data. Tyto tipy používají arzenál ukládání dat, šifrování, správu, monitorování a bezpečnostní techniky.

Zabezpečení virtuálního serveru

1. Zabezpečení distribuovaných programovacích rámců
Distribuované programovací rámce, jako je Hadoop, tvoří obrovskou část moderních distribucí velkých dat, přicházejí však s vážným rizikem úniku dat. Přicházejí také s tzv. "Nedůvěryhodnými mapovateli" nebo s daty z více zdrojů, které mohou způsobit agregované výsledky chování chyb.

CSA doporučuje, aby organizace nejprve založily důvěru pomocí metod, jako je Kerberos Authentication, a současně zajišťují shodu s předdefinovanými bezpečnostními zásadami. Pak "de-identifikujete" data oddělením všech osobně identifikovatelných informací (PII) od dat, abyste zajistili, že osobní soukromí nebude ohroženo. Odtud povolíte přístup k souborům s předdefinovanými bezpečnostními zásadami a poté zajistíte, že nedůvěryhodný kód nehrozí informace prostřednictvím systémových prostředků pomocí povinného řízení přístupu (MAC), jako je nástroj Sentry Apache HBase. Poté je těžká část skončena, protože vše, co zbývá, je ochrana před únikem dat s pravidelnou údržbou. Oddělení IT by mělo kontrolovat pracovní uzly a mapovače ve vašem cloudu nebo virtuálním prostředí a sledovat falešné uzly a pozměněné duplikáty dat.

2. Zajistěte své relační údaje
Nerelační databáze, jako je NoSQL, jsou běžné, ale jsou citlivé na útoky, jako je injekce NoSQL; CSA uvádí seznam protiopatření, které mají být chráněny proti tomuto. Začněte šifrováním nebo hashovacími hesly a ujistěte se, že zajistíte šifrování typu end-to-end zašifrováním dat v klidu pomocí algoritmů, jako jsou rozšířené šifrovací standardy (AES), RSA a algoritmus Secure Hash 2 (SHA-256). Zabezpečení přenosové vrstvy (TLS) a šifrování vrstvy zabezpečených soketů (SSL) jsou také užitečné.

Kromě těchto základních opatření a vrstev, jako je například značkování dat a zabezpečení na úrovni objektu, můžete také zabezpečit nerelační data pomocí takzvaných modulů plug-in autentizace (PAM); Jedná se o flexibilní metodu pro autentizaci uživatelů a zároveň se ujistěte, že protokolování transakcí pomocí nástroje, jako je protokol NIST. Nakonec je to, co se říká fuzzy metody, které vystavují skriptování napříč místními místy a vkládání chyb mezi NoSQL a HTTP protokolem pomocí automatického zadávání dat v protokolu, datovém uzlu a aplikačních úrovních distribuce.

3. Secure Data Storage a Transaction Logs
Správa úložišť je klíčovou součástí rovnice Big Data Security. CSA doporučuje používat podepsané zprávy pro poskytnutí digitálního identifikátoru pro každý digitální soubor nebo dokument a použít techniku ​​nazvanou bezpečný nedůvěryhodný datový úložiště (SUNDR) k odhalení neoprávněných úprav souborů škodlivými servery agentů.

Příručka uvádí řadu dalších technik, včetně lazy revoluce a klíčových rotačních, vysílacích a politických šifrovacích schémat a správy digitálních práv (DRM). Nicméně neexistuje žádná náhrada za prostě budování vlastního zabezpečeného cloudového úložiště nad existující infrastrukturu.

4. Filtrování a validace koncových bodů
Zabezpečení koncových bodů je nejdůležitější a vaše organizace může začít používat důvěryhodné certifikáty, provádět testování prostředků a připojovat k síti pouze důvěryhodné zařízení pomocí správa mobilních zařízení (MDM) (navíc proti antivirovému a malware ochranu). Odtud můžete použít techniky detekce statistické podobnosti a techniky odhalení odlehlých filtrů pro filtrování škodlivých vstupů a zároveň ochránit útoky Sybil (tj. Jeden subjekt mající vícenásobné identity) a útoky typu spoofing.

5. Sledování shody a zabezpečení v reálném čase
Shoda je vždycky bolest hlavy pro podniky, a to ještě více, když se zabýváte stálým záplavou dat. Nejlepší je vyřešit problém s analýzou a bezpečností v reálném čase na každé úrovni zásobníku. Společnost CSA doporučuje, aby organizace používala nástroje Big Data Analytics pomocí nástrojů jako Kerberos, SSH (secure shell) a zabezpečení internetového protokolu (IPsec), aby získali údaje o skutečném čase.

Jakmile to uděláte, můžete provést události protokolování, nasadit bezpečnostní systémy front-end, jako jsou směrovače a brány firewall na úrovni aplikací, a začít provádět bezpečnostní kontroly v celém stacku na úrovni cloud, clusteru a aplikací. CSA také varuje podniky, aby se obezřetně vyhýbaly útokům, které se snažily obcházet vaši infrastrukturu Big Data a to, co se nazývá útoky "otravy dat" (tj. Padělané údaje, které trikují váš monitorovací systém).

