监察者称：云安全风险潜伏在大数据项目中

业务咨询公司UHY Advisors技术保障部门负责人David Barton表示，很多企业使用亚马逊弹性云计算、微软Windows Azure或者其他云基础设施供应商的云计算服务来进行大数据分析，因为大数据分析项目
往往需要足够的计算能力来进行大规模数据分析。虽然这些云计算服务能够帮助企业捕捉、管理和分析TB级结构化和非结构化数据，
但是，如果系统没有收到保护或者受到监管，这些服务可能带来数据泄漏、账户或服务劫持、或者滥用的风险。在监测和信息安全培训机构MIS Training Institute的大数据安全会议上，Barton表示，经常有业务部门绕过IT团队使用信用卡来租用云计算基础设施。企业高管想要从数据挖掘出最大价值，并且他们希望在短时间内实现。“大多数大数据项目的主要驱动力不是安全性，
而是销量，”Barton表示，“快速的分析和部署是使用云计算的主要原因，而数据安全性和隐私性会减慢这种速度，
所以，业务部门会想办法绕过IT团队。”云安全联盟和其他组织已经明确指出了云计算的潜在风险。专家称，
大量不适当的云部署给渠道解决方案供应商带来了潜在的业务机会。对于租用计算能力，基础设施即服务供应商通常是最便宜的选择，但“便宜没好货”，它也带来最大的风险。除非企业选择租用私有云，公共云环境中的基础设施通常是与其他用户共用的;数据的位置往往是不确定的，这增加了数据泄漏的风险。除了共享基础设施，这些系统也可能“共享”技术漏洞，使其很容易受到攻击者的攻击。
例如，拒绝服务攻击可能导致云计算服务中断，让系统在长时间内无法访问。Barton表示，与大数据相关的工具通常也不太安全。例如，常用于
对大量数据进行深度分析的Hadoop就缺乏安全功能，经常默
认为“接受所有访问”。Barton建议Hadoop用户部署Kerberos来保护信息的安全性，Kerberos是一个网络验证协议。该协议在Hadoop受支持，但并没有被广泛使用。另外，企业还应该部署文件加密和密钥管理来保护数据。服务器需要
经过验证，以确保每个节点联网时采取了必要的安全措施。Barton指出：“在接入新节点前，请确保它预设置了其他节点采取的安全措施。”在调查安全故障时，日志管理和积极地查看日志可以帮助发现攻击、诊断故障和协助IT团队。企业在传输敏感信息时，还应该采用SSL和TLS安全协议。作为审计师，Barton表示，他通常
还会查看证明企业定期检查控制的文件，以及是否部署了相关政策。安全政策必须有效地传达，并具有执行机制。“大数据与云计算关系密切，所以云计算风险等同于大数据风险，”Barton表示，“关键的问题是：你的企业是否能够承担其面临的风险?”(邹铮编译)【编辑推荐】Gartner：实现高水平云安全还任重道远中美云安全现状及其存在的问题【责任编辑：蓝雨泪 TEL：（010）68476606】 原文：监察者称：云安全风险潜伏在大数据项目中 返回网络安全首页