10 labāko datu glabāšanas prakse

Ikviens uzņēmums vēlas savākt biznesa informācijas (BI) krājumus, un to var iegūt tikpat daudz datu kā vadītāji, tirgotāji un visi citi organizācijas departamenti. Kad esat ieguvis šos datus, grūtības sagādā ne tikai lielo datu ezera analīze, lai atrastu galvenās atziņas, kuras jūs meklējat (bez pārpludināšanas ar milzīgo informācijas apjomu), bet arī visu šo datu drošība.

Tātad, kamēr jūsu uzņēmuma IT nodaļa un datu zinātnieki darbojas ar paredzamiem analītiskiem algoritmiem, datu vizualizācijām un izmanto citu datu analīzes metožu arsenālu jūsu apkopotajos lielajos datos, jūsu biznesam jāpārliecinās, ka tajā nav noplūžu vai vāju vietu. rezervuārā.

Šajā nolūkā Mākoņu drošības alianse (CSA) nesen izlaida lielo datu drošības un privātuma rokasgrāmatu: 100 labākās prakses lielo datu drošības un privātuma jomā. Garais paraugprakses saraksts ir sadalīts 10 kategorijās, tāpēc mēs apkopojām labāko praksi līdz 10 padomiem, lai palīdzētu jūsu IT departamentam nobloķēt jūsu galvenos biznesa datus. Šie padomi izmanto datu glabāšanas, šifrēšanas, pārvaldības, uzraudzības un drošības tehnikas arsenālu.

1. Izkliedēto programmēšanas sistēmu aizsardzība

Izkliedētās programmēšanas sistēmas, piemēram, Hadoop, veido milzīgu mūsdienu Big Data izplatīšanas daļu, taču tās rada nopietnu datu noplūdes risku. Tie nāk arī ar tā saukto "neuzticamo kartētāju" vai datiem no vairākiem avotiem, kas var radīt ar kļūdu saistītus apkopotus rezultātus.

CSA iesaka organizācijām vispirms nodibināt uzticēšanos, izmantojot tādas metodes kā Kerberos autentifikācija, vienlaikus nodrošinot atbilstību iepriekš noteiktām drošības politikām. Pēc tam jūs "deidentificējat" datus, atdalot visu personiski identificējamo informāciju (PII) no datiem, lai nodrošinātu, ka netiek apdraudēta personas privātums. Pēc tam jūs atļaujat piekļuvi failiem ar iepriekš noteiktu drošības politiku un pēc tam pārliecinieties, ka neuzticams kods neizplūst no sistēmas resursiem, izmantojot obligātu piekļuves kontroli (MAC), piemēram, Sentry rīku Apache HBase. Pēc tam cietā daļa ir beigusies, jo atliek tikai veikt regulāru apkopi un aizsargāties pret datu noplūdi. IT nodaļai jāpārbauda darbinieku mezgli un kartētāji jūsu mākonī vai virtuālajā vidē, kā arī jāseko līdzi viltus mezgliem un izmainītiem datu dublikātiem.

2. Nodrošiniet savus nerelatīvos datus

Nerelatīvas datu bāzes, piemēram, NoSQL, ir izplatītas, taču tās ir neaizsargātas pret uzbrukumiem, piemēram, NoSQL injekcijām; CSA ir uzskaitījusi virkni pretpasākumu, lai aizsargātu pret to. Sāciet ar paroļu šifrēšanu vai sajaukšanu un pārliecinieties, ka tiek nodrošināta pilnīga šifrēšana, šifrējot datus miera stāvoklī, izmantojot tādus algoritmus kā uzlabots šifrēšanas standarts (AES), RSA un Secure Hash algoritms 2 (SHA-256). Transporta slāņa drošība (TLS) un drošu ligzdu slāņa (SSL) šifrēšana ir noderīga arī.

Papildus šiem pamatpasākumiem, kā arī tādiem slāņiem kā datu marķēšana un objektu līmeņa drošība, jūs varat arī nodrošināt nesaistītus datus, izmantojot tā sauktos spraudējamos autentifikācijas moduļus (PAM); šī ir elastīga metode lietotāju autentificēšanai, vienlaikus veicot darījumu reģistrēšanu, izmantojot tādu rīku kā NIST žurnāls. Visbeidzot, tur tiek sauktas izplūdušās metodes, kas atklāj vietņu skriptu veidošanu un ievainojamību iepludināšanu starp NoSQL un HTTP protokolu, izmantojot automatizētu datu ievadi protokolā, datu mezglā un izplatīšanas lietojumprogrammu līmeņos.

