Big Data in de Cloud - Hoe veilig zijn onze gegevens?

Inhoud

• Beveiligingsproblemen in gedistribueerde programmeerkaders
• Gegevens- en transactielogboekproblemen
• Gegevensvalidatieproblemen
• Real-time monitoring van big data-beveiliging
• Geen bugs, geen stress - Uw stapsgewijze handleiding voor het creëren van levensveranderende software zonder uw leven te vernietigen
• Strategieën om beveiligingsbedreigingen het hoofd te bieden
• Verbetering van de betrouwbaarheid in gedistribueerde programmeerkaders
• Sterk beleid voor gegevensbescherming
• Analyse
• Detecteer uitbijters tijdens het verzamelen van gegevens
• Gevolgtrekking

Bron: Cuteimage / Dreamstime.com

Afhaal:

Verken de grootste bedreigingen voor big data in de cloud en leer manieren om hiertegen te beschermen.

De hoeveelheid big data neemt enorm toe met de dag. Van 2500 exabytes in 2012 zal big data naar verwachting toenemen tot 40.000 exabytes in 2020. Daarom is gegevensopslag een serieuze uitdaging die alleen de cloudinfrastructuur aankan. De cloud is een populaire optie geworden, vooral vanwege de enorme opslagcapaciteit en gebruiksvoorwaarden die de abonnee geen verplichtingen opleggen. Cloudopslag kan worden aangeboden in de vorm van abonnementen en diensten die een vooraf bepaalde periode duren. Daarna is er geen verplichting van de zijde van de klant om het te vernieuwen.

Het opslaan van big data in de cloud opent echter nieuwe beveiligingsuitdagingen die niet kunnen worden geconfronteerd met beveiligingsmaatregelen die zijn genomen voor reguliere, statische data. Hoewel big data geen nieuw concept is, begint de verzameling en het gebruik ervan pas de laatste jaren snel te groeien. In het verleden waren big data-opslag en analyse beperkt tot alleen grote bedrijven en de overheid die zich de infrastructuur konden veroorloven die nodig was voor data-opslag en mining. Een dergelijke infrastructuur was eigendom van en niet blootgesteld aan algemene netwerken. Big data is nu echter goedkoop beschikbaar voor alle soorten ondernemingen via de openbare cloudinfrastructuur. Als gevolg hiervan zijn nieuwe, geavanceerde beveiligingsbedreigingen ontstaan ​​en deze blijven zich vermenigvuldigen en evolueren.

Beveiligingsproblemen in gedistribueerde programmeerkaders

Gedistribueerde programmeerkaders verwerken big data met parallelle reken- en opslagtechnieken. In dergelijke frameworks kunnen niet-geverifieerde of gewijzigde mappers - die enorme taken verdelen in kleinere subtaken zodat de taken kunnen worden geaggregeerd om een ​​definitieve output te creëren - gegevens compromitteren. Defecte of gewijzigde werkknooppunten - die invoer van de mapper nodig hebben om de taken uit te voeren - kunnen gegevens compromitteren door op datacommunicatie tussen de mapper en andere werkknooppunten te tikken. Rogue werkknooppunten kunnen ook kopieën van legitieme werkknooppunten maken. Het feit dat het uiterst moeilijk is om malafide kaartenmakers of knooppunten in een dergelijk enorm kader te identificeren, maakt het waarborgen van gegevensbeveiliging nog een grotere uitdaging.

De meeste cloudgebaseerde datakaders gebruiken de NoSQL-database. De NoSQL-database is nuttig voor het verwerken van enorme, ongestructureerde gegevenssets, maar vanuit een beveiligingsperspectief is deze slecht ontworpen. NoSQL werd oorspronkelijk ontworpen met vrijwel geen beveiligingsoverwegingen in gedachten. Een van de grootste zwakke punten van NoSQL is transactionele integriteit. Het heeft slechte authenticatiemechanismen, waardoor het kwetsbaar is voor man-in-the-middle of replay-aanvallen. Tot overmaat van ramp ondersteunt NoSQL geen module-integratie van derden om authenticatiemechanismen te versterken. Omdat authenticatiemechanismen nogal laks zijn, worden gegevens ook blootgesteld aan aanvallen van binnenuit. Aanvallen kunnen onopgemerkt blijven en niet worden bijgehouden vanwege slechte logboekregistratie en mechanismen voor loganalyse.

