10 Best Practices til sikring af store data

Cloud Security Playbook til SMB'er

Hver virksomhed ønsker at samle troves af business intelligence (BI), så mange data som ledere, marketingfolk og alle andre afdelinger i organisationen kan få deres hænder på. Men når du har fået disse data, ligger det ikke kun ved at analysere den massive datasø for at finde de vigtigste indsigter, som du ser ud (uden at være oversvømmet af den store mængde information), men også at sikre alle disse data .

Så mens din virksomheds it-afdeling og datalogikere kører prædiktive analysalgoritmer, datavisualiseringer og anvender et arsenal af andre dataanalyseteknikker på de Big Data, du har samlet, skal din virksomhed sørge for, at der ikke er lækager eller svage punkter i reservoiret.

Med henblik herpå offentliggjorde Cloud Security Alliance (CSA) for nylig Håndbogen Big Data Security og Privacy: 100 Best Practices i Big Data Security og Privacy. Den lange liste over bedste praksis er spredt på tværs af 10-kategorier, så vi overvejede den bedste praksis ned til 10-tips for at hjælpe din it-afdeling med at låse dine vigtige forretningsdata. Disse tips anvender et arsenal af datalagring, kryptering, styring, overvågning og sikkerhedsteknikker.

Virtual Server Security

1. Beskyt Distributed Programmeringsrammer
Distribuerede programmeringsrammer som Hadoop udgør en stor del af moderne Big Data-distributioner, men de medfører alvorlig risiko for datalækage. De kommer også med, hvad der hedder "usikrede mappere" eller data fra flere kilder, der kan producere fejlkørte aggregerede resultater.

CSA anbefaler, at organisationer først opretter tillid ved at bruge metoder som Kerberos-godkendelse, samtidig med at de overholder de foruddefinerede sikkerhedspolitikker. Derefter "de-identificerer" dataene ved at afkoble alle personligt identificerbare oplysninger (PII) fra dataene for at sikre privatlivets fred, er ikke kompromitteret. Derefter giver du tilladelse til adgang til filer med foruddefineret sikkerhedspolitik, og sørg for, at ufortrolig kode ikke lækker information via systemressourcer ved hjælp af obligatorisk adgangskontrol (MAC), såsom Sentry-værktøjet i Apache HBase. Derefter er den hårde del forbi, da alt der er tilbage at gøre, er at beskytte data lækage med regelmæssig vedligeholdelse. IT-afdelingen skal kontrollere medarbejderknudepunkter og mappere i din sky eller virtuelle miljø og holde øje med falske noder og ændrede data duplikater.

2. Sikre dine ikke-relationelle data
Ikke-relationelle databaser som NoSQL er fælles, men de er sårbare over for angreb som NoSQL injektion; CSA lister et væld af modforanstaltninger for at beskytte mod dette. Start med at kryptere eller hashing adgangskoder, og sørg for at sikre end-to-end kryptering ved at kryptere data i ro ved hjælp af algoritmer som avanceret krypteringsstandard (AES), RSA og Secure Hash Algorithm 2 (SHA-256). Sikkerhedssikkerhed i forbindelse med transportlag (TLS) og Secure Sockets (SSL) -kryptering er også nyttige.

Udover disse kerneforanstaltninger, plus lag som datakodning og objektniveau-sikkerhed, kan du også sikre ikke-relationelle data ved hjælp af de kaldte pluggable authentication modules (PAM); Dette er en fleksibel metode til autentificering af brugere, mens du sørger for at logge transaktioner ved hjælp af et værktøj som NIST log. Endelig er der hvad der hedder fuzzing metoder, som udsætter scripts på tværs af websteder og injicerer sårbarheder mellem NoSQL og HTTP-protokollen ved at bruge automatiseret dataindgang ved protokollen, datodenoden og applikationsniveauerne for distributionen.

3. Secure Data Storage og Transaction Logs
Lagerstyring er en vigtig del af Big Data-sikkerhedsligningen. CSA anbefaler at bruge underskrevne beskedfordelinger til at levere en digital identifikator for hver digital fil eller et dokument og til at bruge en teknik kaldet sikker usikker datalager (SUNDR) til at registrere uautoriserede filændringer af ondsindede serveragenter.

Håndbogen viser også en række andre teknikker, herunder dovne tilbagekaldelse og nøglering, udsendelse og politikbaserede krypteringsordninger og digital rights management (DRM). Der er dog ingen erstatning for blot at opbygge dit eget sikre skylagring oven på eksisterende infrastruktur.

4. Endpoint Filtrering og validering
Endpoint sikkerhed er afgørende, og din organisation kan starte med at bruge tillidskertifikater, gøre ressourceprøvning og kun forbinde betroede enheder til dit netværk ved hjælp af en styring af mobilenheder (MDM) -løsning (oven på antivirus- og malware-beskyttelsessoftware). Derefter kan du bruge statistiske lighedsdetekteringsteknikker og outlierdetekteringsteknikker til at filtrere skadelige indgange, samtidig med at du beskytter mod Sybil-angreb (dvs. en enhed som maskerer som flere identiteter) og ID-spoofingangreb.

