10 Cele mai bune practici pentru securizarea datelor mari

Fiecare afacere dorește să strângă trove de informații de afaceri (BI), la fel de multe date ca executivi, marketeri și orice alte departamente din organizație pot pune mâna pe mâna lor. Dar, după ce ați obținut aceste date, dificultatea constă nu numai în analizarea lacului masiv de date pentru a găsi informațiile cheie pentru care căutați (fără a fi inundate de volumul pur de informații), ci și pentru a asigura toate aceste date..

Așadar, în timp ce departamentul IT al companiei și oamenii de știință de date utilizează algoritmi de analiză predictivă, vizualizări de date și utilizează un arsenal de alte tehnici de analiză a datelor din Big Data pe care le-ați colectat, afacerea dvs. trebuie să se asigure că nu există scurgeri sau puncte slabe în rezervor.

În acest scop, Cloud Security Alliance (CSA) a lansat recent The Hand Data Security and Privacy Handbook: 100 Best Practices in Big Data Security and Privacy. Lista lungă de bune practici este distribuită în 10 categorii, astfel încât am redat cele mai bune practici până la 10 sfaturi pentru a vă ajuta departamentul IT să vă blocheze datele cheie de afaceri. Aceste sfaturi utilizează un arsenal de tehnici de stocare a datelor, criptare, guvernare, monitorizare și securitate.

1. Protejați cadrele de programare distribuite

Cadrele de programare distribuite, cum ar fi Hadoop, constituie o parte uriașă a distribuțiilor moderne Big Data, dar acestea prezintă un risc grav de scurgere a datelor. De asemenea, vin cu ceea ce se numește „mapatori de încredere” sau date din mai multe surse care pot produce rezultate agregate pe erori.

CSA recomandă ca organizațiile să își stabilească mai întâi încrederea folosind metode precum Autentificarea Kerberos, asigurând în același timp conformitatea cu politicile de securitate predefinite. Apoi, „dezidentificați” datele prin decuplarea tuturor informațiilor de identificare personală (PII) de la date pentru a vă asigura că confidențialitatea personală nu este compromisă. De acolo, autorizați accesul la fișiere cu o politică de securitate predefinită și apoi vă asigurați că codul neîncredibil nu scurge informațiile prin resursele sistemului, folosind controlul de acces obligatoriu (MAC), cum ar fi instrumentul Sentry din Apache HBase. După aceea, partea grea s-a terminat, deoarece tot ce ne rămâne de făcut este să ne ferim de scurgerea de date cu o întreținere regulată. Departamentul IT ar trebui să verifice nodurile lucrătorilor și maparii din cloud sau mediul virtual și să fie atent pentru nodurile false și duplicatele de date modificate.

2. Securizați-vă datele non-relaționale

Bazele de date non-relaționale, cum ar fi NoSQL, sunt comune, dar sunt vulnerabile la atacuri precum injecția NoSQL; CSA listează o mulțime de contramăsuri care trebuie protejate împotriva acestui lucru. Începeți prin criptarea sau modificarea parolelor și asigurați-vă că vă asigurați criptarea end-to-end prin criptarea datelor în repaus folosind algoritmi precum standardul avansat de criptare (AES), RSA și Secure Hash Algorithm 2 (SHA-256). Criptarea securității stratului de transport (TLS) și securizarea stratului de socluri (SSL) sunt de asemenea utile.

Dincolo de aceste măsuri de bază, plus straturi, cum ar fi etichetarea datelor și securitatea la nivel de obiect, puteți, de asemenea, să securizați date non-relaționale utilizând ceea ce se numește module de autentificare conectabile (PAM); aceasta este o metodă flexibilă pentru autentificarea utilizatorilor în timp ce vă asigurați că înregistrați tranzacțiile folosind un instrument precum Jurnalul de înregistrare. În cele din urmă, există ceea ce se numește metode fuzzing, care expun scripturi cross-site și injectarea vulnerabilităților între NoSQL și protocolul HTTP prin utilizarea intrării automate de date la protocol, nodul de date și nivelurile de aplicație ale distribuției.

3. Securizarea stocării datelor și a jurnalelor de tranzacții

Gestionarea stocării este o parte cheie a ecuației de securitate Big Data. CSA recomandă utilizarea digestiilor de mesaje semnate pentru a furniza un identificator digital pentru fiecare fișier sau document digital și pentru a utiliza o tehnică numită depozit de date sigure și de încredere (SUNDR) pentru a detecta modificări de fișiere neautorizate de către agenții de server rău intenționat.

Acest manual listează și o serie de alte tehnici, inclusiv revocarea leneșă și rotirea cheilor, schemele de criptare bazate pe politici și politici și gestionarea drepturilor digitale (DRM). Cu toate acestea, nu există niciun înlocuitor pentru simpla construire a propriului dvs. spațiu de stocare securizat pe partea de sus a infrastructurii existente.

4. Filtrare și validare finală

Securitatea Endpoint este extrem de importantă, iar organizația dvs. poate începe prin utilizarea certificatelor de încredere, testarea resurselor și conectarea numai a dispozitivelor de încredere la rețeaua dvs. utilizând o soluție de gestionare a dispozitivelor mobile (MDM) (pe partea de sus a software-ului de protecție antivirus și malware). De acolo, puteți utiliza tehnici de detectare a similarității statistice și tehnici de detecție anterioară pentru a filtra intrările rău intenționate, păstrând în același timp atacurile Sybil (adică, o entitate care se maschează ca identități multiple) și atacuri de spoofing ID.

