Video: Yüklemeniz Gereken Harika Uygulamalar #9 Android 2020 (Kasım 2024)
Her işletme, yöneticiler, pazarlamacılar ve kuruluştaki diğer tüm departmanların eline geçirebileceği kadar veri kadar iş zekası (BI) toplayıcıları toplamak istiyor. Ancak, bu verileri elde ettikten sonra, zorluk yalnızca aradığınız temel bilgileri bulmak için büyük veri gölünü analiz etmekten değil (yalnızca bilgi hacminin altında kalmadan), aynı zamanda tüm bu verilerin güvenliğini sağlamakta yatar. .
Bu nedenle, kurumsal BT departmanınız ve veri bilimcileriniz tahmine dayalı analitik algoritmaları, veri görselleştirmeleri yürütürken ve topladığınız Büyük Veri üzerinde diğer veri analizi tekniklerinden oluşan bir cephaneliği kullanırken, işinizin sızıntı veya zayıf nokta olmadığından emin olması gerekir. rezervuarda.
Bu amaçla, Cloud Security Alliance (CSA) geçtiğimiz günlerde Büyük Veri Güvenliği ve Gizlilik El Kitabı'nı yayınladı: Büyük Veri Güvenliği ve Gizliliğinde En İyi 100 Uygulama. En iyi uygulamaların uzun listesi 10 kategoriye yayılmıştır, bu nedenle BT departmanınızın kilit işletme verilerinizi kilitlemesine yardımcı olmak için en iyi uygulamaları 10 ipucuna indirdik. Bu ipuçları, veri depolama, şifreleme, yönetişim, izleme ve güvenlik tekniklerinden oluşan bir cephanelik kullanır.
1. Korumalı Dağıtılmış Programlama Çerçeveleri
Hadoop gibi dağıtılmış programlama çerçeveleri, modern Big Data dağıtımlarının büyük bir bölümünü oluşturur, ancak ciddi veri sızıntısı riski taşır. Ayrıca, “güvenilmeyen eşleyiciler” olarak adlandırılanlar veya hataya yol açan toplu sonuçlar üretebilecek birden fazla kaynaktan alınan verilerle birlikte gelirler.
CSA, kuruluşların öncelikle önceden tanımlanmış güvenlik politikalarına uygunluk sağlarken Kerberos Kimlik Doğrulama gibi yöntemleri kullanarak güven kurmalarını önerir. Ardından, kişisel gizliliğin tehlikeye atılmamasını sağlamak için kişisel olarak tanımlanabilir tüm bilgileri (PII) verilerden ayırarak verileri "tanımsızlaştırır". Oradan, önceden tanımlanmış güvenlik ilkesi olan dosyalara erişim izni verirsiniz ve daha sonra güvenilir olmayan kodun Apache HBase'deki Sentry aracı gibi zorunlu erişim denetimi (MAC) kullanarak sistem kaynakları üzerinden bilgi sızdırmaz olmasını sağlarsınız. Bundan sonra, sert kısım bittiği gibi bitti, düzenli bakım ile veri sızıntısına karşı koruma sağlamak. BT departmanı bulutunuzdaki veya sanal ortamınızdaki çalışan düğümleri ve haritalayıcıları kontrol etmeli ve sahte düğümler ile veri kopyalarını değiştirmiş olmalı.
2. İlişkisel Olmayan Verilerinizi Güvence Altına Alın
NoSQL gibi ilişkisel olmayan veritabanları yaygındır, ancak NoSQL enjeksiyonu gibi saldırılara açıktırlar; CSA buna karşı korunmak için bir dizi karşı önlem listelemektedir. Şifreleri şifreleyerek veya şifreleyerek başlayın ve gelişmiş şifreleme standardı (AES), RSA ve Güvenli Karma Algoritması 2 (SHA-256) gibi algoritmaları kullanarak verileri istirahatte şifreleyerek uçtan uca şifrelemeyi yaptığınızdan emin olun. Taşıma katmanı güvenliği (TLS) ve güvenli yuva katmanı (SSL) şifrelemesi de yararlıdır.