5. Real-Time Compliance og Security Monitoring
Overholdelse er altid en hovedpine for virksomheder, og endnu mere, når du beskæftiger dig med en konstant oversvømmelse af data. Det er bedst at tackle det på hovedet med real-time analyse og sikkerhed på alle niveauer af stakken. CSA anbefaler, at organisationer anvender Big Data-analyse ved hjælp af værktøjer som Kerberos, Secure Shell (SSH) og Internet Protocol Security (IPsec) for at få et håndtag på realtidsdata.

Når du har gjort det, kan du min logføring hændelser, implementere front-end sikkerhedssystemer som routere og applikationsniveau firewalls, og begynde at implementere sikkerhedskontrol i hele stakken på cloud, klynge og applikationsniveauer. CSA advarer også virksomheder om at være forsigtige med unddragelsesangreb, der forsøger at omgå din Big Data-infrastruktur, og hvad der kaldes "dataforgiftning" -anfald (dvs. forfalskede data, der tricks dit overvågningssystem).

Virtual Server Security 2

6. Bevar datasikkerhed
Opretholdelse af personoplysninger i stadig voksende sæt er virkelig svært. CSA sagde, at nøglen skal være "skalerbar og komposibel" ved at implementere teknikker som differentiel privatlivsbeskyttelse - maksimere forespørgselsnøjagtighed, samtidig med at man minimerer rekordidentifikation og homomorf kryptering at gemme og behandle krypteret information i skyen. Ud over det skal du ikke skramme på hæftene: CSA anbefaler at inkorporere medarbejderbevidstræning, der fokuserer på gældende regler om beskyttelse af personlige oplysninger, og er sikker på at opretholde softwareinfrastruktur ved hjælp af autorisationsmekanismer. Endelig tilskynder de bedste metoder til at implementere det, der kaldes "privacy-preserving data composition", som styrer data lækage fra flere databaser ved at gennemgå og overvåge den infrastruktur, der knytter databaserne sammen.

7. Big Data Cryptography
Matematisk kryptografi er ikke gået ud af stil; Faktisk er det blevet langt mere avanceret. Ved at opbygge et system til søgning og filtrering af krypterede data, såsom SSE-protokollen (searchable symmetric encryption), kan virksomheder faktisk køre boolske forespørgsler om krypterede data. Efter det er installeret anbefaler CSA en række kryptografiske teknikker.

Relationel kryptering giver dig mulighed for at sammenligne krypterede data uden at dele krypteringsnøgler ved at matche identifikatorer og attributværdier. Identitetsbaseret kryptering (IBE) gør nøglehåndtering nemmere i offentlige nøglesystemer ved at tillade plaintext at blive krypteret for en given identitet. Attributbaseret kryptering (ABE) kan integrere adgangskontroller i et krypteringsskema. Endelig er der konvergeret kryptering, der bruger krypteringsnøgler til at hjælpe cloud-udbydere med at identificere duplikatdata.

8. Granular Access Control
Adgangskontrol handler om to centrale ting i henhold til CSA: begrænser brugeradgang og giver brugeradgang. Tricket er at opbygge og implementere en politik, der vælger den rigtige i et givet scenario. For at oprette granulære adgangskontroller har CSA en flok hurtige tips:

  • Normalisere mutable elementer og denormalisere uendelige elementer,
  • Sporhemmelighedskrav og sikre korrekt implementering,
  • Bevar adgangs etiketter,
  • Spor admin data,
  • Brug single sign-on (SSO), og
  • Brug et mærkningssystem til at opretholde korrekt datafællesskab.

9. Revision, revision, revision
Granulær revision er et must i Big Data sikkerhed, især efter en angreb på dit system. CSA anbefaler, at organisationer opretter en sammenhængende revisionsvisning efter et angreb, og sørg for at give et komplet revisionsspor, samtidig med at der sikres, at der er nem adgang til disse data for at reducere indfaldstidspunktet.

Revision information integritet og fortrolighed er også afgørende. Revisionsoplysninger skal opbevares separat og beskyttes med granulerede brugeradgangskontroller og regelmæssig overvågning. Sørg for at holde dine Big Data og revisionsdata adskilt, og aktiver alle nødvendige logføring, når du indstiller revision (for at indsamle og behandle den mest detaljerede information). Et open source-revisionslag eller forespørgselsorkestratorværktøj som ElasticSearch kan gøre alt dette lettere at gøre.

10. Data Provenance
Data herkomst kan betyde en række forskellige ting afhængigt af hvem du spørger. Men hvad CSA refererer til er proveniensmetadata genereret af Big Data applikationer. Dette er en helt anden kategori af data, der kræver betydelig beskyttelse. CSA anbefaler først at udvikle en godkendelsesprotokol til infrastruktur, der styrer adgangen, mens du opsætter periodiske statusopdateringer og løbende verificerer dataintegritet ved at bruge mekanismer som f.eks. kontrolsummer.

Dertil kommer, at resten af ​​CSAs bedste praksis for dataudvælgelse ekko resten af ​​vores liste: Implementer dynamiske og skalerbare granulære adgangskontroller og implementer krypteringsmetoder. Der er ikke noget hemmeligt trick for at sikre Big Data-sikkerhed på tværs af din organisation og alle niveauer af din infrastruktur og applikationsstabel. Når det handler om datasatser dette store, vil kun en udtømmende omfattende it-sikkerhedssystem og virksomhedsorienteret brugerindkøb give din organisation den bedste chance for at holde hver 0 og 1 i sikkerhed.

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.