Video: Reklamy s vypnutým zvukom | Programové pravidlá služby AdSense (November 2024)
Každé podnikanie chce zbierať informácie o obchodných informáciách (BI), rovnako ako údaje, ktoré môžu získať vedúci pracovníci, obchodníci a všetky ostatné oddelenia v organizácii. Ale akonáhle tieto údaje získate, problém spočíva nielen v analýze obrovského dátového jazera na nájdenie kľúčových poznatkov, ktoré hľadáte (bez toho, aby ste boli zaplavení samotným objemom informácií), ale aj v zabezpečení všetkých týchto údajov.,
Takže zatiaľ čo vaše podnikové IT oddelenie a vedci údajov používajú prediktívne analytické algoritmy, vizualizácie údajov a používajú arzenál iných techník analýzy údajov na zhromaždených veľkých údajoch, vaša firma musí zabezpečiť, aby nedošlo k únikom alebo slabým miestam. v zdrži.
Za týmto účelom vydala Cloud Security Alliance (CSA) nedávno publikáciu Príručka zabezpečenia a ochrany osobných údajov: 100 najlepších postupov v oblasti zabezpečenia a ochrany osobných údajov. Dlhý zoznam osvedčených postupov je rozšírený do 10 kategórií, preto sme osvedčené postupy zúžili na 10 tipov, ktoré pomôžu vášmu oddeleniu IT zamknúť vaše kľúčové obchodné údaje. Tieto tipy využívajú arzenál techník ukladania údajov, šifrovania, správy, monitorovania a zabezpečenia.
1. Zabezpečiť distribuované programovacie rámce
Distribuované programovacie rámce, ako napríklad Hadoop, tvoria obrovskú súčasť moderných distribúcií veľkých dát, ale prichádzajú so závažným rizikom úniku údajov. Prichádzajú tiež s tzv. Nedôveryhodnými mapovačmi alebo údajmi z viacerých zdrojov, ktoré môžu viesť k agregovaným výsledkom s chybou.
CSA odporúča, aby organizácie najskôr nadviazali dôveru pomocou metód, ako je napríklad autentifikácia Kerberos, pričom sa zabezpečí súlad s vopred definovanými bezpečnostnými politikami. Potom údaje „de-identifikujete“ oddelením všetkých informácií umožňujúcich identifikáciu osôb (PII) od údajov, aby ste zabezpečili, že nebude ohrozená ochrana osobných údajov. Odtiaľ autorizujete prístup k súborom s preddefinovanou bezpečnostnou politikou a potom zabezpečíte, aby nedôveryhodný kód nevypúšťal informácie prostredníctvom systémových prostriedkov pomocou povinného riadenia prístupu (MAC), ako je napríklad nástroj Sentry v Apache HBase. Potom je tvrdá časť skončená, pretože všetko, čo zostáva, je ochrana pred únikom údajov pri pravidelnej údržbe. Oddelenie IT by malo kontrolovať pracovné uzly a mapovače vo vašom cloude alebo virtuálnom prostredí a dávať pozor na falošné uzly a meniť duplikáty údajov.
2. Zabezpečte svoje nerelačné údaje
Non-relačné databázy, ako je NoSQL, sú bežné, ale sú zraniteľné voči útokom, ako je injekcia NoSQL; v CSA je uvedený zoznam protiopatrení, ktoré ich majú chrániť. Začnite šifrovaním alebo hashovaním hesiel a nezabudnite zabezpečiť šifrovanie end-to-end šifrovaním údajov v pokoji pomocou algoritmov, ako sú pokročilý šifrovací štandard (AES), RSA a algoritmus Secure Hash Algorithm 2 (SHA-256). Užitočné je tiež zabezpečenie transportnej vrstvy (TLS) a šifrovanie SSL (Secure Sockets Layer).
