2014年,雖然大數(shù)據(jù)應(yīng)用還沒有深入普及,但是已經(jīng)有越來越多的行業(yè)用戶嘗試引入大數(shù)據(jù)相關(guān)技術(shù)解決如何管理、利用日益增長的各類數(shù)據(jù),而往往隨之的安全問題也日益受到關(guān)注,為了確保防止黑客盜竊數(shù)據(jù)信息的風(fēng)險,企業(yè)應(yīng)該在轉(zhuǎn)移到充分利用大數(shù)據(jù)的優(yōu)勢的同時,也相當(dāng)有必要采取相關(guān)的安全措施來保護(hù)他們數(shù)據(jù)資產(chǎn)的完整性。國外著名的SSH通信安全專家Matthew bring日前撰文分析當(dāng)前存在安全問題現(xiàn)狀,指出無視M2M身份驗(yàn)證的風(fēng)險是非?膳碌,而這些授權(quán)的管理不善可能導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露,Matthew bring還給出一定的解決方案,最后呼吁增強(qiáng)身份管理,保證大數(shù)據(jù)安全。
以下為原文:
大數(shù)據(jù)不再是白日夢。各行業(yè)組織機(jī)構(gòu)正在以越來越快的速度篩選從網(wǎng)絡(luò)數(shù)據(jù)中得出的可行性結(jié)論。90%的全球數(shù)據(jù)都是在過去的兩年中產(chǎn)生的,數(shù)據(jù)背后隱藏的是對用戶行為和市場趨勢的洞察,這些洞察可能永遠(yuǎn)都無法通過其他渠道獲得,就連白宮甚至都已參與進(jìn)來,他們近期在大數(shù)據(jù)研究項(xiàng)目上投資了2億美元。
隨著大數(shù)據(jù)變得更加容易使用,人們對安全訪問敏感數(shù)據(jù)集和其他領(lǐng)域的網(wǎng)絡(luò)等也更加關(guān)注。如果企業(yè)希望不冒著數(shù)據(jù)泄漏的風(fēng)險從大數(shù)據(jù)中獲利,這些問題就必須得到有效解決。
確保M2M身份安全
要進(jìn)行大數(shù)據(jù)分析,需要把大型數(shù)據(jù)集劃分成更易于管理的單個部分,然后分別通過Hadoop集群處理,最后將它們重新組合以產(chǎn)生所需分析。該過程高度自動化,涉及大量跨集群的機(jī)器對機(jī)器(M2M)交互。
在Hadoop的基礎(chǔ)設(shè)施會發(fā)生幾個層次的授權(quán),具體包括:
1.訪問Hadoop集群
2.簇間通信
3.集群訪問數(shù)據(jù)源
這些授權(quán)往往是基于SSH(Secure Shell)密鑰的,其對于使用Hadoop是理想的,因其安全級別支持自動化的M2M通信。
許多基于流行的基于云計(jì)算的Hadoop服務(wù)也使用SSH作為訪問Hadoop集群的認(rèn)證方法。確保了授予訪問大數(shù)據(jù)環(huán)境中的身份應(yīng)該是一個高優(yōu)先級的,但其也具有挑戰(zhàn)性。這對于那些想要像使用Hadoop一樣使用大數(shù)據(jù)分析的公司來說是一個很大的挑戰(zhàn)。有些問題直截了當(dāng):
- 誰來建立運(yùn)行大數(shù)據(jù)分析的授權(quán)?
- 一旦建立授權(quán)的人離職,會出現(xiàn)什么問題?
- 授權(quán)提供的訪問級別是否基于“須知”安全準(zhǔn)則?
- 誰可以訪問授權(quán)?
- 如何管理這些授權(quán)?
