Video: 6 Dosa Yang Tidak Di Ampuni Allah Walaupun Dengan Bertaubat, Semoga Kita Terhindar Dari Hal Tersebut (November 2024)
Setiap perniagaan mahu mengumpul risikan risikan perniagaan (BI), data seperti eksekutif, pemasar, dan setiap jabatan lain dalam organisasi boleh mendapatkan tangan mereka. Tetapi sebaik sahaja anda memperoleh data itu, kesukaran terletak tidak hanya dalam menganalisis tasik data secara besar-besaran untuk mencari wawasan utama yang anda cari (tanpa dibanjiri oleh jumlah maklumat semata) tetapi mengamankan semua data itu juga.
Jadi, sementara saintis IT dan saintis data perusahaan anda menjalankan algoritma analitik ramalan, visualisasi data, dan menggunakan teknik analisa data lain pada Data Big yang anda kumpulkan, perniagaan anda perlu memastikan tidak ada kebocoran atau bintik-bintik lemah di dalam takungan.
Untuk tujuan itu, Cloud Security Alliance (CSA) baru-baru ini mengeluarkan Buku Keselamatan dan Keselamatan Data Big: 100 Amalan Terbaik dalam Keamanan Data Big dan Privasi. Senarai panjang amalan terbaik tersebar di 10 kategori, jadi kami menerapkan amalan terbaik hingga 10 tips untuk membantu jabatan IT anda mengunci data perniagaan utama anda. Petua ini menggunakan arsenal penyimpanan data, penyulitan, tadbir urus, pemantauan, dan teknik keselamatan.
1. Melindungi Rangka Program Pengedaran
Rangka pengaturcaraan yang disebarkan seperti Hadoop membentuk sebahagian besar pengedaran Big Data moden, tetapi mereka datang dengan risiko kebocoran data yang serius. Mereka juga datang dengan apa yang dipanggil "pemetaan yang tidak dipercayai" atau data dari pelbagai sumber yang mungkin menghasilkan keputusan agregat yang terperangkap.
CSA mengesyorkan supaya organisasi pertama kali menubuhkan kepercayaan dengan menggunakan kaedah seperti Pengesahan Kerberos sambil memastikan pematuhan kepada dasar keselamatan yang telah ditetapkan. Kemudian, anda "mengenal pasti" data dengan memecahkan semua maklumat peribadi (PII) dari data untuk memastikan privasi peribadi tidak dikompromi. Dari sana, anda membenarkan akses kepada fail dengan dasar keselamatan yang telah ditetapkan, dan kemudian memastikan bahawa kod yang tidak dipercayai tidak bocor maklumat melalui sumber sistem dengan menggunakan kawalan akses mandatori (MAC) seperti alat Sentry di Apache HBase. Selepas itu, bahagian yang sukar berakhir kerana semua perkara yang perlu dilakukan adalah mengawal kebocoran data dengan penyelenggaraan biasa. Jabatan IT harus memeriksa nod pekerja dan pemetaan di awan atau persekitaran maya, dan mengawasi nod palsu dan mengubah pendua data.
2. Selamatkan Data Bukan Relasi Anda
Pangkalan data bukan relasi seperti NoSQL adalah perkara biasa tetapi mereka terdedah kepada serangan seperti suntikan NoSQL; CSA menyenaraikan pelbagai tindakan balas untuk melindungi terhadap ini. Mulailah dengan kata laluan penyulitan atau hashing, dan pastikan untuk memastikan penyulitan akhir dengan menyulitkan data dengan menggunakan algoritma seperti standard penyulitan maju (AES), RSA dan Algoritma Secure Hash 2 (SHA-256). Keselamatan layer pengangkutan (TLS) dan penyulitan lapisan soket (SSL) juga berguna.
Di luar langkah-langkah inti, ditambah lapisan seperti penandaan data dan keselamatan tahap objek, anda juga boleh mendapatkan data bukan hubungan dengan menggunakan modul pengesahan pluggable (PAM); ini adalah kaedah yang fleksibel untuk mengesahkan pengguna sambil memastikan transaksi log dengan menggunakan alat seperti log NIST. Akhirnya, terdapat apa yang dipanggil kaedah fuzzing, yang mendedahkan skrip silang tapak dan menyuntik kerentanan antara NoSQL dan protokol HTTP dengan menggunakan input data automatik pada protokol, nod data, dan tahap pengedaran aplikasi.
