大數(shù)據(jù)時代引發(fā)安全問題,應(yīng)增強(qiáng)身份管理
2014年���,雖然大數(shù)據(jù)應(yīng)用還沒有深入普及���,但是已經(jīng)有越來越多的行業(yè)用戶嘗試引入大數(shù)據(jù)相關(guān)技術(shù)解決如何管理、利用日益增長的各類數(shù)據(jù)��,而往往隨之的安全問題也日益受到關(guān)注,為了確保防止黑客盜竊數(shù)據(jù)信息的風(fēng)險����,企業(yè)應(yīng)該在轉(zhuǎn)移到充分利用大數(shù)據(jù)的優(yōu)勢的同時,也相當(dāng)有必要采取相關(guān)的安全措施來保護(hù)他們數(shù)據(jù)資產(chǎn)的完整性���。國外著名的SSH通信安全專家Matthew bring日前撰文分析當(dāng)前存在安全問題現(xiàn)狀��,指出無視M2M身份驗證的風(fēng)險是非?����?膳碌?��,而這些授權(quán)的管理不善可能導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露,Matthew bring還給出一定的解決方案�,最后呼吁增強(qiáng)身份管理,保證大數(shù)據(jù)安全���。
以下為原文:
大數(shù)據(jù)不再是白日夢�。各行業(yè)組織機(jī)構(gòu)正在以越來越快的速度篩選從網(wǎng)絡(luò)數(shù)據(jù)中得出的可行性結(jié)論���。90%的全球數(shù)據(jù)都是在過去的兩年中產(chǎn)生的��,數(shù)據(jù)背后隱藏的是對用戶行為和市場趨勢的洞察�����,這些洞察可能永遠(yuǎn)都無法通過其他渠道獲得���,就連白宮甚至都已參與進(jìn)來,他們近期在大數(shù)據(jù)研究項目上投資了2億美元�����。
隨著大數(shù)據(jù)變得更加容易使用����,人們對安全訪問敏感數(shù)據(jù)集和其他領(lǐng)域的網(wǎng)絡(luò)等也更加關(guān)注。如果企業(yè)希望不冒著數(shù)據(jù)泄漏的風(fēng)險從大數(shù)據(jù)中獲利�����,這些問題就必須得到有效解決���。
確保M2M身份安全
要進(jìn)行大數(shù)據(jù)分析�,需要把大型數(shù)據(jù)集劃分成更易于管理的單個部分�,然后分別通過Hadoop集群處理����,最后將它們重新組合以產(chǎn)生所需分析�����。該過程高度自動化�����,涉及大量跨集群的機(jī)器對機(jī)器(M2M)交互���。
在Hadoop的基礎(chǔ)設(shè)施會發(fā)生幾個層次的授權(quán)��,具體包括:
-
訪問Hadoop集群
-
簇間通信
-
集群訪問數(shù)據(jù)源
這些授權(quán)往往是基于SSH(Secure Shell)密鑰的�,其對于使用Hadoop是理想的�����,因其安全級別支持自動化的M2M通信��。
許多基于流行的基于云計算的Hadoop服務(wù)也使用SSH作為訪問Hadoop集群的認(rèn)證方法��。確保了授予訪問大數(shù)據(jù)環(huán)境中的身份應(yīng)該是一個高優(yōu)先級的��,但其也具有挑戰(zhàn)性。這對于那些想要像使用Hadoop一樣使用大數(shù)據(jù)分析的公司來說是一個很大的挑戰(zhàn)���。有些問題直截了當(dāng):
-
誰來建立運(yùn)行大數(shù)據(jù)分析的授權(quán)�����?
-
一旦建立授權(quán)的人離職�,會出現(xiàn)什么問題����?
-
授權(quán)提供的訪問級別是否基于“須知”安全準(zhǔn)則���?
-
誰可以訪問授權(quán)����?
-
如何管理這些授權(quán)����?