Gegevens- en transactielogboekproblemen

Gegevens worden meestal opgeslagen in opslagmedia met meerdere lagen. Het is relatief eenvoudig om gegevens bij te houden wanneer het volume relatief klein en statisch is. Maar wanneer het volume exponentieel toeneemt, worden oplossingen met automatische lagen toegepast. Oplossingen voor automatische lagen slaan gegevens op in verschillende lagen, maar volgen de locaties niet. Dit is een beveiligingsprobleem. Een organisatie kan bijvoorbeeld vertrouwelijke gegevens hebben die zelden worden gebruikt. Oplossingen voor automatische lagen maken echter geen onderscheid tussen gevoelige en niet-gevoelige gegevens en slaan de zelden gebruikte gegevens alleen op in de onderste laag. De onderste lagen hebben de laagst beschikbare beveiliging.

Gegevensvalidatieproblemen

In een organisatie kan big data worden verzameld uit verschillende bronnen, waaronder eindpuntapparaten zoals softwareapplicaties en hardwareapparaten. Het is een grote uitdaging om ervoor te zorgen dat de verzamelde gegevens niet schadelijk zijn. Iedereen met kwaadaardige bedoelingen kan knoeien met het apparaat dat gegevens verstrekt of met de toepassing die gegevens verzamelt. Een hacker kan bijvoorbeeld een Sybil-aanval op een systeem plegen en vervolgens de vervalste identiteiten gebruiken om schadelijke gegevens aan de centrale verzamelserver of het systeem te verstrekken. Deze bedreiging is vooral van toepassing in een BYOD-scenario (Bring Your Own Device) omdat gebruikers hun persoonlijke apparaten binnen het bedrijfsnetwerk kunnen gebruiken.

Real-time monitoring van big data-beveiliging

Real-time monitoring van gegevens is een grote uitdaging omdat u zowel de big data-infrastructuur als de gegevens die worden verwerkt, moet bewaken. Zoals eerder aangegeven, wordt de big data-infrastructuur in de cloud voortdurend blootgesteld aan bedreigingen. Schadelijke entiteiten kunnen het systeem wijzigen zodat het toegang heeft tot de gegevens en vervolgens meedogenloos valse positieven genereren. Het is buitengewoon riskant om valse positieven te negeren. Bovendien kunnen deze entiteiten proberen om detectie te ontwijken door ontwijkingsaanvallen te bouwen of zelfs gegevensvergiftiging gebruiken om de betrouwbaarheid van de gegevens die worden verwerkt te verminderen.

Geen bugs, geen stress - Uw stapsgewijze handleiding voor het creëren van levensveranderende software zonder uw leven te vernietigen

U kunt uw programmeervaardigheden niet verbeteren als niemand om softwarekwaliteit geeft.

Strategieën om beveiligingsbedreigingen het hoofd te bieden

Strategieën voor big data-beveiliging bevinden zich nog in een opkomende fase, maar ze moeten snel evolueren. De antwoorden op de beveiligingsrisico's liggen in het netwerk zelf. De netwerkcomponenten hebben absolute betrouwbaarheid nodig en dat kan worden bereikt met krachtige strategieën voor gegevensbescherming. Er moet een nultolerantie zijn voor lakse gegevensbeschermingsmaatregelen. Er moet ook een sterk, geautomatiseerd mechanisme zijn voor het verzamelen en analyseren van gebeurtenislogboeken.

