2014年,雖然大數(shù)據(jù)應(yīng)用還沒(méi)有深入普及,但是已經(jīng)有越來(lái)越多的行業(yè)用戶嘗試引入大數(shù)據(jù)相關(guān)技術(shù)解決如何管理、利用日益增長(zhǎng)的各類(lèi)數(shù)據(jù),而往往隨之的安全問(wèn)題也日益受到關(guān)注,為了確保防止黑客盜竊數(shù)據(jù)信息的風(fēng)險(xiǎn),企業(yè)應(yīng)該在轉(zhuǎn)移到充分利用大數(shù)據(jù)的優(yōu)勢(shì)的同時(shí),也相當(dāng)有必要采取相關(guān)的安全措施來(lái)保護(hù)他們數(shù)據(jù)資產(chǎn)的完整性。國(guó)外著名的SSH通信安全專(zhuān)家Matthew bring日前撰文分析當(dāng)前存在安全問(wèn)題現(xiàn)狀,指出無(wú)視M2M身份驗(yàn)證的風(fēng)險(xiǎn)是非??膳碌?,而這些授權(quán)的管理不善可能導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露,Matthew bring還給出一定的解決方案,最后呼吁增強(qiáng)身份管理,保證大數(shù)據(jù)安全。
以下為原文:
大數(shù)據(jù)不再是白日夢(mèng)。各行業(yè)組織機(jī)構(gòu)正在以越來(lái)越快的速度篩選從網(wǎng)絡(luò)數(shù)據(jù)中得出的可行性結(jié)論。90%的全球數(shù)據(jù)都是在過(guò)去的兩年中產(chǎn)生的,數(shù)據(jù)背后隱藏的是對(duì)用戶行為和市場(chǎng)趨勢(shì)的洞察,這些洞察可能永遠(yuǎn)都無(wú)法通過(guò)其他渠道獲得,就連白宮甚至都已參與進(jìn)來(lái),他們近期在大數(shù)據(jù)研究項(xiàng)目上投資了2億美元。
隨著大數(shù)據(jù)變得更加容易使用,人們對(duì)安全訪問(wèn)敏感數(shù)據(jù)集和其他領(lǐng)域的網(wǎng)絡(luò)等也更加關(guān)注。如果企業(yè)希望不冒著數(shù)據(jù)泄漏的風(fēng)險(xiǎn)從大數(shù)據(jù)中獲利,這些問(wèn)題就必須得到有效解決。
確保M2M身份安全
要進(jìn)行大數(shù)據(jù)分析,需要把大型數(shù)據(jù)集劃分成更易于管理的單個(gè)部分,然后分別通過(guò)Hadoop集群處理,最后將它們重新組合以產(chǎn)生所需分析。該過(guò)程高度自動(dòng)化,涉及大量跨集群的機(jī)器對(duì)機(jī)器(M2M)交互。
在Hadoop的基礎(chǔ)設(shè)施會(huì)發(fā)生幾個(gè)層次的授權(quán),具體包括:
訪問(wèn)Hadoop集群
簇間通信
集群訪問(wèn)數(shù)據(jù)源
這些授權(quán)往往是基于SSH(Secure Shell)密鑰的,其對(duì)于使用Hadoop是理想的,因其安全級(jí)別支持自動(dòng)化的M2M通信。
許多基于流行的基于云計(jì)算的Hadoop服務(wù)也使用SSH作為訪問(wèn)Hadoop集群的認(rèn)證方法。確保了授予訪問(wèn)大數(shù)據(jù)環(huán)境中的身份應(yīng)該是一個(gè)高優(yōu)先級(jí)的,但其也具有挑戰(zhàn)性。這對(duì)于那些想要像使用Hadoop一樣使用大數(shù)據(jù)分析的公司來(lái)說(shuō)是一個(gè)很大的挑戰(zhàn)。有些問(wèn)題直截了當(dāng):
誰(shuí)來(lái)建立運(yùn)行大數(shù)據(jù)分析的授權(quán)?
一旦建立授權(quán)的人離職,會(huì)出現(xiàn)什么問(wèn)題?
授權(quán)提供的訪問(wèn)級(jí)別是否基于“須知”安全準(zhǔn)則?
誰(shuí)可以訪問(wèn)授權(quán)?
如何管理這些授權(quán)?
