Відео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Вересень 2024)
Кожен бізнес хоче зібрати цілий спектр бізнес-аналітики (BI), стільки даних, скільки керівники, маркетологи та кожен інший відділ організації можуть взяти на себе руки. Але як тільки ви отримаєте ці дані, складність полягає не лише в аналізі масивного озера даних, щоб знайти ключові відомості, на які ви шукаєте (без того, щоб бути затопленим великим обсягом інформації), але і в забезпеченні всіх цих даних. .
Таким чином, хоча ваш відділ інформаційних технологій та науковці даних працюють над алгоритмами прогнозування аналітики, візуалізацією даних та використовують арсенал інших методів аналізу даних на зібраних вами великих даних, ваш бізнес повинен переконатися у відсутності витоків чи слабких місць. у водоймі.
З цією метою компанія Cloud Security Alliance (CSA) нещодавно випустила Посібник з безпеки та конфіденційності великих даних: 100 найкращих практик безпеки та конфіденційності великих даних. Довгий перелік найкращих практик розповсюджений на 10 категорій, тому ми перебрали найкращі практики до 10 порад, щоб допомогти вашому ІТ-відділу зафіксувати ваші ключові бізнес-дані. Ці поради використовують арсенал методів зберігання, шифрування, управління, моніторингу та безпеки.
1. Захистити рамки розподіленого програмування
Розподілені рамки програмування, такі як Hadoop, складають величезну частину сучасних дистрибутивів Big Data, але вони мають серйозний ризик витоку даних. Вони також постачаються з так званими "ненадійними картографами" або даними з багатьох джерел, які можуть призвести до узагальнених результатів, помилкових помилок.
CSA рекомендує організаціям спочатку встановити довіру, використовуючи такі методи, як Kerberos Authentication, забезпечуючи відповідність заздалегідь визначеній політиці безпеки. Потім ви «деіндентифікуєте» дані, від’єднавши всю особисту інформацію (PII) від даних, щоб переконатися, що особиста конфіденційність не порушена. Звідти ви надаєте дозвіл на доступ до файлів із заздалегідь визначеною політикою безпеки, а потім гарантуєте, що ненадійний код не просочується інформацією через системні ресурси, використовуючи обов'язковий контроль доступу (MAC), наприклад інструмент Sentry в Apache HBase. Після цього важка частина закінчена, тому що все, що залишилося зробити, - це захист від витоку даних при регулярному обслуговуванні. ІТ-відділ повинен перевіряти робочі вузли та картографи у вашому хмарі чи віртуальному середовищі та стежити за фальшивими вузлами та зміненими дублікатами даних.
2. Захистіть свої нереляційні дані
Нереляційні бази даних, такі як NoSQL, є загальними, але вони вразливі до атак, таких як введення NoSQL; CSA перераховує низку контрзаходів для захисту від цього. Почніть з шифрування або хешування паролів, і обов’язково забезпечте шифрування в кінці, шифруючи дані в спокої, використовуючи такі алгоритми, як розширений стандарт шифрування (AES), RSA та алгоритм 2 захищеного хешу (SHA-256). Корисні також захист транспортного рівня (TLS) та шифрування захищеного шару сокетів (SSL).
Крім цих основних заходів, а також шарів, таких як тег даних та безпека рівня об'єкта, ви також можете захистити нереляційні дані, використовуючи модулі аутентифікації, що підключаються (PAM); це гнучкий метод для аутентифікації користувачів при одночасному реєстрації транзакцій за допомогою такого інструменту, як журнал NIST. Нарешті, є те, що називається нечіткими методами, які розкривають сценарії між сценаріями та інженерні вразливості між NoSQL та протоколом HTTP за допомогою автоматизованого введення даних на рівні протоколу, вузла даних та рівнів програми розподілу.
3. Захищені журнали зберігання даних та транзакцій
Управління сховищем є ключовою частиною рівняння безпеки великих даних. CSA рекомендує використовувати підписані дайджести повідомлень для надання цифрового ідентифікатора для кожного цифрового файлу чи документа, а також використовувати техніку, що називається захищеним ненадійним сховищем даних (SUNDR) для виявлення несанкціонованих змін файлів шкідливими серверними агентами.
У посібнику також перелічено ряд інших методик, зокрема ледачий відкликання та обертання ключів, схеми шифрування на основі політики та мовлення, а також управління цифровими правами (DRM). Однак замінити просто побудову власного захищеного хмарного сховища поверх існуючої інфраструктури не можна.
4. Фільтрування та перевірка кінцевих точок
Захист кінцевих точок є першорядним, і ваша організація може почати з використання надійних сертифікатів, проведення тестування ресурсів та підключення до мережі лише довірених пристроїв, використовуючи рішення для управління мобільним пристроєм (MDM) (поверх антивірусного та програмного забезпечення захисту від шкідливих програм). Звідти ви можете використовувати методи виявлення подібності статистики та методи виявлення зовнішніх даних для фільтрації зловмисних входів, захищаючи від атак Sybil (тобто, одна сутність, маскується під декількома ідентичностями) та атак, що підробляють ID.
