大數(shù)據(jù)時(shí)代下 M2M身份管理必不可少

責(zé)任編輯:editor008

2015-01-21 09:54:38

摘自:www.smartcitychina.cn

導(dǎo)語:當(dāng)前,大數(shù)據(jù)不再是白日夢。各行業(yè)組織機(jī)構(gòu)正在以越來越快的速度篩選從網(wǎng)絡(luò)數(shù)據(jù)中得出的可行性結(jié)論。90%的全球數(shù)據(jù)都是在過去的兩年中產(chǎn)生的,數(shù)據(jù)背后隱藏的是對(duì)用戶行為和市場趨勢的洞察,這些洞察可能永遠(yuǎn)都無法通過其他渠道獲得,就連白宮甚至都已參與進(jìn)來

導(dǎo)語:當(dāng)前,大數(shù)據(jù)不再是白日夢。各行業(yè)組織機(jī)構(gòu)正在以越來越快的速度篩選從網(wǎng)絡(luò)數(shù)據(jù)中得出的可行性結(jié)論。90%的全球數(shù)據(jù)都是在過去的兩年中產(chǎn)生的,數(shù)據(jù)背后隱藏的是對(duì)用戶行為和市場趨勢的洞察,這些洞察可能永遠(yuǎn)都無法通過其他渠道獲得,就連白宮甚至都已參與進(jìn)來,他們近期在大數(shù)據(jù)研究項(xiàng)目上投資了2億美元。

隨著大數(shù)據(jù)變得更加容易使用,人們對(duì)安全訪問敏感數(shù)據(jù)集和其他領(lǐng)域的網(wǎng)絡(luò)等也更加關(guān)注。如果企業(yè)希望不冒著數(shù)據(jù)泄漏的風(fēng)險(xiǎn)從大數(shù)據(jù)中獲利,這些問題就必須得到有效解決。

確保M2M身份安全

要進(jìn)行大數(shù)據(jù)分析,需要把大型數(shù)據(jù)集劃分成更易于管理的單個(gè)部分,然后分別通過Hadoop集群處理,最后將它們重新組合以產(chǎn)生所需分析。該過程高度自動(dòng)化,涉及大量跨集群的機(jī)器對(duì)機(jī)器(M2M)交互。

在Hadoop的基礎(chǔ)設(shè)施會(huì)發(fā)生幾個(gè)層次的授權(quán),具體包括:

訪問Hadoop集群

簇間通信

集群訪問數(shù)據(jù)源

這些授權(quán)往往是基于SSH(Secure Shell)密鑰的,其對(duì)于使用Hadoop是理想的,因其安全級(jí)別支持自動(dòng)化的M2M通信。

許多基于流行的基于云計(jì)算的Hadoop服務(wù)也使用SSH作為訪問Hadoop集群的認(rèn)證方法。確保了授予訪問大數(shù)據(jù)環(huán)境中的身份應(yīng)該是一個(gè)高優(yōu)先級(jí)的,但其也具有挑戰(zhàn)性。這對(duì)于那些想要像使用Hadoop一樣使用大數(shù)據(jù)分析的公司來說是一個(gè)很大的挑戰(zhàn)。有些問題直截了當(dāng):

誰來建立運(yùn)行大數(shù)據(jù)分析的授權(quán)?

一旦建立授權(quán)的人離職,會(huì)出現(xiàn)什么問題?

授權(quán)提供的訪問級(jí)別是否基于“須知”安全準(zhǔn)則?

誰可以訪問授權(quán)?

如何管理這些授權(quán)?

