Video: How To Front Lever 5 Easy Steps (Listopad 2024)
Každý podnik chce sbírat triky obchodní inteligence (BI), stejně jako data, která mohou získat vedoucí pracovníci, obchodníci a každé jiné oddělení v organizaci. Jakmile však tato data získáte, obtížnost spočívá nejen v analýze rozsáhlého datového jezera s cílem najít klíčové poznatky, které hledáte (aniž byste byli zaplaveni pouhým objemem informací), ale také v zabezpečení všech těchto údajů..
Takže zatímco vaše podnikové oddělení IT a datoví vědci používají prediktivní analytické algoritmy, vizualizace dat a používají arzenál dalších technik analýzy dat na shromážděných velkých datech, vaše firma musí zajistit, aby nedocházelo k únikům či slabým místům v nádrži.
Za tímto účelem nedávno vydala Cloud Security Alliance (CSA) knihu The Big Data Security and Privacy Handbook: 100 osvědčených postupů v oblasti zabezpečení a ochrany osobních údajů. Dlouhý seznam osvědčených postupů je rozložen do 10 kategorií, takže jsme osvědčili osvědčené postupy až na 10 tipů, které pomohou vašemu oddělení IT uzamknout vaše klíčová obchodní data. Tyto tipy využívají arzenál technik ukládání, šifrování, správy, monitorování a zabezpečení.
1. Zajistit distribuované programové rámce
Distribuované programové rámce, jako je Hadoop, tvoří obrovskou část moderních distribucí velkých dat, ale přicházejí s vážným rizikem úniku dat. Také přicházejí s tzv. „Nedůvěryhodnými mapovači“ nebo daty z více zdrojů, které mohou vést k agregovaným výsledkům s chybou.
CSA doporučuje, aby organizace nejprve vytvořily důvěru pomocí metod, jako je ověřování Kerberos, a zároveň zajistily shodu s předdefinovanými bezpečnostními zásadami. Poté údaje „de-identifikujete“ oddělením všech osobních údajů (PII) od dat, abyste zajistili, že nebude ohroženo osobní soukromí. Odtud autorizujete přístup k souborům s předdefinovanou bezpečnostní politikou a poté zajistíte, aby nedůvěryhodný kód nevypouštěl informace prostřednictvím systémových prostředků pomocí povinného řízení přístupu (MAC), jako je například nástroj Sentry v Apache HBase. Poté je těžká část u konce, protože vše, co zbývá udělat, je ochrana před únikem dat při pravidelné údržbě. IT oddělení by mělo kontrolovat pracovní uzly a mapovače ve vašem cloudu nebo virtuálním prostředí a dávat pozor na falešné uzly a pozměněné duplikáty dat.
2. Zabezpečte svá nerelační data
Non-relační databáze, jako je NoSQL, jsou běžné, ale jsou zranitelné vůči útokům, jako je injekce NoSQL; CSA uvádí seznam protiopatření k ochraně proti tomuto. Začněte šifrováním nebo hashováním hesel a ujistěte se, že zajistíte šifrování end-to-end šifrováním dat v klidu pomocí algoritmů, jako je pokročilý šifrovací standard (AES), RSA a algoritmus Secure Hash Algorithm 2 (SHA-256). Užitečné je také zabezpečení transportní vrstvy (TLS) a šifrování SSL (Secure Sockets Layer) (SSL).
Kromě těchto základních opatření, plus vrstev, jako je označování dat a zabezpečení na úrovni objektů, můžete také zabezpečit nerelační data pomocí tzv. Zásuvných autentizačních modulů (PAM); Jedná se o flexibilní metodu pro ověřování uživatelů, přičemž je třeba protokolovat transakce pomocí nástroje, například protokolu NIST. Nakonec existují tzv. Fuzzing metody, které odhalují skriptování mezi servery a injektování zranitelností mezi NoSQL a HTTP protokolem pomocí automatizovaného vstupu dat v protokolu, datovém uzlu a aplikačních úrovních distribuce.
3. Zabezpečené protokoly ukládání dat a transakcí
Správa úložiště je klíčovou součástí rovnice zabezpečení velkých dat. CSA doporučuje používat podepsané digesce zpráv k zajištění digitálního identifikátoru pro každý digitální soubor nebo dokument a k detekci neautorizovaných úprav souborů škodlivými agenty serveru použít techniku zvanou bezpečné nedůvěryhodné úložiště dat (SUNDR).
Příručka uvádí také řadu dalších technik, včetně líného odvolání a střídání klíčů, schémat šifrování podle vysílání a politiky a správy digitálních práv (DRM). Neexistuje však žádná náhrada za pouhé vybudování vlastního bezpečného cloudového úložiště nad stávající infrastrukturou.
4. Filtrování a ověření koncových bodů
Zabezpečení koncových bodů je prvořadé a vaše organizace může začít pomocí důvěryhodných certifikátů, testování zdrojů a připojením pouze důvěryhodných zařízení k vaší síti pomocí řešení správy mobilních zařízení (MDM) (nad antivirovým softwarem a softwarem na ochranu před malwarem). Odtud můžete použít techniky detekce statistické podobnosti a techniky detekce odlehlých dat k filtrování škodlivých vstupů a zároveň chránit před útoky Sybil (tj. Jednou entitou maskovanou jako více identit) a útoky ID-spoofing.