Okrem týchto základných opatrení, ako sú vrstvy, ako je označovanie údajov a zabezpečenie na úrovni objektov, môžete zaistiť aj nerelačné údaje pomocou tzv. Zásuvných autentifikačných modulov (PAM); je to flexibilná metóda na autentifikáciu používateľov, pričom je potrebné protokolovať transakcie pomocou nástroja, ako je napríklad protokol NIST. Nakoniec existujú tzv. Fuzzingové metódy, ktoré odhaľujú skriptovanie medzi rôznymi servermi a injektovanie zraniteľností medzi NoSQL a protokolom HTTP pomocou automatizovaného vkladania údajov v protokole, dátovom uzle a aplikačnej úrovni distribúcie.
3. Zabezpečené protokoly ukladania údajov a transakcií
Správa úložiska je kľúčovou súčasťou bezpečnostnej rovnice veľkých dát. CSA odporúča používať podpísané prehľady správ na zabezpečenie digitálneho identifikátora pre každý digitálny súbor alebo dokument a na detekciu neoprávnených úprav súborov škodlivými serverovými agentmi použiť techniku nazývanú bezpečné nedôveryhodné úložisko údajov (SUNDR).
V tejto príručke je uvedený aj rad ďalších techník vrátane lenivého zrušenia a rotácie kľúčov, vysielacích a šifrovacích schém založených na politikách a správy digitálnych práv (DRM). Neexistuje však žiadna náhrada za jednoducho budovanie vlastného bezpečného cloudového úložiska nad existujúcou infraštruktúrou.
4. Filtrovanie a overovanie koncových bodov
Bezpečnosť koncových bodov je prvoradá a vaša organizácia môže začať používaním dôveryhodných certifikátov, testovaním zdrojov a pripojením iba dôveryhodných zariadení k svojej sieti pomocou riešenia správy mobilných zariadení (MDM) (okrem antivírusového softvéru a softvéru na ochranu pred malvérom). Odtiaľ môžete pomocou techník zisťovania štatistickej podobnosti a odľahlých detekčných techník filtrovať škodlivé vstupy a zároveň chrániť pred útokmi Sybil (tj jedinou entitou maskovanou ako viac totožností) a útokmi spoofing ID.
5. Dodržiavanie predpisov v reálnom čase a monitorovanie bezpečnosti
Dodržiavanie predpisov je pre podniky vždy bolesť hlavy, a to ešte viac, keď máte čo do činenia s neustálym prívodom údajov. Najlepšie je to riešiť priamo s analýzou v reálnom čase a bezpečnosťou na všetkých úrovniach zásobníka. CSA odporúča, aby organizácie používali analytické nástroje Big Data pomocou nástrojov ako Kerberos, secure shell (SSH) a security internet protocol (IPsec), aby získali informácie o údajoch v reálnom čase.
Akonáhle to urobíte, môžete ťažiť logovanie udalostí, nasadiť front-end bezpečnostné systémy, ako sú smerovače a aplikačné firewally, a začať implementovať bezpečnostné kontroly v celom zásobníku na úrovni cloudu, klastra a aplikácie. CSA tiež upozorňuje podniky, aby sa vyhýbali útokom na úniky, ktoré sa snažia obísť vašu infraštruktúru veľkých dát, a tým, čo sa nazýva útoky na „otravu dát“ (tj falšované údaje, ktoré podvádzajú váš monitorovací systém).
6. Zachovanie súkromia údajov
Udržiavanie súkromia údajov v stále rastúcich množinách je skutočne ťažké. Podľa CSA je kľúčom „škálovateľný a skladateľný“ implementáciou techník, ako je napríklad rozdielne súkromie - maximalizácia presnosti dotazu pri minimalizácii identifikácie záznamu - a homomorfné šifrovanie na ukladanie a spracovanie šifrovaných informácií v cloude. Okrem toho, neskúšajte základné informácie: CSA odporúča začleniť školenie zamerané na zvyšovanie povedomia zamestnancov, ktoré sa zameriava na súčasné nariadenia o ochrane osobných údajov, a uistiť sa, že budete udržiavať softvérovú infraštruktúru pomocou autorizačných mechanizmov. Najlepšie postupy nakoniec podporujú implementáciu tzv. Zloženia údajov na ochranu súkromia, ktoré kontroluje únik údajov z viacerých databáz tým, že kontroluje a monitoruje infraštruktúru, ktorá tieto databázy spája.