大數(shù)據(jù)并不是需要考慮這些問題的唯一技術(shù)。當(dāng)越來越多的業(yè)務(wù)流程自動化���,這些問題將遍布數(shù)據(jù)中心���。自動化的M2M交易占到了數(shù)據(jù)中心所有通信的80%��,然而大部分管理員則把焦點集中在員工帳戶相關(guān)聯(lián)的20%的通信流量。大數(shù)據(jù)將成為下一個殺手級應(yīng)用�����,全面管理以機(jī)器為主的身份變得迫在眉睫�。
風(fēng)險
眾所周知的數(shù)據(jù)泄漏包括濫用以機(jī)器為主的證書,這體現(xiàn)了忽視M2M身份驗證的現(xiàn)實風(fēng)險��。當(dāng)企業(yè)在管理終端用戶身份上取得很大進(jìn)步時�����,卻忽視了應(yīng)以同樣標(biāo)準(zhǔn)處理機(jī)器為主的身份驗證的需求���。其結(jié)果就是使整個IT環(huán)境遍布風(fēng)險�。
然而�,對于想要將集中的身份和存取管理(盡可能的)應(yīng)用到數(shù)百萬基于機(jī)器的身份來說,改變運(yùn)行中的系統(tǒng)是一個很大的挑戰(zhàn)�����。不中斷系統(tǒng)遷移環(huán)境是一項復(fù)雜的工作,所以企業(yè)一直在猶豫也不足為奇��。
密鑰管理的不良狀況
密鑰管理的現(xiàn)狀一直很糟糕�。為了管理用于保護(hù)M2M通信的認(rèn)證密鑰,許多系統(tǒng)管理員使用電子表格或自編腳本來控制分配�����、監(jiān)控和清點密鑰����。這種做法漏掉了許多密鑰。想來他們也沒有設(shè)置常規(guī)掃描�����,于是未被授權(quán)的非法途徑便在不知不覺中添加進(jìn)來���。
缺少對密鑰的集中控制嚴(yán)重影響法規(guī)遵從。以金融行業(yè)為例�,規(guī)定要求必須嚴(yán)格控制誰可以訪問敏感數(shù)據(jù),比如最近強(qiáng)化了的PCI標(biāo)準(zhǔn)要求任何接受支付卡的地方——銀行�、零售商、餐館和醫(yī)院等——均需依照同樣標(biāo)準(zhǔn)執(zhí)行,無一例外��。由于這些行業(yè)目前正在迅速果斷的執(zhí)行大數(shù)據(jù)戰(zhàn)略�����,來分得用戶驅(qū)動數(shù)據(jù)大潮的一杯羹����,他們越來越容易違背法規(guī)并面臨監(jiān)管制裁。
安全步驟
組織機(jī)構(gòu)必須承認(rèn)并應(yīng)對這些風(fēng)險�����。這些步驟是行動開始的最佳做法:
-
很少有IT人員知道身份的存儲位置�����、訪問權(quán)限�����,以及其支持的業(yè)務(wù)流程���。因此����,第一步是被動非侵入的發(fā)現(xiàn)。
-
環(huán)境監(jiān)測是必須的���,這樣才能確定哪些身份是活躍的�,哪些不是���。幸運(yùn)的是���,在許多企業(yè)中,未使用的——因此也是不需要的——身份往往占絕大多數(shù)��。一旦這些未使用的身份被定位并移除�,整體工作量便會大大降低。
-
下一步是集中控制添加���、更改和刪除機(jī)器身份���。這樣一來�,政策便可以控制身份如何使用,確保沒有非托管的身份添加��,并提供法規(guī)遵從的有效證明。
-
隨著可見性和管理控制的確定�����,必要但在違反政策的身份可以在不中斷業(yè)務(wù)流程的情況下進(jìn)行校正�����。集中管理可對該身份的權(quán)限級別進(jìn)行修正����。
安全策略
大數(shù)據(jù)的興起伴隨著數(shù)據(jù)存取控制的新型風(fēng)險。M2M身份管理必不可少���,但是傳統(tǒng)的人工IAM做法效率低且風(fēng)險高�。盤點所有密鑰�,使用最優(yōu)方法可以節(jié)省時間和金錢,同時提高安全性和法規(guī)遵從��。由于大數(shù)據(jù)增加了訪問敏感信息的認(rèn)證門檻��,組織機(jī)構(gòu)必須采取積極措施��,推出全面一致的身份和存取管理策略�����。
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報名CDA認(rèn)證考試,點擊>>>
“CDA報名”
了解CDA考試詳情�����;
? 想學(xué)習(xí)CDA考試教材�,點擊>>> “CDA教材” 了解CDA考試詳情;
? 想加入CDA考試題庫�,點擊>>> “CDA題庫” 了解CDA考試詳情;
? 想了解CDA考試含金量��,點擊>>> “CDA含金量” 了解CDA考試詳情�;
京公網(wǎng)安備 11010802034615號
經(jīng)營許可證編號:京B2-20210330