大數(shù)據(jù)時(shí)代引發(fā)安全問(wèn)題，應(yīng)增強(qiáng)身份管理

2014年，雖然大數(shù)據(jù)應(yīng)用還沒(méi)有深入普及，但是已經(jīng)有越來(lái)越多的行業(yè)用戶嘗試引入大數(shù)據(jù)相關(guān)技術(shù)解決如何管理、利用日益增長(zhǎng)的各類(lèi)數(shù)據(jù)，而往往隨之的安全問(wèn)題也日益受到關(guān)注，為了確保防止黑客盜竊數(shù)據(jù)信息的風(fēng)險(xiǎn)，企業(yè)應(yīng)該在轉(zhuǎn)移到充分利用大數(shù)據(jù)的優(yōu)勢(shì)的同時(shí)，也相當(dāng)有必要采取相關(guān)的安全措施來(lái)保護(hù)他們數(shù)據(jù)資產(chǎn)的完整性。國(guó)外著名的SSH通信安全專家Matthew bring日前撰文分析當(dāng)前存在安全問(wèn)題現(xiàn)狀，指出無(wú)視M2M身份驗(yàn)證的風(fēng)險(xiǎn)是非?？膳碌?，而這些授權(quán)的管理不善可能導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露，Matthew bring還給出一定的解決方案，最后呼吁增強(qiáng)身份管理，保證大數(shù)據(jù)安全。 

以下為原文： 

大數(shù)據(jù)不再是白日夢(mèng)。各行業(yè)組織機(jī)構(gòu)正在以越來(lái)越快的速度篩選從網(wǎng)絡(luò)數(shù)據(jù)中得出的可行性結(jié)論。90%的全球數(shù)據(jù)都是在過(guò)去的兩年中產(chǎn)生的，數(shù)據(jù)背后隱藏的是對(duì)用戶行為和市場(chǎng)趨勢(shì)的洞察，這些洞察可能永遠(yuǎn)都無(wú)法通過(guò)其他渠道獲得，就連白宮甚至都已參與進(jìn)來(lái)，他們近期在大數(shù)據(jù)研究項(xiàng)目上投資了2億美元。

隨著大數(shù)據(jù)變得更加容易使用，人們對(duì)安全訪問(wèn)敏感數(shù)據(jù)集和其他領(lǐng)域的網(wǎng)絡(luò)等也更加關(guān)注。如果企業(yè)希望不冒著數(shù)據(jù)泄漏的風(fēng)險(xiǎn)從大數(shù)據(jù)中獲利，這些問(wèn)題就必須得到有效解決。

確保M2M身份安全

要進(jìn)行大數(shù)據(jù)分析，需要把大型數(shù)據(jù)集劃分成更易于管理的單個(gè)部分，然后分別通過(guò)Hadoop集群處理，最后將它們重新組合以產(chǎn)生所需分析。該過(guò)程高度自動(dòng)化，涉及大量跨集群的機(jī)器對(duì)機(jī)器（M2M）交互。

在Hadoop的基礎(chǔ)設(shè)施會(huì)發(fā)生幾個(gè)層次的授權(quán)，具體包括：

1. 訪問(wèn)Hadoop集群
2. 簇間通信
3. 集群訪問(wèn)數(shù)據(jù)源

這些授權(quán)往往是基于SSH（Secure Shell）密鑰的，其對(duì)于使用Hadoop是理想的，因其安全級(jí)別支持自動(dòng)化的M2M通信。

許多基于流行的基于云計(jì)算的Hadoop服務(wù)也使用SSH作為訪問(wèn)Hadoop集群的認(rèn)證方法。確保了授予訪問(wèn)大數(shù)據(jù)環(huán)境中的身份應(yīng)該是一個(gè)高優(yōu)先級(jí)的，但其也具有挑戰(zhàn)性。這對(duì)于那些想要像使用Hadoop一樣使用大數(shù)據(jù)分析的公司來(lái)說(shuō)是一個(gè)很大的挑戰(zhàn)。有些問(wèn)題直截了當(dāng)：

• 誰(shuí)來(lái)建立運(yùn)行大數(shù)據(jù)分析的授權(quán)？
• 一旦建立授權(quán)的人離職，會(huì)出現(xiàn)什么問(wèn)題？
• 授權(quán)提供的訪問(wèn)級(jí)別是否基于“須知”安全準(zhǔn)則？
• 誰(shuí)可以訪問(wèn)授權(quán)？
• 如何管理這些授權(quán)？