5. Моніторинг відповідності в режимі реального часу та безпеки
Відповідність завжди є головним болем для підприємств, і тим більше, коли ви маєте справу з постійним потоком даних. Найкраще боротися з нею напроти аналітики та безпеки в реальному часі на кожному рівні стеку. CSA рекомендує організаціям застосовувати аналітику Big Data, використовуючи такі інструменти, як Kerberos, захищена оболонка (SSH) та безпека інтернет-протоколів (IPsec), щоб отримати обробку даних у режимі реального часу.
Після цього ви можете видобувати події журналів, розгортати системи безпеки на передньому рівні, такі як маршрутизатори та брандмауери на рівні додатків, і починати впроваджувати засоби контролю протягом усієї стеки на хмарному, кластерному та додатковому рівнях. CSA також застерігає підприємств насторожено ставитися до атак на ухилення, намагаючись обійти вашу інфраструктуру Big Data, і, як це називається, "атаки на отруєння даними" (тобто фальсифіковані дані, які хитрують вашу систему моніторингу).
6. Зберегти конфіденційність даних
Підтримувати конфіденційність даних у постійно зростаючих наборах дійсно важко. CSA заявив, що головним є "масштабування та компонування" шляхом впровадження таких методів, як диференціальна конфіденційність - максимізація точності запитів при мінімізації ідентифікації запису - та гомоморфне шифрування для зберігання та обробки зашифрованої інформації в хмарі. Крім того, не скупіться на скоби: CSA рекомендує включати навчання поінформованості працівників, орієнтованого на діючі норми конфіденційності, та обов’язково підтримувати інфраструктуру програмного забезпечення за допомогою механізмів авторизації. Нарешті, найкращі практики заохочують впроваджувати те, що називається "композиція даних, що зберігає конфіденційність", яка контролює витік даних з декількох баз даних шляхом огляду та моніторингу інфраструктури, яка з'єднує бази даних разом.
7. Криптографія великих даних
Математична криптографія не вийшла з ладу; насправді він стає значно вдосконаленим. Побудувавши систему для пошуку та фільтрування зашифрованих даних, таких як протокол симетричного шифрування, що можна шукати (SSE), підприємства можуть фактично запускати булеві запити на зашифровані дані. Після встановлення CSA рекомендує різноманітні криптографічні методи.
Реляційне шифрування дозволяє порівнювати зашифровані дані без спільного використання ключів шифрування шляхом відповідності ідентифікаторів та значень атрибутів. Шифрування на основі ідентичності (IBE) полегшує управління ключами в системах відкритих ключів, дозволяючи простому тексту шифруватися для заданої ідентичності. Шифрування на основі атрибутів (ABE) може інтегрувати елементи контролю доступу в схему шифрування. Нарешті, є конвергентне шифрування, яке використовує ключі шифрування, щоб допомогти постачальникам хмарних продуктів ідентифікувати повторювані дані.
8. Гранульований контроль доступу
Згідно з CSA, контроль доступу - це приблизно дві основні речі: обмеження доступу користувачів та надання доступу користувача. Трюк полягає у створенні та реалізації політики, яка вибирає правильну у будь-якому конкретному сценарії. Для налаштування деталізованих елементів контролю доступу CSA має купу швидких порад:
Нормалізувати змінні елементи і денормалізувати незмінні елементи,
Відстежуйте вимоги щодо секретності та забезпечуйте належне виконання,
Підтримуйте мітки доступу,
Відстежуйте дані адміністратора,
Використовуйте єдиний вхід (SSO) та
Використовуйте схему маркування для підтримки належної федерації даних.
9. Аудит, аудит, аудит
Гранічний аудит є обов'язковим для захисту великих даних, особливо після нападу на вашу систему. CSA рекомендує організаціям створювати згуртований вигляд аудиту після будь-якої атаки, і обов’язково надайте повний аудиторський слід, одночасно забезпечуючи простий доступ до цих даних, щоб скоротити час реакції на інцидент.
Цілісність та конфіденційність інформації про аудит також є важливими. Інформація про аудит повинна зберігатися окремо і захищена деталізованими контролями доступу користувачів та регулярним моніторингом. Переконайтеся, що під час налаштування аудиту слід зберігати окремі ваші великі дані та дані аудиту та включати всі необхідні журнали (щоб збирати та обробляти якомога детальнішу інформацію). Простір аудиту з відкритим кодом або інструмент оркестровки запитів, такий як ElasticSearch, може зробити все це простіше зробити.
10. Забезпечення даних
Проведення даних може означати декілька різних речей залежно від того, кого ви запитуєте. Але CSA має на увазі метадані, що породжуються програмами Big Data. Це ціла інша категорія даних, яка потребує значного захисту. CSA рекомендує спочатку розробити протокол автентифікації інфраструктури, який контролює доступ, одночасно встановлюючи періодичні оновлення статусу та постійно перевіряючи цілісність даних за допомогою механізмів, таких як контрольні суми.
На додаток до цього, решта найкращих практик CSA щодо походження даних перегукуються з рештою нашого списку: впроваджуйте динамічні та масштабовані деталізовані контролі доступу та застосовуйте методи шифрування. Немає жодного секретного трюку щодо забезпечення безпеки великих даних у вашій організації та на кожному рівні вашої інфраструктури та стеку додатків. При роботі з партіями даних ця велика, лише вичерпна комплексна схема безпеки ІТ та загальна оплата користувачів для підприємств дадуть вашій організації найкращі шанси зберегти всі безпечні та безпечні всі останні 0 та 1.
