Obsah
- Problémy s bezpečnosťou v distribuovaných programovacích rámcoch
-
Väčšina dátových rámcov založených na cloudu používa databázu NoSQL. Databáza NoSQL je výhodná pri spracovaní obrovských neštruktúrovaných množín údajov, ale z hľadiska bezpečnosti je nesprávne navrhnutá. NoSQL bol pôvodne navrhnutý bez ohľadu na bezpečnostné hľadiská. Jednou z najväčších slabých stránok NoSQL je transakčná integrita. Má zlé mechanizmy overovania, vďaka ktorým je zraniteľný voči útokom typu človek v strede alebo opakovaným prehrávaním. Aby sa to ešte zhoršilo, NoSQL nepodporuje integráciu modulov tretích strán na posilnenie mechanizmov autentifikácie. Pretože mechanizmy overovania sú dosť laxné, údaje sú tiež vystavené útokom zasvätených osôb. Útoky by mohli zostať nepovšimnuté a nezachytené kvôli zlým mechanizmom protokolovania a analýzy protokolov.
Problémy s údajmi a transakčnými protokolmi
- Problémy s overením údajov
- Monitorovanie zabezpečenia veľkých dát v reálnom čase
- Žiadne chyby, žiadny stres - Váš sprievodca krok za krokom k vytvoreniu softvéru na zmenu života bez zničenia vášho života
- Stratégie čeliace bezpečnostným hrozbám
- Zlepšenie dôveryhodnosti v rámci distribuovaných programovacích rámcov
- Prísne zásady ochrany údajov
- analýza
- Zistiť odľahlé hodnoty pri zhromažďovaní údajov
- záver
Zdroj: Cuteimage / Dreamstime.com
Zobrať:
Preskúmajte najväčšie hrozby veľkých dát v cloude a naučte sa, ako ich chrániť.
Objem veľkých údajov každým dňom divoko rastie. Od 2 500 exabajtov v roku 2012 sa očakáva, že v roku 2020 sa veľké údaje zvýšia na 40 000 exabajtov. Ukladanie údajov je preto vážnou výzvou, ktorú zvládne iba cloudová infraštruktúra. Cloud sa stal populárnou možnosťou najmä z dôvodu jeho obrovskej úložnej kapacity a podmienok používania, ktoré neukladajú účastníkovi žiadne povinnosti. Cloudové úložisko môže byť ponúkané vo forme predplatného a služby trvajú vopred určené obdobie. Klient už nie je povinný ho obnovovať.
Ukladanie veľkých údajov v cloude však prináša nové bezpečnostné výzvy, ktorým nemôžu čeliť bezpečnostné opatrenia prijaté pre pravidelné statické údaje. Hoci veľké údaje nie sú novým konceptom, ich zhromažďovanie a využívanie začalo tempo len v posledných rokoch. V minulosti sa ukladanie a analýza veľkých údajov obmedzovali iba na veľké korporácie a vládu, ktoré si mohli dovoliť infraštruktúru potrebnú na ukladanie a ťažbu údajov. Takáto infraštruktúra bola majetkom a nebola vystavená všeobecným sieťam. Veľké údaje sú však teraz lacno dostupné všetkým typom podnikov prostredníctvom verejnej cloudovej infraštruktúry. V dôsledku toho sa objavili nové sofistikované bezpečnostné hrozby, ktoré sa naďalej množia a vyvíjajú.
Problémy s bezpečnosťou v distribuovaných programovacích rámcoch
Distribuované programovacie rámce spracúvajú veľké dáta pomocou techník paralelného výpočtu a ukladania. V takýchto rámcoch môžu neautentizované alebo modifikované mapovače, ktoré rozdeľujú obrovské úlohy na menšie čiastkové úlohy, aby sa tieto úlohy mohli agregovať, aby vytvorili konečný výstup, mohli kompromitovať údaje. Poškodené alebo upravené pracovné uzly - ktoré na vykonávanie úloh prijímajú vstupy z mapovača - môžu ohroziť údaje ťuknutím na dátovú komunikáciu medzi mapovačom a ostatnými pracovnými uzlami. Rogue pracovník uzly môžu tiež vytvárať kópie legitímne pracovníkov uzlov. Skutočnosť, že je nesmierne ťažké identifikovať nečestných mapovačov alebo uzlov v takom obrovskom rámci, zvyšuje bezpečnosť údajov ešte náročnejšie.
