业务咨询公司UHY Advisors技术保障部门负责人David Barton表示,很多企业使用亚马逊弹性云计算、微软Windows Azure或者其他云基础设施供应商的云计算服务来进行大数据分析,因为大数据分析项目往往需要足够的计算能力来进行大规模数据分析。虽然这些云计算服务能够帮助企业捕捉、管理和分析TB级结构化和非结构化数据,但如果系统没有受到保护或者受到监管,这些服务可能带来数据泄漏、账户或服务劫持、或者滥用的风险。
在监测和信息安全培训机构MIS Training Institute的大数据安全会议上,Barton表示,经常有业务部门绕过IT团队使用信用卡来租用云计算基础设施。企业高管想要从数据挖掘出最大价值,并且他们希望在短时间内实现。
“大多数大数据项目的主要驱动力不是安全性,而是销量,”Barton表示,“快速的分析和部署是使用云计算的主要原因,而数据安全性和隐私性会减慢这种速度,所以,业务部门会想办法绕过IT团队。”
云安全联盟和其他组织已经明确指出了云计算的潜在风险。专家称,大量不适当的云部署给渠道解决方案供应商带来了潜在的业务机会。对于租用计算能力,基础设施即服务供应商通常是最便宜的选择,但“便宜没好货”,它也带来最大的风险。除非企业选择租用私有云,公共云环境中的基础设施通常是与其他用户共用的;数据的位置往往是不确定的,这增加了数据泄漏的风险。
除了共享基础设施,这些系统也可能“共享”技术漏洞,使其很容易受到攻击者的攻击。例如,拒绝服务攻击可能导致云计算服务中断,让系统在长时间内无法访问。
Barton表示,与大数据相关的工具通常也不太安全。例如,常用于对大量数据进行深度分析的Hadoop就缺乏安全功能,经常默认为“接受所有访问”。
Barton建议Hadoop用户部署Kerberos来保护信息的安全性,Kerberos是一个网络验证协议。该协议在Hadoop受支持,但并没有被广泛使用。
另外,企业还应该部署文件加密和密钥管理来保护数据。服务器需要经过验证,以确保每个节点联网时采取了必要的安全措施。Barton指出:“在接入新节点前,请确保它预设置了其他节点采取的安全措施。”
在调查安全故障时,日志管理和积极地查看日志可以帮助发现攻击、诊断故障和协助IT团队。企业在传输敏感信息时,还应该采用SSL和TLS安全协议。
作为审计师,Barton表示,他通常还会查看证明企业定期检查控制的文件,以及是否部署了相关政策。安全政策必须有效地传达,并具有执行机制。
“大数据与云计算关系密切,所以云计算风险等同于大数据风险,”Barton表示,“关键的问题是:你的企业是否能够承担其面临的风险?”