10 най-добри практики за осигуряване на големи данни

Всеки бизнес иска да събере трибуни от бизнес разузнаването (BI), толкова много данни, колкото ръководители, маркетолози и всеки друг отдел в организацията могат да получат ръцете си. Но след като сте получили тези данни, трудността се състои не само в анализирането на масивното езеро от данни, за да намерите ключовите данни, за които търсите (без да бъдете потопени от чистия обем информация), но и да осигурите всички тези данни.,

И така, докато вашият корпоративен ИТ отдел и учени по данни работят с алгоритми за прогнозна анализа, визуализация на данни и използват арсенал от други техники за анализ на данни на Големите данни, които сте събрали, вашият бизнес трябва да се увери, че няма течове или слаби места в резервоара.

За тази цел Cloud Security Alliance (CSA) наскоро пусна наръчника за голяма информация за сигурността и поверителността: 100 най-добри практики в сигурността и поверителността на големите данни. Дългият списък от най-добри практики е разпределен в 10 категории, така че ние обединихме най-добрите практики до 10 съвета, за да помогнете на вашия IT отдел да заключи ключовите ви бизнес данни. Тези съвети използват арсенал от техники за съхранение, криптиране, управление, мониторинг и сигурност.

1. Защитени рамки за разпределено програмиране

Разпределените програмни рамки като Hadoop съставляват огромна част от съвременните дистрибуции на големи данни, но те идват със сериозен риск от изтичане на данни. Те също така идват с това, което се нарича "ненадеждни картографи" или данни от множество източници, които могат да доведат до обобщени резултати от грешки.

CSA препоръчва организациите първо да установят доверие, като използват методи като Kerberos Authentication, като същевременно осигуряват съответствие с предварително зададени политики за сигурност. След това "де-идентифицирате" данните, като отделите цялата лична информация (PII) от данните, за да гарантирате, че личната неприкосновеност не е компрометирана. Оттам разрешавате достъпа до файлове с предварително дефинирана политика за защита и след това гарантирате, че ненадеждният код не изтича информация през системните ресурси, като използвате задължителен контрол на достъпа (MAC) като инструмента Sentry в Apache HBase. След това, тежката част приключи, тъй като всичко, което остава, е да се предпази от изтичане на данни с редовна поддръжка. ИТ отделът трябва да проверява работните възли и картографи във вашата облачна или виртуална среда и да следи за фалшиви възли и променени дубликати на данни.

2. Защитете нерелационните си данни

Нерелационните бази данни като NoSQL са често срещани, но те са уязвими към атаки като NoSQL инжектиране; CSA изброява множество мерки за противодействие срещу това. Започнете с криптиране или хеширане на пароли и не забравяйте да осигурите криптиране от край до край, като криптирате данни в покой, като използвате алгоритми като разширен стандарт за криптиране (AES), RSA и алгоритъм на Secure Hash 2 (SHA-256). Защита на транспортния слой (TLS) и криптиране на защитни слоеве (SSL) също са полезни.

Отвъд тези основни мерки, плюс слоеве като маркиране на данни и защита на ниво обект, можете също така да защитите нерелационни данни, като използвате наречените подвижни модули за автентификация (PAM); това е гъвкав метод за удостоверяване на потребителите, като същевременно се гарантира, че се регистрират транзакции с помощта на инструмент като NIST дневник. И накрая, има нещо, което се нарича размиващи методи, които разкриват скриптове на различни сайтове и инжектиране на уязвимости между NoSQL и HTTP протокол, като се използва автоматизирано въвеждане на данни в протокола, възела на данни и нивата на приложение на дистрибуцията.

3. Сигурни журнали за съхранение на данни и транзакции

Управлението на съхранението е ключова част от уравнението за сигурност на големите данни. CSA препоръчва да се използват подписани дайджести на съобщения, за да се предостави цифров идентификатор за всеки цифров файл или документ, както и да се използва техника, наречена сигурно неверително хранилище на данни (SUNDR), за да се открият неразрешени модификации на файлове от злонамерени сървърни агенти.

Наръчникът изброява и редица други техники, включително мързеливо оттегляне и завъртане на ключове, схеми за кодиране и базирани на политиката криптиране и управление на цифровите права (DRM). Въпреки това, няма заместител на простото изграждане на собствено сигурно облачно хранилище на базата на съществуваща инфраструктура.

4. Филтриране и валидиране на крайната точка

Сигурността на крайната точка е от първостепенно значение и вашата организация може да започне с използване на надеждни сертификати, извършване на тестване на ресурси и свързване само на надеждни устройства към вашата мрежа чрез използване на решение за управление на мобилни устройства (MDM) (отгоре на антивирусен и софтуер за защита от злонамерен софтуер). Оттам можете да използвате статистически техники за откриване на сходство и техники за откриване на външни източници, за да филтрирате злонамерени входове, като същевременно се предпазвате от атаки на Sybil (т.е. една единица, маскирана като множество идентичности) и атаки за подправяне на ID.

5. Мониторинг на спазването в реално време и сигурност

Съответствието винаги е главоболие за предприятията и още повече, когато се занимавате с постоянен потоп от данни. Най-добре е да се справите с главата с анализи в реално време и сигурност на всяко ниво на стека. CSA препоръчва на организациите да прилагат анализи на големи данни, като използват инструменти като Kerberos, защитена обвивка (SSH) и сигурност на интернет протокола (IPsec), за да получат обработка на данните в реално време.