Väčšina dátových rámcov založených na cloudu používa databázu NoSQL. Databáza NoSQL je výhodná pri spracovaní obrovských neštruktúrovaných množín údajov, ale z hľadiska bezpečnosti je nesprávne navrhnutá. NoSQL bol pôvodne navrhnutý bez ohľadu na bezpečnostné hľadiská. Jednou z najväčších slabých stránok NoSQL je transakčná integrita. Má zlé mechanizmy overovania, vďaka ktorým je zraniteľný voči útokom typu človek v strede alebo opakovaným prehrávaním. Aby sa to ešte zhoršilo, NoSQL nepodporuje integráciu modulov tretích strán na posilnenie mechanizmov autentifikácie. Pretože mechanizmy overovania sú dosť laxné, údaje sú tiež vystavené útokom zasvätených osôb. Útoky by mohli zostať nepovšimnuté a nezachytené kvôli zlým mechanizmom protokolovania a analýzy protokolov.
Problémy s údajmi a transakčnými protokolmi
Dáta sa zvyčajne ukladajú na viacvrstvové pamäťové médiá. Je pomerne ľahké sledovať údaje, keď je objem pomerne malý a statický. Keď sa však objem exponenciálne zvýši, použijú sa autotierovacie riešenia. Riešenia automatického triedenia ukladajú údaje do rôznych úrovní, ale nesledujú miesta. Toto je bezpečnostný problém. Napríklad organizácia môže mať dôverné údaje, ktoré sa používajú zriedka. Riešenia automatického odstupňovania však nerozlišujú medzi citlivými a necitlivými údajmi a iba ukladajú zriedkavo prístupné údaje do najnižšej úrovne. Najnižšia úroveň má najnižšiu možnú bezpečnosť.
Problémy s overením údajov
V organizácii sa veľké údaje môžu zbierať z rôznych zdrojov, ktoré zahŕňajú koncové zariadenia, ako sú softvérové aplikácie a hardvérové zariadenia. Je veľkou výzvou zabezpečiť, aby zhromaždené údaje neboli škodlivé. Ktokoľvek so škodlivými úmyslami môže manipulovať so zariadením, ktoré poskytuje údaje alebo s aplikáciami zhromažďujúcimi údaje. Napríklad hacker môže spustiť útok Sybil na systém a potom použiť falošné identity na poskytnutie škodlivých údajov centrálnemu kolekčnému serveru alebo systému. Táto hrozba je obzvlášť použiteľná v prípade priniesť vaše vlastné zariadenie (BYOD), pretože používatelia môžu používať svoje osobné zariadenia v podnikovej sieti.
Monitorovanie zabezpečenia veľkých dát v reálnom čase
Monitorovanie údajov v reálnom čase je veľká výzva, pretože musíte monitorovať tak veľkú dátovú infraštruktúru, ako aj údaje, ktoré spracúva. Ako už bolo uvedené vyššie, veľká dátová infraštruktúra v cloude je neustále vystavená hrozbám. Škodlivé entity môžu systém upraviť tak, aby pristupoval k údajom a potom neúnavne generoval falošné poplachy. Je veľmi riskantné ignorovať falošné poplachy. Okrem toho sa tieto subjekty môžu pokúsiť vyhnúť detekcii vytvorením útokov proti únikom alebo dokonca použiť otravu dát na zníženie dôveryhodnosti spracovávaných údajov.
Žiadne chyby, žiadny stres - Váš sprievodca krok za krokom k vytvoreniu softvéru na zmenu života bez zničenia vášho života
Svoje programovacie schopnosti si nemôžete vylepšiť, keď sa nikto nestará o kvalitu softvéru.
Stratégie čeliace bezpečnostným hrozbám
Stratégie bezpečnosti veľkých dát sú stále vo fáze rodenia, ale musia sa rýchlo rozvíjať. Odpovede na bezpečnostné hrozby spočívajú v samotnej sieti. Sieťové komponenty potrebujú absolútnu dôveryhodnosť, a to sa dá dosiahnuť pomocou silných stratégií ochrany údajov. Pre laxné opatrenia na ochranu údajov by sa mala stanoviť nulová tolerancia. Mal by existovať silný a automatizovaný mechanizmus na zhromažďovanie a analýzu protokolov udalostí.