大數(shù)據(jù)并不是需要考慮這些問題的唯一技術(shù)。當(dāng)越來越多的業(yè)務(wù)流程自動化,這些問題將遍布數(shù)據(jù)中心。自動化的M2M交易占到了數(shù)據(jù)中心所有通信的80%,然而大部分管理員則把焦點(diǎn)集中在員工帳戶相關(guān)聯(lián)的20%的通信流量。大數(shù)據(jù)將成為下一個殺手級應(yīng)用,全面管理以機(jī)器為主的身份變得迫在眉睫。
風(fēng)險
眾所周知的數(shù)據(jù)泄漏包括濫用以機(jī)器為主的證書,這體現(xiàn)了忽視M2M身份驗(yàn)證的現(xiàn)實(shí)風(fēng)險。當(dāng)企業(yè)在管理終端用戶身份上取得很大進(jìn)步時,卻忽視了應(yīng)以同樣標(biāo)準(zhǔn)處理機(jī)器為主的身份驗(yàn)證的需求。其結(jié)果就是使整個IT環(huán)境遍布風(fēng)險。
然而,對于想要將集中的身份和存取管理(盡可能的)應(yīng)用到數(shù)百萬基于機(jī)器的身份來說,改變運(yùn)行中的系統(tǒng)是一個很大的挑戰(zhàn)。不中斷系統(tǒng)遷移環(huán)境是一項(xiàng)復(fù)雜的工作,所以企業(yè)一直在猶豫也不足為奇。
密鑰管理的不良狀況
密鑰管理的現(xiàn)狀一直很糟糕。為了管理用于保護(hù)M2M通信的認(rèn)證密鑰,許多系統(tǒng)管理員使用電子表格或自編腳本來控制分配、監(jiān)控和清點(diǎn)密鑰。這種做法漏掉了許多密鑰。想來他們也沒有設(shè)置常規(guī)掃描,于是未被授權(quán)的非法途徑便在不知不覺中添加進(jìn)來。
缺少對密鑰的集中控制嚴(yán)重影響法規(guī)遵從。以金融行業(yè)為例,規(guī)定要求必須嚴(yán)格控制誰可以訪問敏感數(shù)據(jù),比如最近強(qiáng)化了的PCI標(biāo)準(zhǔn)要求任何接受支付卡的地方——銀行、零售商、餐館和醫(yī)院等——均需依照同樣標(biāo)準(zhǔn)執(zhí)行,無一例外。由于這些行業(yè)目前正在迅速果斷的執(zhí)行大數(shù)據(jù)戰(zhàn)略,來分得用戶驅(qū)動數(shù)據(jù)大潮的一杯羹,他們越來越容易違背法規(guī)并面臨監(jiān)管制裁。
安全步驟
組織機(jī)構(gòu)必須承認(rèn)并應(yīng)對這些風(fēng)險。這些步驟是行動開始的最佳做法:
- 很少有IT人員知道身份的存儲位置、訪問權(quán)限,以及其支持的業(yè)務(wù)流程。因此,第一步是被動非侵入的發(fā)現(xiàn)。
- 環(huán)境監(jiān)測是必須的,這樣才能確定哪些身份是活躍的,哪些不是。幸運(yùn)的是,在許多企業(yè)中,未使用的——因此也是不需要的——身份往往占絕大多數(shù)。一旦這些未使用的身份被定位并移除,整體工作量便會大大降低。
- 下一步是集中控制添加、更改和刪除機(jī)器身份。這樣一來,政策便可以控制身份如何使用,確保沒有非托管的身份添加,并提供法規(guī)遵從的有效證明。
- 隨著可見性和管理控制的確定,必要但在違反政策的身份可以在不中斷業(yè)務(wù)流程的情況下進(jìn)行校正。集中管理可對該身份的權(quán)限級別進(jìn)行修正。
安全策略
大數(shù)據(jù)的興起伴隨著數(shù)據(jù)存取控制的新型風(fēng)險。M2M身份管理必不可少,但是傳統(tǒng)的人工IAM做法效率低且風(fēng)險高。盤點(diǎn)所有密鑰,使用最優(yōu)方法可以節(jié)省時間和金錢,同時提高安全性和法規(guī)遵從。由于大數(shù)據(jù)增加了訪問敏感信息的認(rèn)證門檻,組織機(jī)構(gòu)必須采取積極措施,推出全面一致的身份和存取管理策略。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:大數(shù)據(jù)安全:應(yīng)增強(qiáng)身份管理
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839717700.html