大數(shù)據(jù)引安全性革命:在數(shù)字化世界進行身份管理

責任編輯:jerry

2014-05-28 17:03:05

摘自:51cto

修復:隨著可視化和相關(guān)控制的建立,某些違反政策的必要的身份驗證可以在不中斷正在進行的業(yè)務(wù)流程中進行更新。那些希望利用所有大數(shù)據(jù)優(yōu)勢的企業(yè)必須同時確保最高的安全級別,請務(wù)必遵循上文中所述的最佳實踐方案。

現(xiàn)如今,數(shù)據(jù)正以指數(shù)級增長。有專家最近提出,其增長率相當于在國際象棋棋盤的第一格放置一粒大米,第二格放置其個數(shù)的平方粒米,第三格放置其個數(shù)的三次方粒米。當放置到第64格時,最后一格的米粒數(shù)量將相當于全世界水稻年產(chǎn)量的一千倍。

大數(shù)據(jù)引發(fā)的安全性革命:在數(shù)字化世界進行身份管理

現(xiàn)如今的各行各業(yè),包括醫(yī)療保健業(yè),金融業(yè),零售業(yè)和政府機構(gòu)都面臨著如何最好地利用他們所收集的海量數(shù)據(jù)信息的問題。而大數(shù)據(jù)服務(wù)供應(yīng)商們所提供的各種應(yīng)用程序方便了人們能夠?qū)A看髷?shù)據(jù)進行分析,提取出有巨大價值的見解,進而能夠跨部門、跨業(yè)務(wù)功能的幫助各行各業(yè)的發(fā)展。這種融合導致了大數(shù)據(jù)使用量在所有經(jīng)濟領(lǐng)域的迅速增加。

然而,很明顯,隨著大數(shù)據(jù)應(yīng)用程序通過網(wǎng)絡(luò)環(huán)境連接數(shù)據(jù)庫,企業(yè)最敏感信息并未受到同等級別優(yōu)先級的安全保護。為了確保防止黑客盜竊數(shù)據(jù)信息的風險,企業(yè)應(yīng)該在轉(zhuǎn)移到充分利用大數(shù)據(jù)的優(yōu)勢的同時,也相當有必要采取相關(guān)的安全措施來保護他們數(shù)據(jù)資產(chǎn)的完整性。

流程自動化

為了從大數(shù)據(jù)分析中得到相關(guān)有價值的見解,大數(shù)據(jù)集被劃分成更小的高纖維的分析組件,通過一個Hadoop集群單獨處理,然后重新組合,以產(chǎn)生有價值的信息。該過程幾乎完全自動化,因此需要大量的機器對機器(M2M)通過網(wǎng)絡(luò)的交流。

在Hadoop的基礎(chǔ)設(shè)施會發(fā)生幾個層次的授權(quán);具體包括:

訪問Hadoop集群

簇間通信

群集訪問數(shù)據(jù)源

這些授權(quán)往往是基于SSH(SecureShell)密鑰的,其對于使用Hadoop是理想的,因其安全級別支持自動化的M2M通信。許多基于流行的基于云計算的Hadoop服務(wù)也使用SSH作為訪問Hadoop集群的認證方法。確保了授予訪問大數(shù)據(jù)環(huán)境中的身份應(yīng)該是一個高優(yōu)先級的,但其也具有挑戰(zhàn)性。對于那些希望利用大數(shù)據(jù)分析的人,應(yīng)考慮以下問題:

1、誰應(yīng)該對建立大數(shù)據(jù)分析的授權(quán)負責?

2、這些授權(quán)的管理得當嗎?

3、誰可以訪問這些特定的授權(quán)?

4、如果最初的授權(quán)創(chuàng)造者離職,會發(fā)生什么情況?

5、“需要知道”的安全規(guī)則是否會直接影響訪問授權(quán)級別?

這些問題并不僅僅只是針對大數(shù)據(jù)而言。事實上,隨著數(shù)據(jù)中心自動化業(yè)務(wù)流程的增加,這些問題正在變得更為重要。自動化的M2M交易占到了數(shù)據(jù)中心所有通信的80%,然而大部分管理員則把焦點集中在員工帳戶相關(guān)聯(lián)的20%的通信流量。某些嚴重依賴數(shù)據(jù)的行業(yè),如金融業(yè)和基于云計算的服務(wù)業(yè),基于機器的身份識別與人機交互的比例通常達到了四比一的比例。那么,為什么這個大的身份識別集被忽視了呢?很明顯,隨著大數(shù)據(jù)信息總量的上漲,應(yīng)對M2M身份管理保證的緊迫感增強了。