5. Conformitatea în timp real și monitorizarea securității

Conformitatea este întotdeauna o durere de cap pentru întreprinderi și, cu atât mai mult, atunci când aveți de-a face cu o diluare constantă de date. Cel mai bine este să abordați acest lucru cu analize și securitate în timp real la fiecare nivel al stivei. CSA recomandă organizațiilor să aplice analitice Big Data prin utilizarea instrumentelor precum Kerberos, shell-ul securizat (SSH) și securitatea protocolului internet (IPsec) pentru a obține un control asupra datelor în timp real.

După ce faceți acest lucru, puteți să minați evenimente de logare, să implementați sisteme de securitate frontale, cum ar fi routere și firewall-uri la nivel de aplicație și să începeți să implementați controale de securitate în toată stiva la nivel de cloud, cluster și aplicații. CSA avertizează, de asemenea, întreprinderile să se preocupe de atacurile de evaziune care încearcă să ocolească infrastructura Big Data și ceea ce se numește atacuri de „intoxicație a datelor” (adică date falsificate care îți păcălesc sistemul de monitorizare).

6. Păstrați confidențialitatea datelor

Menținerea confidențialității datelor în seturi în continuă creștere este într-adevăr dificilă. CSA a spus că cheia este să fie „scalabilă și compozibilă”, prin implementarea tehnicilor precum confidențialitatea diferențială - maximizarea preciziei interogărilor, minimizând identificarea înregistrării - și criptarea omomorfă pentru stocarea și procesarea informațiilor criptate în cloud. Dincolo de asta, nu vă lăsați pe capse: CSA recomandă încorporarea unei formări de sensibilizare a angajaților care se concentrează pe reglementările actuale de confidențialitate și asigurați-vă că mențineți infrastructura software prin utilizarea mecanismelor de autorizare. În cele din urmă, cele mai bune practici încurajează implementarea a ceea ce se numește „compoziția datelor de conservare a vieții private”, care controlează scurgerile de date din mai multe baze de date prin revizuirea și monitorizarea infrastructurii care leagă bazele de date împreună.

7. Criptografia Big Data

Criptografia matematică nu a ieșit din stil; de fapt, a fost mult mai avansat. Prin construirea unui sistem de căutare și filtrare a datelor criptate, cum ar fi protocolul de criptare simetrică (SSE) căutător, întreprinderile pot efectiv efectua interogări booleane pe date criptate. După ce este instalat, CSA recomandă o varietate de tehnici criptografice.

Criptarea relațională vă permite să comparați datele criptate fără a partaja cheile de criptare prin potrivirea identificatorilor și a valorilor atributului. Criptarea bazată pe identitate (IBE) face gestionarea cheilor mai ușoară în sistemele publice de chei, permițând cifrarea textului complet pentru o anumită identitate. Criptarea bazată pe atribute (ABE) poate integra controalele de acces într-o schemă de criptare. În cele din urmă, există o criptare convergentă, care utilizează chei de criptare pentru a ajuta furnizorii de cloud să identifice datele duplicate.

8. Control acces granular

Controlul accesului reprezintă aproximativ două aspecte de bază în conformitate cu CSA: restricționarea accesului utilizatorului și acordarea accesului utilizatorului. Trucul este să construiți și să implementați o politică care să o aleagă pe cea potrivită în orice scenariu dat. Pentru a configura controale de acces granulare, CSA are o mulțime de sfaturi rapide:

Normalizați elementele mutabile și denormalizează elementele imuabile,

Urmăriți cerințele privind secretul și asigurați implementarea corectă,

Mențineți etichetele de acces,

Urmăriți datele de administrare,

Folosiți conectarea unică (SSO) și

Utilizați o schemă de etichetare pentru a menține o federație adecvată de date.

9. Audit, Audit, Audit

Auditul granular este un element indispensabil în securitatea Big Data, în special după un atac asupra sistemului dumneavoastră. CSA recomandă organizațiilor să creeze o vedere de audit coezivă în urma oricărui atac și să fie siguri că furnizează o pistă de audit completă, asigurând în același timp acces facil la aceste date pentru a reduce timpul de răspuns la incident.

Integritatea informațiilor de audit și confidențialitatea sunt, de asemenea, esențiale. Informațiile privind auditul ar trebui stocate separat și protejate cu controale de acces la utilizatori granulari și monitorizare periodică. Asigurați-vă că păstrați separat datele dvs. de Big Data și de audit și activați toate înregistrările necesare atunci când configurați auditul (pentru a colecta și prelucra informațiile cele mai detaliate posibile). Un strat de audit open-source sau un instrument de orchestrator de interogare, cum ar fi ElasticSearch, pot face mai ușor de făcut toate acestea.

10. Proveniența datelor

Proveniența datelor poate însemna o serie de lucruri diferite, în funcție de cine întrebați. Dar la care se referă CSA este metadatele de proveniență generate de aplicațiile Big Data. Aceasta este o altă categorie de date care are nevoie de protecție semnificativă. CSA recomandă mai întâi dezvoltarea unui protocol de autentificare a infrastructurii care controlează accesul, în timp ce configurează actualizări periodice de stare și verifică continuu integritatea datelor, utilizând mecanisme precum sumele de verificare.

În plus, restul celor mai bune practici CSA pentru proveniența datelor răsună în restul listei noastre: implementează controale de acces granulare dinamice și scalabile și implementează metode de criptare. Nu există niciun singur truc secret care să asigure securitatea Big Data în organizația dvs. și la fiecare nivel al infrastructurii și stivei de aplicații. Atunci când se ocupă de loturile de date această vastă, doar o schemă de securitate IT complet exhaustivă și achiziționarea de utilizatori la nivelul întregii întreprinderi vor oferi organizației dvs. cea mai bună șansă de a menține toate ultimele 0 și 1 în siguranță.