Bu temel önlemlerin yanı sıra, veri etiketleme ve nesne düzeyinde güvenlik gibi katmanlar dışında, takılabilir kimlik doğrulama modülleri (PAM) olarak adlandırılanları kullanarak ilişkisel olmayan verileri de güvence altına alabilirsiniz; Bu işlem, kullanıcıların NIST günlüğü gibi bir aracı kullanarak işlemlerini kaydettiğinizden emin olarak kullanıcıların kimliklerini doğrulamak için esnek bir yöntemdir. Son olarak, protokolde, veri düğümünde ve dağıtımın uygulama düzeylerinde otomatik veri girişi kullanarak siteler arası komut dosyası çalıştırma ve NoSQL ile HTTP protokolü arasındaki güvenlik açıklarını ortaya çıkaran fuzzing yöntemleri adı verilir.
3. Güvenli Veri Depolama ve İşlem Günlükleri
Depolama yönetimi, Big Data güvenlik denkleminin önemli bir parçasıdır. CSA, her dijital dosya veya belge için dijital bir tanımlayıcı sağlamak ve kötü amaçlı sunucu ajanları tarafından yetkisiz dosya değişikliklerini tespit etmek için güvenli ve güvenilir olmayan veri deposu (SUNDR) olarak adlandırılan bir teknik kullanmanızı önerir.
El kitabı, tembel iptal ve kilit rotasyon, yayın ve politika temelli şifreleme programları ve dijital haklar yönetimi (DRM) dahil olmak üzere başka bir takım teknikleri de listeler. Bununla birlikte, yalnızca mevcut güvenli bulut depolamanızı mevcut altyapının üzerine inşa etmenin bir alternatifi yoktur.
4. Uç Nokta Filtreleme ve Doğrulama
Uç nokta güvenliği her şeyden önemlidir ve kuruluşunuz güvenilir sertifikalar kullanarak, kaynak testi yaparak ve yalnızca güvenilir cihazları ağınıza bir mobil cihaz yönetimi (MDM) çözümü (antivirüs ve kötü amaçlı yazılımdan koruma yazılımı üzerine) kullanarak bağlayarak başlayabilir. Oradan, Sybil saldırılarına (yani, birden fazla kimlik olarak gizleyen bir varlık) ve kimlik sahtekarlığı saldırılarına karşı koruma sağlarken, kötü niyetli girdileri filtrelemek için istatistiksel benzerlik algılama tekniklerini ve dışlayıcı algılama tekniklerini kullanabilirsiniz.
5. Gerçek Zamanlı Uyum ve Güvenlik İzleme
Uyum her zaman işletmeler için bir baş ağrısıdır ve dahası, sürekli bir veri tufanıyla başa çıkarken bile. Yığının her seviyesinde gerçek zamanlı analiz ve güvenlikle başa çıkmak en iyisidir. CSA, kuruluşların Kerberos, güvenli kabuk (SSH) ve internet protokolü güvenliği (IPsec) gibi araçları kullanarak gerçek zamanlı verileri ele almasını önerir.
Bunu yaptıktan sonra, günlüğe kaydetme olaylarını düzenleyebilir, yönlendiriciler ve uygulama düzeyinde güvenlik duvarları gibi ön uç güvenlik sistemleri kurabilir ve bulut, küme ve uygulama düzeylerinde yığında güvenlik denetimleri uygulamaya başlayabilirsiniz. CSA ayrıca, Büyük Veri altyapınızı engellemeye çalışan kaçırma saldırılarına ve “veri zehirlenmesi” saldırılarına (yani izleme sisteminizi kandıran verileri tahrif edilmiş) saldırma konusunda dikkatli olmalarına da dikkat eder.
6. Veri Gizliliğini Koruyun
Sürekli büyüyen setlerde veri gizliliğini korumak gerçekten zor. CSA, anahtarın farklılaştırılmış mahremiyet - kayıt kimliğini en aza indirirken sorgu doğruluğunu en üst düzeye çıkarma - ve bulutta şifreli bilgileri depolamak ve işlemek için homomorfik şifreleme gibi teknikleri uygulayarak anahtarın "ölçeklenebilir ve oluşturulabilir" olduğunu söyledi. Bunun ötesinde, zımbalara dokunmama: CSA, mevcut gizlilik düzenlemelerine odaklanan çalışan bilinçlendirme eğitimi eklemeyi ve yetkilendirme mekanizmaları kullanarak yazılım altyapısını sürdürmeyi garantilemenizi önerir. Son olarak, en iyi uygulamalar, veritabanlarını birbirine bağlayan altyapıyı gözden geçirerek ve izleyerek birden fazla veritabanından veri sızıntısını kontrol eden "gizliliği koruyan veri bileşimi" adlı uygulamanın uygulanmasını teşvik eder.