大數(shù)據(jù)并不是需要考慮這些問(wèn)題的唯一技術(shù)。當(dāng)越來(lái)越多的業(yè)務(wù)流程自動(dòng)化,這些問(wèn)題將遍布數(shù)據(jù)中心。自動(dòng)化的M2M交易占到了數(shù)據(jù)中心所有通信的 80%,然而大部分管理員則把焦點(diǎn)集中在員工帳戶相關(guān)聯(lián)的20%的通信流量。大數(shù)據(jù)將成為下一個(gè)殺手級(jí)應(yīng)用,全面管理以機(jī)器為主的身份變得迫在眉睫。
風(fēng)險(xiǎn)
眾所周知的數(shù)據(jù)泄漏包括濫用以機(jī)器為主的證書(shū),這體現(xiàn)了忽視M2M身份驗(yàn)證的現(xiàn)實(shí)風(fēng)險(xiǎn)。當(dāng)企業(yè)在管理終端用戶身份上取得很大進(jìn)步時(shí),卻忽視了應(yīng)以同樣標(biāo)準(zhǔn)處理機(jī)器為主的身份驗(yàn)證的需求。其結(jié)果就是使整個(gè)IT環(huán)境遍布風(fēng)險(xiǎn)。
然而,對(duì)于想要將集中的身份和存取管理(盡可能的)應(yīng)用到數(shù)百萬(wàn)基于機(jī)器的身份來(lái)說(shuō),改變運(yùn)行中的系統(tǒng)是一個(gè)很大的挑戰(zhàn)。不中斷系統(tǒng)遷移環(huán)境是一項(xiàng)復(fù)雜的工作,所以企業(yè)一直在猶豫也不足為奇。
密鑰管理的不良狀況
密鑰管理的現(xiàn)狀一直很糟糕。為了管理用于保護(hù)M2M通信的認(rèn)證密鑰,許多系統(tǒng)管理員使用電子表格或自編腳本來(lái)控制分配、監(jiān)控和清點(diǎn)密鑰。這種做法漏掉了許多密鑰。想來(lái)他們也沒(méi)有設(shè)置常規(guī)掃描,于是未被授權(quán)的非法途徑便在不知不覺(jué)中添加進(jìn)來(lái)。
缺少對(duì)密鑰的集中控制嚴(yán)重影響法規(guī)遵從。以金融行業(yè)為例,規(guī)定要求必須嚴(yán)格控制誰(shuí)可以訪問(wèn)敏感數(shù)據(jù),比如最近強(qiáng)化了的PCI標(biāo)準(zhǔn)要求任何接受支付卡的地方——銀行、零售商、餐館和醫(yī)院等——均需依照同樣標(biāo)準(zhǔn)執(zhí)行,無(wú)一例外。由于這些行業(yè)目前正在迅速果斷的執(zhí)行大數(shù)據(jù)戰(zhàn)略,來(lái)分得用戶驅(qū)動(dòng)數(shù)據(jù)大潮的一杯羹,他們?cè)絹?lái)越容易違背法規(guī)并面臨監(jiān)管制裁。
安全步驟
組織機(jī)構(gòu)必須承認(rèn)并應(yīng)對(duì)這些風(fēng)險(xiǎn)。這些步驟是行動(dòng)開(kāi)始的最佳做法:
很少有IT人員知道身份的存儲(chǔ)位置、訪問(wèn)權(quán)限,以及其支持的業(yè)務(wù)流程。因此,第一步是被動(dòng)非侵入的發(fā)現(xiàn)。
環(huán)境監(jiān)測(cè)是必須的,這樣才能確定哪些身份是活躍的,哪些不是。幸運(yùn)的是,在許多企業(yè)中,未使用的——因此也是不需要的——身份往往占絕大多數(shù)。一旦這些未使用的身份被定位并移除,整體工作量便會(huì)大大降低。
下一步是集中控制添加、更改和刪除機(jī)器身份。這樣一來(lái),政策便可以控制身份如何使用,確保沒(méi)有非托管的身份添加,并提供法規(guī)遵從的有效證明。
隨著可見(jiàn)性和管理控制的確定,必要但在違反政策的身份可以在不中斷業(yè)務(wù)流程的情況下進(jìn)行校正。集中管理可對(duì)該身份的權(quán)限級(jí)別進(jìn)行修正。
安全策略
大數(shù)據(jù)的興起伴隨著數(shù)據(jù)存取控制的新型風(fēng)險(xiǎn)。M2M身份管理必不可少,但是傳統(tǒng)的人工IAM做法效率低且風(fēng)險(xiǎn)高。盤(pán)點(diǎn)所有密鑰,使用最優(yōu)方法可以節(jié)省時(shí)間和金錢(qián),同時(shí)提高安全性和法規(guī)遵從。由于大數(shù)據(jù)增加了訪問(wèn)敏感信息的認(rèn)證門(mén)檻,組織機(jī)構(gòu)必須采取積極措施,推出全面一致的身份和存取管理策略。