5. Dodržování předpisů v reálném čase a sledování bezpečnosti
Soulad s předpisy je pro podniky vždy bolest hlavy, a to ještě více, když máte co do činění s neustálým množstvím dat. Nejlepší je to řešit přímo s analýzou v reálném čase a zabezpečením na všech úrovních zásobníku. CSA doporučuje, aby organizace použily analytiku velkých dat pomocí nástrojů, jako je Kerberos, bezpečný shell (SSH) a zabezpečení internetového protokolu (IPsec), aby získaly popisovač dat v reálném čase.
Jakmile to uděláte, můžete těžit události protokolování, nasadit front-end bezpečnostní systémy, jako jsou směrovače a firewally na úrovni aplikací, a začít implementovat ovládací prvky zabezpečení v celém zásobníku na úrovni cloudu, clusteru a aplikace. CSA také upozorňuje podniky, aby se vyvarovaly útoků na úniky, které se snaží obejít vaši infrastrukturu velkých dat a co se nazývá útoky „otravy dat“ (tj. Padělané údaje, které trikují váš monitorovací systém).
6. Zachovat soukromí dat
Udržování soukromí dat v neustále rostoucích sadách je opravdu těžké. CSA uvedla, že klíčem musí být „škálovatelnost a složitelnost“ implementací technik, jako je diferenciální soukromí - maximalizace přesnosti dotazu při minimalizaci identifikace záznamu - a homomorfní šifrování pro ukládání a zpracování šifrovaných informací v cloudu. Kromě toho nepřecházejte na sponky: CSA doporučuje začlenit školení zaměřené na zvyšování povědomí zaměstnanců, které se zaměřuje na současné předpisy o ochraně osobních údajů, a ujistit se, že budete udržovat softwarovou infrastrukturu pomocí autorizačních mechanismů. Doporučené postupy konečně podporují implementaci tzv. „Ochrany osobních údajů“, která kontroluje únik dat z více databází tím, že kontroluje a monitoruje infrastrukturu, která tyto databáze propojuje.
7. Big Data Cryptography
Matematická kryptografie nevyšla z módy; ve skutečnosti je to mnohem pokročilejší. Vytvořením systému pro vyhledávání a filtrování šifrovaných dat, jako je protokol prohledávatelného symetrického šifrování (SSE), mohou podniky ve skutečnosti provozovat booleovské dotazy na šifrovaná data. Po nainstalování doporučuje CSA celou řadu kryptografických technik.
Relační šifrování vám umožňuje porovnat šifrovaná data bez sdílení šifrovacích klíčů odpovídajícími identifikátory a hodnotami atributů. Šifrování založené na identitě (IBE) usnadňuje správu klíčů v systémech veřejných klíčů tím, že umožňuje šifrování prostého textu pro danou identitu. Šifrování založené na atributech (ABE) může integrovat řízení přístupu do šifrovacího schématu. Nakonec existuje konvergované šifrování, které pomocí šifrovacích klíčů pomáhá poskytovatelům cloudu identifikovat duplicitní data.
8. Granulární kontrola přístupu
Řízení přístupu je podle CSA dvě základní věci: omezení přístupu uživatelů a udělení přístupu uživateli. Trik je v tom, že budujeme a implementujeme politiku, která vybere tu správnou v kterémkoli daném scénáři. Pro nastavení podrobných řízení přístupu má CSA spoustu rychlých tipů:
Normalizovat proměnlivé prvky a denormalizovat neměnné prvky,
Sledovat požadavky na utajení a zajistit řádnou implementaci,
Údržba přístupových štítků,
Sledujte data správce,
Použijte jednotné přihlášení (SSO) a
Pro udržení správné federace dat použijte schéma označování.
9. Audit, audit, audit
Granulární audit je nutností zabezpečení velkých dat, zejména po útoku na váš systém. CSA doporučuje, aby organizace vytvořily ucelený pohled na audit po každém útoku, a ujistěte se, že poskytnete úplný audit trail a zároveň zajistíte snadný přístup k těmto datům, abyste zkrátili dobu odezvy na incident.
Důležitá je také integrita a důvěrnost informací o auditu. Informace o auditu by měly být ukládány odděleně a chráněny podrobnými kontrolami přístupu uživatelů a pravidelným monitorováním. Při nastavování auditu (aby bylo možné shromažďovat a zpracovávat co nejpodrobnější informace) se ujistěte, že vaše data Big Data a audit jsou oddělená, a povolte veškeré požadované protokolování. Otevřená zdrojová vrstva auditu nebo nástroj pro orchestrátor dotazů, jako je ElasticSearch, to vše usnadní.
10. Poskytování dat
Provenience dat může znamenat řadu různých věcí v závislosti na tom, koho se ptáte. CSA se však zmiňuje o provenienčních metadatech generovaných aplikacemi Big Data. Toto je celá další kategorie dat, která potřebuje významnou ochranu. CSA doporučuje nejprve vyvinout protokol pro ověřování infrastruktury, který řídí přístup, přičemž nastavuje pravidelné aktualizace stavu a průběžně ověřuje integritu dat pomocí mechanismů, jako jsou kontrolní součty.
Kromě toho se zbytek našeho seznamu odráží i ostatní doporučené postupy CSA týkající se provenience dat: implementujte dynamické a škálovatelné granulární kontroly přístupu a implementujte metody šifrování. Neexistuje nikdo tajný trik pro zajištění zabezpečení velkých dat v celé organizaci a na všech úrovních vaší infrastruktury a zásobníku aplikací. Pokud pracujete s datovými dávkami, tento obrovský, pouze vyčerpávající komplexní systém zabezpečení IT a celospolečenský buy-in pro vaši organizaci poskytnou vaší organizaci nejlepší šanci udržet všech 0 a 1 v bezpečí a bezpečí.