大數(shù)據(jù)并不是需要考慮這些問題的唯一技術(shù)。當(dāng)越來越多的業(yè)務(wù)流程自動(dòng)化,這些問題將遍布數(shù)據(jù)中心。自動(dòng)化的M2M交易占到了數(shù)據(jù)中心所有通信的 80%,然而大部分管理員則把焦點(diǎn)集中在員工帳戶相關(guān)聯(lián)的20%的通信流量。大數(shù)據(jù)將成為下一個(gè)殺手級(jí)應(yīng)用,全面管理以機(jī)器為主的身份變得迫在眉睫。

風(fēng)險(xiǎn)

眾所周知的數(shù)據(jù)泄漏包括濫用以機(jī)器為主的證書,這體現(xiàn)了忽視M2M身份驗(yàn)證的現(xiàn)實(shí)風(fēng)險(xiǎn)。當(dāng)企業(yè)在管理終端用戶身份上取得很大進(jìn)步時(shí),卻忽視了應(yīng)以同樣標(biāo)準(zhǔn)處理機(jī)器為主的身份驗(yàn)證的需求。其結(jié)果就是使整個(gè)IT環(huán)境遍布風(fēng)險(xiǎn)。

然而,對(duì)于想要將集中的身份和存取管理(盡可能的)應(yīng)用到數(shù)百萬基于機(jī)器的身份來說,改變運(yùn)行中的系統(tǒng)是一個(gè)很大的挑戰(zhàn)。不中斷系統(tǒng)遷移環(huán)境是一項(xiàng)復(fù)雜的工作,所以企業(yè)一直在猶豫也不足為奇。

密鑰管理的不良狀況

密鑰管理的現(xiàn)狀一直很糟糕。為了管理用于保護(hù)M2M通信的認(rèn)證密鑰,許多系統(tǒng)管理員使用電子表格或自編腳本來控制分配、監(jiān)控和清點(diǎn)密鑰。這種做法漏掉了許多密鑰。想來他們也沒有設(shè)置常規(guī)掃描,于是未被授權(quán)的非法途徑便在不知不覺中添加進(jìn)來。

缺少對(duì)密鑰的集中控制嚴(yán)重影響法規(guī)遵從。以金融行業(yè)為例,規(guī)定要求必須嚴(yán)格控制誰可以訪問敏感數(shù)據(jù),比如最近強(qiáng)化了的PCI標(biāo)準(zhǔn)要求任何接受支付卡的地方——銀行、零售商、餐館和醫(yī)院等——均需依照同樣標(biāo)準(zhǔn)執(zhí)行,無一例外。由于這些行業(yè)目前正在迅速果斷的執(zhí)行大數(shù)據(jù)戰(zhàn)略,來分得用戶驅(qū)動(dòng)數(shù)據(jù)大潮的一杯羹,他們?cè)絹碓饺菀走`背法規(guī)并面臨監(jiān)管制裁。

安全步驟

組織機(jī)構(gòu)必須承認(rèn)并應(yīng)對(duì)這些風(fēng)險(xiǎn)。這些步驟是行動(dòng)開始的最佳做法:

很少有IT人員知道身份的存儲(chǔ)位置、訪問權(quán)限,以及其支持的業(yè)務(wù)流程。因此,第一步是被動(dòng)非侵入的發(fā)現(xiàn)。

環(huán)境監(jiān)測是必須的,這樣才能確定哪些身份是活躍的,哪些不是。幸運(yùn)的是,在許多企業(yè)中,未使用的——因此也是不需要的——身份往往占絕大多數(shù)。一旦這些未使用的身份被定位并移除,整體工作量便會(huì)大大降低。

下一步是集中控制添加、更改和刪除機(jī)器身份。這樣一來,政策便可以控制身份如何使用,確保沒有非托管的身份添加,并提供法規(guī)遵從的有效證明。

隨著可見性和管理控制的確定,必要但在違反政策的身份可以在不中斷業(yè)務(wù)流程的情況下進(jìn)行校正。集中管理可對(duì)該身份的權(quán)限級(jí)別進(jìn)行修正。

D1Net評(píng)論:

大數(shù)據(jù)的興起伴隨著數(shù)據(jù)存取控制的新型風(fēng)險(xiǎn)。M2M身份管理必不可少,但是傳統(tǒng)的人工IAM做法效率低且風(fēng)險(xiǎn)高。盤點(diǎn)所有密鑰,使用最優(yōu)方法可以節(jié)省時(shí)間和金錢,同時(shí)提高安全性和法規(guī)遵從。由于大數(shù)據(jù)增加了訪問敏感信息的認(rèn)證門檻,組織機(jī)構(gòu)必須采取積極措施,推出全面一致的身份和存取管理策略。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)