Zabezpečení virtuálního serveru 2

6. Ochrana osobních údajů
Zachování ochrany osobních údajů v stále rostoucích sadách je opravdu těžké. CSA uvedla, že klíč je "škálovatelný a kompenzovatelný" implementací technik, jako je diferenciální přesnost dotazu maximalizace soukromí při současném minimalizaci identifikace záznamu, a homomorfní šifrování k ukládání a zpracování šifrovaných informací v cloudu. Kromě toho neznežkejte sponky: CSA doporučuje začlenit školení o zvyšování povědomí zaměstnanců, které se zaměřuje na současné právní předpisy o ochraně osobních údajů a je jisté, že udržuje softwarovou infrastrukturu pomocí autorizačních mechanismů. Nakonec osvědčené postupy podporují implementaci tzv. "Kompozice dat chránících soukromí", která řídí únik dat z více databází a kontroluje a monitoruje infrastrukturu, která propojuje databáze.

7. Velká datová kryptografie
Matematická kryptografie nevychází ze stylu; ve skutečnosti je mnohem pokročilejší. Vytvořením systému pro vyhledávání a filtrování šifrovaných dat, jako je například protokol SSE, mohou podniky skutečně spouštět booleovské dotazy na šifrované data. Po jeho instalaci doporučuje CSA řadu kryptografických technik.

Relační šifrování umožňuje porovnávat zašifrované údaje bez sdílení šifrovacích klíčů odpovídajícími identifikátory a hodnotami atributů. Šifrování založené na identitě (IBE) ulehčuje správu klíčů v systémech s veřejnými klíčy tím, že umožňuje, aby byl otevřený text šifrován pro danou identitu. Šifrování založené na atributu (ABE) může integrovat řízení přístupu do šifrovacího schématu. Nakonec existuje konvergované šifrování, které používá šifrovací klíče, které pomáhají poskytovatelům cloud identifikovat duplicitní data.

8. Řízení přístupu granulí
Kontrola přístupu je podle CSA asi dvě základní věci: omezení přístupu uživatele a poskytování přístupu pro uživatele. Trikem je vybudovat a provádět politiku, která si v daném scénáři zvolí ten správný. Pro nastavení ovládacích prvků granulovaného přístupu má CSA spoustu rychlých tipů:

  • Normalizovat měnitelné prvky a denormalizovat neměnné prvky,
  • Sledujte požadavky na utajení a zajistěte správnou implementaci,
  • Udržujte přístupové štítky,
  • Sledovat údaje administrátora,
  • Používejte jednotné přihlášení (SSO) a
  • Použijte schéma označování pro zachování správné federace dat.

9. Audit, Audit, Audit
Zrcadlový audit je nezbytnou podmínkou bezpečnosti Big Data, zvláště po útok na váš systém. CSA doporučuje, aby organizace vytvořily po každém útoku souvislý audit, a ujistěte se, že jste poskytli úplný auditový záznam a zároveň zajistili snadný přístup k těmto údajům, aby se snížila doba odezvy na incidenty.

Nezbytná je i neporušenost a důvěrnost informací auditu. Informace o auditu by měly být uloženy odděleně a chráněny granulárními kontrolami přístupu uživatelů a pravidelným sledováním. Ujistěte se, že budete uchovávat údaje o velkých údajích a auditech odděleně a povolíte veškeré požadované protokolování při nastavování auditu (s cílem shromažďovat a zpracovávat co nejpodrobnější informace). Otevřená auditorská vrstva nebo dotazový orchestrator nástroj, jako je ElasticSearch, to vše zjednoduší.

10. Provenience dat
Prognóza dat může znamenat řadu různých věcí v závislosti na tom, kdo vás požádá. Ale to, o čem odkazuje ČSA, je metadata původu generovaná aplikacemi Big Data. Jedná se o úplně jinou kategorii dat, která potřebuje významnou ochranu. CSA doporučuje nejprve vytvořit protokol ověřování infrastruktury, který řídí přístup, při nastavování periodických aktualizací stavu a neustálém ověřování integrity dat pomocí mechanismů, jako je kontrolní součty.

Navíc zbývající osvědčené postupy pro osvědčené postupy společnosti CSA odrážejí zbytek našeho seznamu: implementují dynamické a škálovatelné granulární kontroly přístupu a implementují šifrovací metody. Neexistuje žádný tajný trik, který by zajistil zabezpečení velkých dat ve vaší organizaci a na každé úrovni vaší infrastruktury a aplikačního zásobníku. Při obchodování s datovými šaržemi vám tato obrovská, pouze vyčerpávající komplexní IT bezpečnostní schéma a celorepublikové uživatelské nákupy poskytnou vaší organizaci nejlepší příležitost udržet si každou poslední verzi 0 a 1 bezpečnou a bezpečnou.

Zdroj

Napsat komentář

Tyto stránky používají Akismet k omezení spamu. Zjistěte, jak jsou vaše údaje komentářů zpracovávány.