Zlepšenie dôveryhodnosti v rámci distribuovaných programovacích rámcov
Ako už bolo uvedené, nedôveryhodné mapovače a pracovné uzly môžu ohroziť bezpečnosť údajov. Preto sa vyžaduje dôveryhodnosť mapovačov a uzlov. Mapátori preto musia pravidelne overovať pracovné uzly. Keď pracovník uzol požiada o pripojenie k nadriadenému, požiadavka bude schválená s výhradou, že pracovník má preddefinovanú sadu vlastností dôveryhodnosti. Následne bude pracovník pravidelne preverovaný z hľadiska dodržiavania zásad dôvery a bezpečnosti.
Prísne zásady ochrany údajov
Je potrebné zaoberať sa bezpečnostnými hrozbami pre údaje z dôvodu nedostatočnej ochrany údajov v distribuovanom rámci a databáze NoSQL. Heslá by mali byť hashované alebo šifrované pomocou bezpečných hashovacích algoritmov. Údaje v pokoji by mali byť vždy šifrované a nemali by sa ponechať otvorené, a to ani po zvážení vplyvu na výkon. Hardvérové šifrovanie a šifrovanie hromadných súborov sú svojou povahou rýchlejšie a môžu vyriešiť problémy s výkonom do určitej miery, ale útočníci môžu tiež narušiť šifrovanie hardvérových zariadení. Vzhľadom na situáciu je dobré používať SSL / TLS na nadviazanie spojení medzi klientom a serverom a na komunikáciu cez uzly klastra. Architektúra NoSQL musí navyše povoliť zásuvné autentifikačné moduly tretích strán.
analýza
Analýzu veľkých údajov je možné použiť na monitorovanie a identifikáciu podozrivých spojení s klastrovými uzlami a nepretržitú ťažbu protokolov na identifikáciu potenciálnych hrozieb. Hoci ekosystém Hadoop nemá zabudované bezpečnostné mechanizmy, na monitorovanie a identifikáciu podozrivých činností sa môžu použiť iné nástroje, ak tieto nástroje spĺňajú určité normy. Takéto nástroje musia napríklad zodpovedať usmerneniam OWASP (Open Web Application Security Project). Očakáva sa, že monitorovanie udalostí v reálnom čase sa zlepší s určitým vývojom, ktorý už prebieha. Napríklad Protokol automatizácie zabezpečenia obsahu (SCAP) sa postupne aplikuje na veľké dáta. Apache Kafka a Storm sľubujú, že budú dobrými monitorovacími nástrojmi v reálnom čase.
Zistiť odľahlé hodnoty pri zhromažďovaní údajov
Stále nie je k dispozícii žiadny systém zabraňujúci vniknutiu, ktorý by v čase zhromažďovania údajov úplne zabránil neoprávnenému vniknutiu. Vniknutia však možno výrazne znížiť. Po prvé, aplikácie na zber údajov musia byť vyvinuté tak, aby boli čo najbezpečnejšie, pričom treba mať na pamäti scenár BYOD, keď sa aplikácia môže spustiť na viacerých nedôveryhodných zariadeniach. Po druhé, odhodlaní útočníci pravdepodobne porušia aj tie najsilnejšie obranné a škodlivé údaje do centrálneho systému zberu. Mali by existovať algoritmy na detekciu a odfiltrovanie takýchto škodlivých vstupov.
záver
Veľké zraniteľné miesta v cloude sú jedinečné a tradičné bezpečnostné opatrenia ich nemôžu vyriešiť. Ochrana veľkých údajov v cloude je stále rodiacou sa oblasťou, pretože niektoré osvedčené postupy, ako napríklad monitorovanie v reálnom čase, sa stále vyvíjajú a dostupné osvedčené postupy alebo opatrenia sa nevyužívajú striktne. Napriek tomu, vzhľadom na to, aké veľké sú lukratívne údaje, sú bezpečnostné opatrenia v blízkej budúcnosti dobehnuté.