7. Big Data Cryptography
Matematická kryptografia nevyšla z módy; v skutočnosti je to oveľa vyspelejšie. Vytvorením systému na vyhľadávanie a filtrovanie šifrovaných údajov, ako je napríklad protokol SSE (Search Symmetric Encryption), môžu podniky skutočne spustiť booleovské dotazy na šifrované údaje. Po nainštalovaní odporúča CSA rôzne kryptografické techniky.
Relačné šifrovanie umožňuje porovnávať šifrované údaje bez zdieľania šifrovacích kľúčov porovnaním identifikátorov a hodnôt atribútov. Šifrovanie založené na identite (IBE) zjednodušuje správu kľúčov v systémoch verejných kľúčov tým, že umožňuje šifrovanie holého textu pre danú identitu. Šifrovanie založené na atribútoch (ABE) môže integrovať riadenie prístupu do šifrovacej schémy. Nakoniec existuje konvergované šifrovanie, ktoré používa šifrovacie kľúče na pomoc poskytovateľom cloudu identifikovať duplicitné údaje.
8. Granulovaná kontrola prístupu
Podľa CSA je riadenie prístupu asi dvoma hlavnými vecami: obmedzovanie prístupu používateľov a udeľovanie prístupu používateľom. Trik spočíva v vytvorení a implementácii politiky, ktorá vyberie tú pravú v akomkoľvek danom scenári. Na nastavenie podrobných prístupových kontrol má CSA veľa rýchlych tipov:
Normalizovať nemenné prvky a denormalizovať nemenné prvky,
Sledovať požiadavky utajenia a zabezpečiť správnu implementáciu,
Údržba prístupových štítkov,
Sledovať údaje správcu,
Použite jednotné prihlásenie (SSO) a
Na udržanie správnej federácie údajov použite schému označovania.
9. Audit, audit, audit
Granulárny audit je nevyhnutnosťou zabezpečenia veľkých dát, najmä po útoku na váš systém. CSA odporúča, aby organizácie po každom útoku vytvorili súdržný audítorský pohľad a uistite sa, že ste poskytli úplný revízny záznam a zároveň zabezpečili ľahký prístup k týmto údajom, aby sa skrátila doba odozvy na incident.
Dôležitá je aj integrita a dôvernosť informácií o audite. Informácie o audite by sa mali uchovávať oddelene a mali by byť chránené podrobnými kontrolami prístupu používateľov a pravidelným monitorovaním. Pri nastavovaní auditu (aby ste zhromažďovali a spracovávali čo najpodrobnejšie informácie) sa uistite, že vaše veľké údaje a údaje auditu sú oddelené a povolte všetky požadované protokoly. Audítorská vrstva s otvoreným zdrojovým kódom alebo nástroj na orchestrátor dopytov, ako je ElasticSearch, to všetko môže uľahčiť.
10. Poskytovanie údajov
Pôvod údajov môže znamenať niekoľko rôznych vecí v závislosti od toho, koho požiadate. Čo sa však týka CSA, sú metaúdaje o pôvode vytvorené aplikáciami Big Data. Toto je úplne iná kategória údajov, ktorá si vyžaduje výraznú ochranu. CSA odporúča najprv vyvinúť protokol na overenie infraštruktúry, ktorý riadi prístup, pričom nastavuje pravidelné aktualizácie stavu a neustále overuje integritu údajov pomocou mechanizmov, ako sú kontrolné súčty.
Okrem toho sa zvyšok nášho zoznamu odráža aj zvyšok osvedčených postupov CSA v oblasti proveniencie údajov: implementujte dynamické a škálovateľné granulárne kontroly prístupu a implementujte šifrovacie metódy. Neexistuje žiadny tajný trik na zabezpečenie bezpečnosti veľkých údajov v rámci vašej organizácie a na všetkých úrovniach vašej infraštruktúry a zásobníka aplikácií. Ak pracujete s dátovými dávkami, táto rozsiahla, iba vyčerpávajúca komplexná schéma bezpečnosti IT a celoeurópsky nákup používateľov poskytnú vašej organizácii najlepšiu šancu na udržanie všetkých 0 a 1 v bezpečí a bezpečí.