2014年,虽然大数据应用还没有深入普及,但是已经有越来越多的行业用户尝试引入大数据相关技术解决如何管理、利用日益增长的各类数据,而往往随之的安全问题也日益受到关注,为了确保防止黑客盗窃数据信息的风险,企业应该在转移到充分利用大数据的优势的同时,也相当有必要采取相关的安全措施来保护他们数据资产的完整性。国外著名的SSH通信安全专家Matthew bring日前撰文分析当前存在安全问题现状,指出无视M2M身份验证的风险是非常可怕的,而这些授权的管理不善可能导致严重的数据泄露,Matthew bring还给出一定的解决方案,最后呼吁增强身份管理,保证大数据安全。
以下为原文:
大数据不再是白日梦。各行业组织机构正在以越来越快的速度筛选从网络数据中得出的可行性结论。90%的全球数据都是在过去的两年中产生的,数据背后隐藏的是对用户行为和市场趋势的洞察,这些洞察可能永远都无法通过其他渠道获得,就连白宫甚至都已参与进来,他们近期在大数据研究项目上投资了2亿美元。
随着大数据变得更加容易使用,人们对安全访问敏感数据集和其他领域的网络等也更加关注。如果企业希望不冒着数据泄漏的风险从大数据中获利,这些问题就必须得到有效解决。
确保M2M身份安全
要进行大数据分析,需要把大型数据集划分成更易于管理的单个部分,然后分别通过Hadoop集群处理,最后将它们重新组合以产生所需分析。该过程高度自动化,涉及大量跨集群的机器对机器(M2M)交互。
在Hadoop的基础设施会发生几个层次的授权,具体包括:
访问Hadoop集群
簇间通信
集群访问数据源
这些授权往往是基于SSH(Secure Shell)密钥的,其对于使用Hadoop是理想的,因其安全级别支持自动化的M2M通信。
许多基于流行的基于云计算的Hadoop服务也使用SSH作为访问Hadoop集群的认证方法。确保了授予访问大数据环境中的身份应该是一个高优先级的,但其也具有挑战性。这对于那些想要像使用Hadoop一样使用大数据分析的公司来说是一个很大的挑战。有些问题直截了当:
谁来建立运行大数据分析的授权?
一旦建立授权的人离职,会出现什么问题?
授权提供的访问级别是否基于“须知”安全准则?
谁可以访问授权?
如何管理这些授权?
大数据并不是需要考虑这些问题的唯一技术。当越来越多的业务流程自动化,这些问题将遍布数据中心。自动化的M2M交易占到了数据中心所有通信的80%,然而大部分管理员则把焦点集中在员工帐户相关联的20%的通信流量。大数据将成为下一个杀手级应用,全面管理以机器为主的身份变得迫在眉睫。
风险
众所周知的数据泄漏包括滥用以机器为主的证书,这体现了忽视M2M身份验证的现实风险。当企业在管理终端用户身份上取得很大进步时,却忽视了应以同样标准处理机器为主的身份验证的需求。其结果就是使整个IT环境遍布风险。
然而,对于想要将集中的身份和存取管理(尽可能的)应用到数百万基于机器的身份来说,改变运行中的系统是一个很大的挑战。不中断系统迁移环境是一项复杂的工作,所以企业一直在犹豫也不足为奇。
密钥管理的不良状况
密钥管理的现状一直很糟糕。为了管理用于保护M2M通信的认证密钥,许多系统管理员使用电子表格或自编脚本来控制分配、监控和清点密钥。这种做法漏掉了许多密钥。想来他们也没有设置常规扫描,于是未被授权的非法途径便在不知不觉中添加进来。
缺少对密钥的集中控制严重影响法规遵从。以金融行业为例,规定要求必须严格控制谁可以访问敏感数据,比如最近强化了的PCI标准要求任何接受支付卡的地方——银行、零售商、餐馆和医院等——均需依照同样标准执行,无一例外。由于这些行业目前正在迅速果断的执行大数据战略,来分得用户驱动数据大潮的一杯羹,他们越来越容易违背法规并面临监管制裁。
安全步骤
组织机构必须承认并应对这些风险。这些步骤是行动开始的最佳做法:
很少有IT人员知道身份的存储位置、访问权限,以及其支持的业务流程。因此,第一步是被动非侵入的发现。
环境监测是必须的,这样才能确定哪些身份是活跃的,哪些不是。幸运的是,在许多企业中,未使用的——因此也是不需要的——身份往往占绝大多数。一旦这些未使用的身份被定位并移除,整体工作量便会大大降低。
下一步是集中控制添加、更改和删除机器身份。这样一来,政策便可以控制身份如何使用,确保没有非托管的身份添加,并提供法规遵从的有效证明。
随着可见性和管理控制的确定,必要但在违反政策的身份可以在不中断业务流程的情况下进行校正。集中管理可对该身份的权限级别进行修正。
安全策略
大数据的兴起伴随着数据存取控制的新型风险。M2M身份管理必不可少,但是传统的人工IAM做法效率低且风险高。盘点所有密钥,使用最优方法可以节省时间和金钱,同时提高安全性和法规遵从。由于大数据增加了访问敏感信息的认证门槛,组织机构必须采取积极措施,推出全面一致的身份和存取管理策略。