След като направите това, можете да копаете събития за регистриране, да разгърнете системи за сигурност отпред, като рутери и защитни стени на ниво приложение, и да започнете да прилагате контроли за сигурност в целия стек на нивата на облака, клъстера и приложенията. CSA също така предупреждава предприятията да бъдат предпазливи от атаките за избягване, опитвайки се да заобиколят вашата инфраструктура за големи данни, както и това, което се нарича атаки за „отравяне на данни“ (т.е. фалшифицирани данни, които измамяват вашата система за наблюдение).

6. Запазване на поверителността на данните

Запазването на поверителността на данните във все по-нарастващите набори е наистина трудно. CSA каза, че ключът е да бъде "мащабируем и композируем" чрез прилагане на техники като диференциална поверителност - максимално увеличаване на точността на заявките при минимизиране на идентифицирането на записа - и хомоморфно криптиране за съхраняване и обработка на криптирана информация в облака. Освен това, не се грижете за телбодовете: CSA препоръчва да се включи обучение за повишаване на осведомеността на служителите, което се фокусира върху текущите регламенти за поверителност, и не забравяйте да поддържате софтуерна инфраструктура, като използвате механизми за разрешаване. И накрая, най-добрите практики насърчават прилагането на т.нар. „Запазване на личния състав на данни“, който контролира изтичането на данни от множество бази данни чрез преглед и мониторинг на инфраструктурата, която свързва базата данни заедно.

7. Криптография с големи данни

Математическата криптография не е излязла извън стила си; всъщност става много по-напреднал. Чрез изграждането на система за търсене и филтриране на криптирани данни, като например протокола за симетрично криптиране (SSE) за търсене, предприятията могат действително да изпълняват булеви заявки върху криптирани данни. След като е инсталиран, CSA препоръчва различни криптографски техники.

Релационното криптиране ви позволява да сравнявате криптирани данни, без да споделяте кодове за криптиране, като съответствате на идентификатори и стойности на атрибутите. Базираното на идентичността криптиране (IBE) улеснява управлението на ключове в системите с публични ключове, като позволява незабележимото криптиране за дадена идентичност. Кодирането на базата на атрибути (ABE) може да интегрира контролите за достъп в схема за криптиране. И накрая, има конвергентно криптиране, което използва ключове за криптиране, за да помогне на доставчиците на облак да идентифицират дублиращи се данни.

8. Гранулиран контрол на достъпа

Контролът на достъпа е около две основни неща според CSA: ограничаване на потребителския достъп и предоставяне на потребителски достъп. Номерът е да се изгради и приложи политика, която да избере правилната във всеки даден сценарий. За настройка на подробни контроли за достъп, CSA има куп бързи съвети:

Нормализиране на сменяеми елементи и денормализиране на неизменни елементи,

Проследявайте изискванията за секретност и осигурете правилното им прилагане,

Поддържайте етикети за достъп,

Проследяване на администраторски данни,

Използвайте единичен вход (SSO) и

Използвайте схема за етикетиране, за да поддържате правилната федерация на данните.

9. Одит, одит, одит

Гранулираният одит е задължителен в сигурността на големите данни, особено след атака срещу вашата система. CSA препоръчва на организациите да създадат сплотен изглед на одит след всяка атака и не забравяйте да осигурите пълен одитен път, като същевременно гарантирате лесен достъп до тези данни, за да намалите времето за реакция при инцидент.

Целостта и поверителността на информацията за одита също са от съществено значение. Информацията за одита трябва да се съхранява отделно и да се защитава с подробни контроли за достъп на потребителите и редовен мониторинг. Не забравяйте да съхранявате вашите големи данни и данни за одит отделно и да активирате цялата необходима регистрация, когато настройвате одит (за да събирате и обработвате възможно най-подробна информация). Отворен код одитен слой или инструмент за оркестриране на заявки като ElasticSearch може да направи всичко това по-лесно.

10. Осигуряване на данни

Произнасянето на данни може да означава редица различни неща в зависимост от това, кого искате. Но това, което CSA има предвид, са метаданните за произход, генерирани от приложения за големи данни. Това е съвсем друга категория данни, която се нуждае от значителна защита. CSA препоръчва първо да се разработи протокол за удостоверяване на инфраструктурата, който контролира достъпа, като същевременно настройва периодични актуализации на състоянието и непрекъснато проверява целостта на данните, като използва механизми като контролни суми.

На всичкото отгоре, останалите най-добри практики на CSA за генериране на данни озвучават останалата част от нашия списък: прилагайте динамични и мащабируеми подробни контроли за достъп и прилагайте методи за криптиране. Няма нито един секретен трик, който да гарантира сигурността на големите данни във вашата организация и всяко ниво на вашата инфраструктура и стека на приложения. Когато се занимава с партиди от данни в тази огромна, само изчерпателна цялостна схема за сигурност на информационните технологии и купуването на потребители за целия бизнес ще предоставят на вашата организация най-добрият шанс да запази всички последни 0 и 1 в безопасност и сигурност.