業(yè)務(wù)危機四伏

無視M2M身份驗證的風險是非??膳碌模@些授權(quán)的管理不善可能導致嚴重的數(shù)據(jù)泄露。雖然終端用戶的身份的安全管理已經(jīng)得到了顯著的進步,但基于機器的身份驗證則被嚴重忽視,導致IT環(huán)境產(chǎn)生深遠的攻擊向量。

這種忽視的部分原因可能是由于對正在運行中的系統(tǒng)實現(xiàn)變化所帶來的挑戰(zhàn)。把中央身份驗證和訪問管理帶入到數(shù)以千計的基于機器的身份驗證,無疑是一項復雜的工作。鑒于相關(guān)風險的不斷上升,需要新的工具和流程,以規(guī)避和對抗這種風險。

目前,IT管理員使用手動跟蹤驗證密鑰的方法來保護M2M的交易。過時的方法,如電子表格或自行開發(fā)的腳本是監(jiān)控,分配和庫存檢查密鑰很受歡迎的選擇。如同所有的手工管理一樣,人為操作錯誤也會導致其本身的錯誤,使得許多部署鍵落空。這種方法通常缺乏定期掃描,所以沒有系統(tǒng)管理知識的管理員可以從后門插入。

合規(guī)意味著企業(yè)業(yè)務(wù)的相關(guān)方面

跨多種行業(yè)的合規(guī)標準強制要求中央控制這些認證密鑰。如果不這樣做的企業(yè),就可以面臨巨額罰款和違規(guī)被識別,聲譽損害的風險。例如,最近加強的PCI標準要求規(guī)定,接受支付卡的任何企業(yè)都必須嚴格控制誰有權(quán)訪問敏感的財務(wù)信息。這項規(guī)定會影響銀行業(yè),餐飲業(yè),零售業(yè)和醫(yī)療保健業(yè);正因為如此,很多垂直行業(yè)正在快速改變他們的安全狀態(tài),以盡量減少違規(guī)等相關(guān)風險。

加強M2M網(wǎng)絡(luò)安全的步驟

為了對付這些風險,我們建議您的企業(yè)采取以下步驟來實現(xiàn)最佳實踐:

發(fā)現(xiàn):數(shù)據(jù)中心管理員,安全團隊或身份驗證和訪問權(quán)限管理人員對于身份信息存儲的地方、怎樣的身份信息是允許訪問的以及支持訪問哪些業(yè)務(wù)流程很少有透明度可視性。因此,在修復過程中重要的第一步是相當被動的,非侵入性的發(fā)現(xiàn)。

修復:隨著可視化和相關(guān)控制的建立,某些違反政策的必要的身份驗證可以在不中斷正在進行的業(yè)務(wù)流程中進行更新。例如,一臺機器的身份驗證可以支撐一個積極的過程,但其可以具有比需要水平更高的特權(quán)。采用集中管理,分配給該身份的權(quán)限級別可以進行修復。

監(jiān)控:需要持續(xù)的監(jiān)控網(wǎng)絡(luò)環(huán)境,以確定哪些標識是在頻繁使用,哪些是與非活動用戶或進程相關(guān)聯(lián)。有利的一面是,在許多企業(yè)中,未使用的(因此不再需要)身份往往占多數(shù)。一旦這些未使用身份被標識并移除之后,處理的范圍將顯著降低。

管理:機器身份的添加,更改和刪除應(yīng)通過中央控制實施。這種方法使基于政策的管理能夠有效掌握相關(guān)的身份信息是如何被使用的,確保不再添加未經(jīng)管理的身份,及提供符合驗證的證據(jù)。

當然,羅馬不是一天建成的,其也不可完全一次性實現(xiàn)。在每天使用相關(guān)的工具和流程的過程也會促進這些最佳實踐,提供積極的風險管理和合規(guī)管理。

展望未來

當談到從信息中分析獲取價值時,大數(shù)據(jù)開辟了無限的可能性,但在各種新技術(shù)層出不窮的情況下,企業(yè)會需要有一種方法來保護數(shù)據(jù)信息的安全,保持與當前各種風險威脅相同的發(fā)展步伐。自動化的M2M身份管理可能帶來顯著的業(yè)務(wù)收益,如節(jié)省時間和成本。除了眼前的利益,也有利于企業(yè)實現(xiàn)長期的合規(guī)性和增強企業(yè)信譽。那些希望利用所有大數(shù)據(jù)優(yōu)勢的企業(yè)必須同時確保最高的安全級別,請務(wù)必遵循上文中所述的最佳實踐方案。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號