3. Droši datu glabāšanas un transakciju žurnāli

Krātuves pārvaldība ir galvenā Big Data drošības vienādojuma sastāvdaļa. CSA iesaka izmantot parakstītus ziņojumu saīsinājumus, lai katram digitālajam failam vai dokumentam nodrošinātu ciparu identifikatoru, un izmantot paņēmienu, ko sauc par drošu neuzticamu datu krātuvi (SUNDR), lai atklātu ļaunprātīgu servera aģentu neatļautas failu modifikācijas.

Rokasgrāmatā ir uzskaitītas arī vairākas citas metodes, ieskaitot slinku atsaukšanu un atslēgu pagriešanu, apraidi un uz politiku balstītas šifrēšanas shēmas un digitālo tiesību pārvaldību (DRM). Tomēr tas nevar aizstāt vienkārši izveidot savu drošo mākoņu krātuvi papildus esošajai infrastruktūrai.

4. Galapunkta filtrēšana un validācija

Galapunkta drošība ir ārkārtīgi svarīga, un jūsu organizācija var sākt, izmantojot uzticamus sertifikātus, veicot resursu testēšanu un tīklam savienojot tikai uzticamas ierīces, izmantojot mobilo ierīču pārvaldības (MDM) risinājumu (papildus pretvīrusu un ļaunprātīgas programmatūras aizsardzības programmatūrai). Turpmāk jūs varat izmantot statistiskās līdzības noteikšanas paņēmienus un ārējās noteikšanas paņēmienus, lai filtrētu ļaunprātīgas ieejas, vienlaikus aizsargājot pret Sybil uzbrukumiem (ti, vienu entītiju, kas maskējas kā vairākas identitātes) un ID izvairīšanās uzbrukumiem.

5. Atbilstība reāllaikā un drošības uzraudzība

Atbilstība uzņēmumiem vienmēr rada galvassāpes, un vēl jo vairāk tad, ja nodarbojas ar pastāvīgu datu pārpludināšanu. Vislabāk to novērst, izmantojot reāllaika analītiku un drošību katrā kaudzītes līmenī. CSA iesaka organizācijām izmantot lielo datu analītiku, izmantojot tādus rīkus kā Kerberos, drošu apvalku (SSH) un interneta protokola drošību (IPsec), lai iegūtu reāllaika datu apstrādes datus.

Kad esat to izdarījis, varat atmīnēt reģistrēšanas notikumus, izvietot priekšpiegādes drošības sistēmas, piemēram, maršrutētājus un lietojumprogrammu līmeņa ugunsmūrus, un sākt drošības kontroles ieviešanu visā kaudzī mākoņu, klasteru un lietojumprogrammu līmenī. CSA arī brīdina uzņēmumus, ka jāuzmanās no izvairīšanās no uzbrukumiem, mēģinot apiet jūsu Big Data infrastruktūru un tā sauktos “datu saindēšanās” uzbrukumus (ti, falsificētus datus, kas apmāna jūsu uzraudzības sistēmu).

6. Saglabājiet datu privātumu

Datu privātuma saglabāšana arvien pieaugošajās kopās ir patiešām sarežģīta. CSA paziņoja, ka atslēgai jābūt “mērogojamam un saliekamam”, ieviešot tādas tehnikas kā diferencēta privātums - maksimizējot vaicājuma precizitāti, vienlaikus samazinot ierakstu identifikāciju - un homomorfā šifrēšana, lai šifrētu informāciju saglabātu un apstrādātu mākonī. Turklāt neraizējieties par skavām: CSA iesaka iekļaut darbinieku informētības apmācību, kas koncentrējas uz pašreizējiem privātuma noteikumiem, un pārliecināties par programmatūras infrastruktūras uzturēšanu, izmantojot autorizācijas mehānismus. Visbeidzot, paraugprakse mudina ieviest tā dēvēto “privātumu saglabājošo datu kompozīciju”, kas kontrolē datu noplūdi no vairākām datu bāzēm, pārskatot un pārraugot infrastruktūru, kas savieno datubāzes.