3. Selamat Penyimpanan Data dan Log Transaksi
Pengurusan storan adalah bahagian utama persamaan keselamatan Data Besar. CSA mengesyorkan menggunakan capaian mesej yang ditandatangani untuk memberikan pengecam digital untuk setiap fail digital atau dokumen, dan menggunakan teknik yang dipanggil repositori data yang tidak dipercayai (SUNDR) untuk mengesan pengubahsuaian fail yang tidak dibenarkan oleh ejen pelayan yang berniat jahat.
Buku panduan ini menyenaraikan beberapa teknik lain, termasuk pembatalan malas dan giliran kunci, siaran dan skrip penyulitan berasaskan dasar, dan pengurusan hak digital (DRM). Walau bagaimanapun, tidak ada pengganti untuk hanya membina storan awan anda sendiri yang selamat di atas infrastruktur yang sedia ada.
4. Penapisan dan Pengesahan Endpoint
Keselamatan endpoint adalah yang paling penting dan organisasi anda boleh bermula dengan menggunakan sijil yang dipercayai, melakukan ujian sumber, dan menyambungkan peranti yang dipercayai kepada rangkaian anda dengan menggunakan penyelesaian pengurusan peranti mudah alih (MDM) (di atas perisian perlindungan antivirus dan malware). Dari sana, anda boleh menggunakan teknik pengesanan kesamaan statistik dan teknik pengesanan luar untuk menapis input berniat jahat, sambil menjaga serangan Sybil (iaitu satu entiti yang menyamar sebagai identiti berganda) dan serangan ID-spoofing.
5. Pematuhan Pemantauan dan Pemantauan Masa Nyata
Pematuhan selalu sakit kepala untuk perusahaan, dan lebih-lebih lagi apabila anda berurusan dengan data banjir yang malar. Adalah lebih baik untuk mengendalikannya secara langsung dengan analisis dan keselamatan masa nyata di setiap peringkat timbunan. CSA mengesyorkan bahawa organisasi menggunakan analitik Big Data dengan menggunakan alat seperti Kerberos, shell selamat (SSH), dan keselamatan protokol internet (IPsec) untuk mendapatkan pengendalian pada data masa nyata.
Sebaik sahaja anda berbuat demikian, anda boleh menjalankan aktiviti pembalakan, menggunakan sistem keselamatan front-end seperti router dan firewall peringkat aplikasi, dan mula melaksanakan kawalan keselamatan di seluruh timbunan di peringkat awan, kluster, dan aplikasi. CSA juga memberi amaran kepada perusahaan agar berhati-hati terhadap serangan pengelakan yang cuba menghalang infrastruktur data Big anda, dan apa yang disebut "serangan keracunan data" (iaitu, memalsukan data yang menipu sistem pemantauan anda).
6. Memelihara Privasi Data
Mengekalkan privasi data dalam set yang sentiasa berkembang sangat susah. CSA berkata kunci adalah "berskala dan boleh dikompilasi" dengan melaksanakan teknik-teknik seperti memaksimumkan kecerahan pertanyaan memaksimumkan privasi sambil meminimumkan pengenalan rekod-dan penyulitan homomorfik untuk menyimpan dan memproses maklumat yang disulitkan dalam awan. Di luar itu, jangan sekali-kali mengawal staples: CSA mencadangkan menggabungkan latihan kesedaran pekerja yang memberi tumpuan kepada peraturan privasi semasa dan memastikan untuk mengekalkan infrastruktur perisian dengan menggunakan mekanisma kebenaran. Akhirnya, amalan terbaik menggalakkan melaksanakan apa yang dipanggil "komposisi data yang melindungi privasi, " yang mengawal kebocoran data dari pelbagai pangkalan data dengan mengkaji dan memantau infrastruktur yang menghubungkan pangkalan data bersama-sama.