7. Büyük Veri Şifreleme
Matematiksel şifreleme stil dışına çıkmadı; Aslında, çok daha gelişmiş hale geldi. Aranabilir simetrik şifreleme (SSE) protokolü gibi şifreli verileri aramak ve filtrelemek için bir sistem kurarak, işletmeler aslında Boolean sorgularını şifrelenmiş veriler üzerinde çalıştırabilir. Yüklendikten sonra, CSA çeşitli şifreleme teknikleri önerir.
İlişkisel şifreleme, tanımlayıcıları ve nitelik değerlerini eşleştirerek şifreleme anahtarlarını paylaşmadan şifreli verileri karşılaştırmanıza olanak sağlar. Kimlik tabanlı şifreleme (IBE), düz metnin belirli bir kimlik için şifrelenmesini sağlayarak ortak anahtar sistemlerinde anahtar yönetimini kolaylaştırır. Öznitelik tabanlı şifreleme (ABE) erişim denetimlerini bir şifreleme düzenine entegre edebilir. Son olarak, bulut sağlayıcılarının yinelenen verileri tanımlamasına yardımcı olmak için şifreleme anahtarlarını kullanan birleştirilmiş şifreleme var.
8. Granül Erişim Kontrolü
Erişim kontrolü, CSA'ya göre iki temel şeyle ilgilidir: kullanıcı erişimini kısıtlamak ve kullanıcı erişimini vermek. İşin püf noktası, herhangi bir senaryoda doğru olanı seçen bir politika oluşturmak ve uygulamaktır. Taneli erişim kontrolleri ayarlamak için, CSA'nın birkaç hızlı vuruş önerisi vardır:
Değişken elemanları normalleştirmek ve değişken elemanları denormalize etmek,
Gizlilik gereksinimlerini takip edin ve doğru şekilde uygulanmasını sağlayın,
Erişim etiketlerini koruyun,
Yönetici verilerini takip et,
Tek oturum açma (SSO) kullanın ve
Uygun veri federasyonunu korumak için bir etiketleme şeması kullanın.
9. Denetim, Denetim, Denetim
Granüler denetim, özellikle sisteminize yapılan bir saldırının ardından Büyük Veri güvenliğinde olmazsa olmazdır. CSA, kuruluşların herhangi bir saldırıdan sonra tutarlı bir denetim görünümü oluşturmasını ve olay müdahale süresini kısaltmak için bu verilere kolay erişim sağlarken tam bir denetim izi sağladığından emin olmalarını önerir.
Denetim bilgi bütünlüğü ve gizliliği de önemlidir. Denetim bilgileri ayrı ayrı depolanmalı ve granül kullanıcı erişim kontrolleri ve düzenli izleme ile korunmalıdır. Büyük Verilerinizi ve denetim verilerinizi ayrı tuttuğunuzdan ve denetim kurarken gerekli tüm kayıtları etkinleştirdiğinizden emin olun (mümkün olan en ayrıntılı bilgileri toplamak ve işlemek için). Açık kaynak kodlu bir denetim katmanı veya ElasticSearch gibi bir sorgu orkestratör aracı tüm bunları daha kolay hale getirebilir.
10. Veri Kanıtı
Veri kanıtlama, kime sorduğunuza bağlı olarak birçok farklı anlama gelebilir. Ancak CSA'nın kastettiği, Büyük Veri uygulamaları tarafından oluşturulan provenans meta verileridir. Bu, önemli bir koruma gerektiren diğer bir veri kategorisidir. CSA, öncelikle, periyodik durum güncellemelerini ayarlarken ve sağlama toplamları gibi mekanizmalar kullanarak sürekli olarak veri bütünlüğünü doğrularken erişimi kontrol eden bir altyapı kimlik doğrulama protokolü geliştirilmesini önerir.
Bunun da ötesinde, CSA'nın veri sağlama konusundaki en iyi uygulamalarının geri kalanı, listemizin geri kalanını yansıtıyor: dinamik ve ölçeklenebilir ayrıntılı erişim kontrolleri uygulamak ve şifreleme yöntemleri uygulamak. Kuruluşunuzda ve altyapı ve uygulama yığınızın her düzeyinde Büyük Veri güvenliği sağlamanın tek bir sırrı yoktur. Veri toplu işleriyle uğraşırken bu çok büyük, yalnızca kapsamlı bir BT güvenlik şeması ve kurumsal çapta kullanıcı tarafından satın alma, kuruluşunuza her 0 ve 1'in güvenli kalması için en iyi şansı verecektir.