Verbetering van de betrouwbaarheid in gedistribueerde programmeerkaders

Zoals eerder aangegeven, kunnen niet-vertrouwde mappers en werkknooppunten de gegevensbeveiliging in gevaar brengen. Dus, betrouwbaarheid van mappers en knooppunten is vereist. Om dit te doen, moeten mappers de werkknooppunten regelmatig verifiëren. Wanneer een medewerker een verbindingsverzoek naar een master knoopt, wordt de aanvraag goedgekeurd mits de medewerker een vooraf gedefinieerde set vertrouwenseigenschappen heeft. Daarna zal de werknemer regelmatig worden beoordeeld op naleving van het vertrouwens- en beveiligingsbeleid.

Sterk beleid voor gegevensbescherming

De beveiligingsbedreigingen voor gegevens vanwege de inherent zwakke gegevensbescherming in het gedistribueerde framework en de NoSQL-database moeten worden aangepakt. Wachtwoorden moeten worden gehasht of gecodeerd met veilige hash-algoritmen. Gegevens in rust moeten altijd worden gecodeerd en mogen niet worden weggelaten, zelfs nadat de impact op de prestaties is overwogen. Hardware- en bulkbestandscodering zijn sneller van aard en kunnen de prestatieproblemen tot op zekere hoogte verhelpen, maar een codering van hardware-apparaten kan ook door aanvallers worden overtreden. Gezien de situatie is het een goede gewoonte om SSL / TLS te gebruiken om verbindingen tussen de client en de server tot stand te brengen en voor communicatie over de clusterknooppunten. Bovendien moet de NoSQL-architectuur pluggable authenticatiemodules van derden mogelijk maken.

Analyse

Big data-analyse kan worden gebruikt om verdachte verbindingen met de clusterknooppunten te controleren en te identificeren en voortdurend de logboeken te minen om mogelijke bedreigingen te identificeren. Hoewel het Hadoop-ecosysteem geen ingebouwde beveiligingsmechanismen heeft, kunnen andere hulpmiddelen worden gebruikt om verdachte activiteiten te controleren en te identificeren, op voorwaarde dat deze hulpmiddelen aan bepaalde normen voldoen. Dergelijke hulpmiddelen moeten bijvoorbeeld voldoen aan de richtlijnen van Open Web Application Security Project (OWASP). Verwacht wordt dat de real-time monitoring van evenementen zal verbeteren met een aantal ontwikkelingen die al plaatsvinden. Het Security Content Automation Protocol (SCAP) wordt bijvoorbeeld geleidelijk toegepast op big data. Apache Kafka en Storm beloven goede realtime monitoringtools te zijn.

Detecteer uitbijters tijdens het verzamelen van gegevens

Er is nog steeds geen inbraakwerend systeem beschikbaar om ongeoorloofde inbraak volledig te voorkomen op het moment van gegevensverzameling. Intrusies kunnen echter aanzienlijk worden verminderd. Ten eerste moeten toepassingen voor gegevensverzameling zo veilig mogelijk worden ontwikkeld, rekening houdend met het BYOD-scenario wanneer de toepassing op meerdere niet-vertrouwde apparaten kan worden uitgevoerd. Ten tweede zullen vastberaden aanvallers waarschijnlijk zelfs de sterkste verdedigingen en kwaadaardige gegevens doorbreken in het centrale verzamelsysteem. Er moeten dus algoritmen zijn om dergelijke schadelijke invoer te detecteren en eruit te filteren.

Gevolgtrekking

Big data-kwetsbaarheden in de cloud zijn uniek en kunnen niet worden aangepakt met traditionele beveiligingsmaatregelen. Bescherming van big data in de cloud is nog steeds een opkomend gebied omdat bepaalde best practices, zoals realtime monitoring, zich nog steeds ontwikkelen en beschikbare best practices of maatregelen niet strikt worden toegepast. Maar gezien de lucratieve big data, zullen de beveiligingsmaatregelen de komende tijd zeker inhalen.