7. Kriptografi Data Besar
Kriptografi matematik tidak keluar dari gaya; sebenarnya, ia jauh lebih maju. Dengan membina sistem untuk mencari dan menapis data yang disulitkan, seperti protokol penyulitan simetri (SSE) yang dicari, perusahaan sebenarnya boleh menjalankan pertanyaan Boolean pada data yang disulitkan. Setelah itu dipasang, CSA mengesyorkan pelbagai teknik kriptografi.
Penyulitan relasi membolehkan anda membandingkan data yang disulitkan tanpa berkongsi kunci penyulitan dengan penamaan sepadan dan nilai atribut. Penyulitan berasaskan identiti (IBE) menjadikan pengurusan kunci lebih mudah dalam sistem kunci awam dengan membenarkan plaintext dienkripsi untuk identiti yang diberikan. Penyulitan berasaskan sifat (ABE) boleh mengintegrasikan kawalan akses ke dalam skema penyulitan. Akhirnya, ada penyulitan yang disatukan, yang menggunakan kunci penyulitan untuk membantu pembekal awan mengenal pasti data pendua.
8. Kawalan Akses Granular
Kawalan akses adalah kira-kira dua perkara teras mengikut CSA: menyekat akses pengguna dan memberikan akses pengguna. Caranya ialah untuk membina dan melaksanakan dasar yang memilih yang betul dalam mana-mana senario yang diberikan. Untuk menetapkan kawalan akses berbutir, CSA mempunyai sekumpulan petua yang cepat:
Menormalkan unsur-unsur mutable dan denormalkan unsur-unsur tidak berubah,
Mengesan keperluan kerahsiaan dan memastikan pelaksanaan yang betul,
Mengekalkan label akses,
Jejaki data pentadbir,
Gunakan tanda tunggal (SSO), dan
Gunakan skema pelabelan untuk mengekalkan federasi data yang betul.
9. Audit, Audit, Audit
Pemeriksaan granular adalah keharusan dalam keamanan Data Besar, terutama setelah serangan ke atas sistem Anda. CSA mengesyorkan bahawa organisasi mewujudkan pandangan audit yang padu selepas sebarang serangan, dan pastikan untuk menyediakan jejak audit penuh sambil memastikan akses mudah ke data tersebut untuk mengurangkan masa respon kejadian.
Integriti dan kerahsiaan maklumat audit juga penting. Maklumat audit harus disimpan secara berasingan dan dilindungi dengan kawalan akses pengguna butiran dan pengawasan tetap. Pastikan menyimpan Data Big anda dan data audit berasingan, dan membolehkan semua pembalakan yang diperlukan apabila anda menyediakan pengauditan (untuk mengumpul dan memproses maklumat yang paling terperinci mungkin). Lapisan audit sumber terbuka atau alat penempel pertanyaan seperti ElasticSearch dapat membuat semua ini lebih mudah dilakukan.
10. Data Provenance
Kebanyakan data boleh bermakna beberapa perkara yang berbeza bergantung pada siapa yang anda minta. Tetapi apa yang dirujuk oleh CSA adalah metadata proven yang dijana oleh aplikasi Big Data. Ini adalah kategori data lain yang memerlukan perlindungan yang ketara. CSA mengesyorkan terlebih dahulu membangunkan protokol pengesahan infrastruktur yang mengawal akses, sambil menubuhkan kemas kini status berkala dan terus mengesahkan integriti data dengan menggunakan mekanisme seperti cek.
Di samping itu, semua amalan terbaik CSA yang lain untuk provokasi data echo seluruh senarai kami: melaksanakan kawalan akses granular dinamik dan boleh skala dan melaksanakan kaedah penyulitan. Tidak ada rahsia rahsia untuk memastikan keselamatan Data Big merentasi organisasi anda dan setiap peringkat infrastruktur dan stack aplikasi anda. Apabila berurusan dalam batch data ini luas, hanya satu skim keselamatan TI yang menyeluruh dan pengguna membeli-belah seluruh perusahaan akan memberikan peluang terbaik untuk memastikan setiap 0 dan 1 yang terakhir selamat dan terjamin.