大數(shù)據(jù)并不是需要考慮這些問(wèn)題的唯一技術(shù)。當(dāng)越來(lái)越多的業(yè)務(wù)流程自動(dòng)化，這些問(wèn)題將遍布數(shù)據(jù)中心。自動(dòng)化的M2M交易占到了數(shù)據(jù)中心所有通信的80%，然而大部分管理員則把焦點(diǎn)集中在員工帳戶相關(guān)聯(lián)的20%的通信流量。大數(shù)據(jù)將成為下一個(gè)殺手級(jí)應(yīng)用，全面管理以機(jī)器為主的身份變得迫在眉睫。

風(fēng)險(xiǎn) 

眾所周知的數(shù)據(jù)泄漏包括濫用以機(jī)器為主的證書(shū)，這體現(xiàn)了忽視M2M身份驗(yàn)證的現(xiàn)實(shí)風(fēng)險(xiǎn)。當(dāng)企業(yè)在管理終端用戶身份上取得很大進(jìn)步時(shí)，卻忽視了應(yīng)以同樣標(biāo)準(zhǔn)處理機(jī)器為主的身份驗(yàn)證的需求。其結(jié)果就是使整個(gè)IT環(huán)境遍布風(fēng)險(xiǎn)。

然而，對(duì)于想要將集中的身份和存取管理（盡可能的）應(yīng)用到數(shù)百萬(wàn)基于機(jī)器的身份來(lái)說(shuō)，改變運(yùn)行中的系統(tǒng)是一個(gè)很大的挑戰(zhàn)。不中斷系統(tǒng)遷移環(huán)境是一項(xiàng)復(fù)雜的工作，所以企業(yè)一直在猶豫也不足為奇。

密鑰管理的不良狀況

密鑰管理的現(xiàn)狀一直很糟糕。為了管理用于保護(hù)M2M通信的認(rèn)證密鑰，許多系統(tǒng)管理員使用電子表格或自編腳本來(lái)控制分配、監(jiān)控和清點(diǎn)密鑰。這種做法漏掉了許多密鑰。想來(lái)他們也沒(méi)有設(shè)置常規(guī)掃描，于是未被授權(quán)的非法途徑便在不知不覺(jué)中添加進(jìn)來(lái)。

缺少對(duì)密鑰的集中控制嚴(yán)重影響法規(guī)遵從。以金融行業(yè)為例，規(guī)定要求必須嚴(yán)格控制誰(shuí)可以訪問(wèn)敏感數(shù)據(jù)，比如最近強(qiáng)化了的PCI標(biāo)準(zhǔn)要求任何接受支付卡的地方——銀行、零售商、餐館和醫(yī)院等——均需依照同樣標(biāo)準(zhǔn)執(zhí)行，無(wú)一例外。由于這些行業(yè)目前正在迅速果斷的執(zhí)行大數(shù)據(jù)戰(zhàn)略，來(lái)分得用戶驅(qū)動(dòng)數(shù)據(jù)大潮的一杯羹，他們?cè)絹?lái)越容易違背法規(guī)并面臨監(jiān)管制裁。

安全步驟

組織機(jī)構(gòu)必須承認(rèn)并應(yīng)對(duì)這些風(fēng)險(xiǎn)。這些步驟是行動(dòng)開(kāi)始的最佳做法：

• 很少有IT人員知道身份的存儲(chǔ)位置、訪問(wèn)權(quán)限，以及其支持的業(yè)務(wù)流程。因此，第一步是被動(dòng)非侵入的發(fā)現(xiàn)。
• 環(huán)境監(jiān)測(cè)是必須的，這樣才能確定哪些身份是活躍的，哪些不是。幸運(yùn)的是，在許多企業(yè)中，未使用的——因此也是不需要的——身份往往占絕大多數(shù)。一旦這些未使用的身份被定位并移除，整體工作量便會(huì)大大降低。
• 下一步是集中控制添加、更改和刪除機(jī)器身份。這樣一來(lái)，政策便可以控制身份如何使用，確保沒(méi)有非托管的身份添加，并提供法規(guī)遵從的有效證明。
• 隨著可見(jiàn)性和管理控制的確定，必要但在違反政策的身份可以在不中斷業(yè)務(wù)流程的情況下進(jìn)行校正。集中管理可對(duì)該身份的權(quán)限級(jí)別進(jìn)行修正。

安全策略

大數(shù)據(jù)的興起伴隨著數(shù)據(jù)存取控制的新型風(fēng)險(xiǎn)。M2M身份管理必不可少，但是傳統(tǒng)的人工IAM做法效率低且風(fēng)險(xiǎn)高。盤(pán)點(diǎn)所有密鑰，使用最優(yōu)方法可以節(jié)省時(shí)間和金錢(qián)，同時(shí)提高安全性和法規(guī)遵從。由于大數(shù)據(jù)增加了訪問(wèn)敏感信息的認(rèn)證門(mén)檻，組織機(jī)構(gòu)必須采取積極措施，推出全面一致的身份和存取管理策略。