7. Lielo datu kriptogrāfija

Matemātiskā kriptogrāfija nav izgājusi no stila; patiesībā tas ir sasniegts daudz progresīvāks. Izveidojot sistēmu, lai meklētu un filtrētu šifrētus datus, piemēram, meklējamo simetrisko šifrēšanas (SSE) protokolu, uzņēmumi faktiski var darbināt Būla vaicājumus uz šifrētiem datiem. Pēc uzstādīšanas CSA iesaka dažādas kriptogrāfijas metodes.

Relāciju šifrēšana ļauj salīdzināt šifrētus datus, koplietojot šifrēšanas atslēgas, saskaņojot identifikatorus un atribūtu vērtības. Ar identitāti balstīta šifrēšana (IBE) atvieglo atslēgu pārvaldību publisko atslēgu sistēmās, ļaujot konkrētajai identitātei šifrēt vienkāršo tekstu. Ar atribūtiem balstīta šifrēšana (ABE) var integrēt piekļuves vadīklas šifrēšanas shēmā. Visbeidzot, pastāv konverģēta šifrēšana, kas izmanto šifrēšanas atslēgas, lai palīdzētu mākoņa pakalpojumu sniedzējiem identificēt dublētus datus.

8. Granulēta piekļuves kontrole

Piekļuves kontrole saskaņā ar CSA ir divas galvenās lietas: lietotāja piekļuves ierobežošana un lietotāja piekļuves piešķiršana. Viltība ir izveidot un īstenot politiku, kas katrā scenārijā izvēlas pareizo. Lai iestatītu granulētas piekļuves kontroles, CSA ir virkne ātri pieejamu padomu:

Normalizējiet mainīgos elementus un denormalizējiet nemainīgos elementus,

Izsekojiet slepenības prasības un nodrošiniet pareizu ieviešanu,

Uzturēt piekļuves etiķetes,

Izsekojiet administratora datus,

Izmantojiet vienreizēju pierakstīšanos (SSO) un

Izmantojiet marķēšanas shēmu, lai uzturētu pareizu datu apvienošanu.

9. Audits, audits, audits

Granulu pārbaude ir obligāta lielo datu drošībā, īpaši pēc uzbrukuma jūsu sistēmai. CSA iesaka organizācijām izveidot vienotu revīzijas skatu pēc jebkura uzbrukuma un pārliecinieties, ka jānodrošina pilnīga audita izsekojamība, vienlaikus nodrošinot ērtu piekļuvi šiem datiem, lai samazinātu negadījumu reakcijas laiku.

Būtiska ir arī revīzijas informācijas integritāte un konfidencialitāte. Revīzijas informācija jāuzglabā atsevišķi un jāsargā ar detalizētām lietotāju piekļuves kontrolēm un regulāru uzraudzību. Pārliecinieties, ka lielie dati un audita dati ir atsevišķi, un, iestatot auditu, iespējojiet visu nepieciešamo reģistrēšanu (lai savāktu un apstrādātu iespējami sīkāku informāciju). Atklātā pirmkoda revīzijas slānis vai vaicājumu orķestru rīks, piemēram, ElasticSearch, var to visu padarīt vienkāršāku.

10. Datu pierādīšana

Datu izcelsme var nozīmēt vairākas dažādas lietas atkarībā no tā, ko jūs lūdzat. Bet tas, uz ko atsaucas CSA, ir izcelsmes metadati, ko ģenerē Big Data lietojumprogrammas. Šī ir pavisam cita datu kategorija, kurai nepieciešama ievērojama aizsardzība. CSA iesaka vispirms izstrādāt infrastruktūras autentifikācijas protokolu, kas kontrolē piekļuvi, vienlaikus iestatot periodiskus statusa atjauninājumus un pastāvīgi pārbaudot datu integritāti, izmantojot tādus mehānismus kā kontrolsummas.

Turklāt CSA labākā datu izcelsmes prakse atkārtojas mūsu pārējā sarakstā: ievieš dinamiskas un mērogojamas granulētas piekļuves vadīklas un ievieš šifrēšanas metodes. Lai nodrošinātu lielo datu drošību visā jūsu organizācijā, kā arī visos jūsu infrastruktūras un lietojumprogrammu līmeņos, nav viena slepena viltības. Tirgojoties ar šo milzīgo datu paketi, tikai izsmeļoši visaptveroša IT drošības shēma un uzņēmuma mēroga iegāde visā uzņēmumā dos jūsu organizācijai vislabāko iespēju saglabāt drošumu un drošību pēdējos 0 un 1.