ビデオ: ä¸è¦å²ç¬æåçæ§ (十一月 2024)
すべてのビジネスは、経営幹部、マーケティング担当者、および組織内の他のすべての部門が手に入れることができるデータと同じ量のビジネスインテリジェンス(BI)を収集したいと考えています。 しかし、そのデータを取得したら、膨大なデータレイクを分析して、探している主要な洞察を見つけるだけでなく(膨大な情報に溢れずに)、すべてのデータを保護することも困難です。
そのため、企業のIT部門とデータサイエンティストが予測分析アルゴリズム、データ視覚化を実行し、収集したビッグデータに対して他のデータ分析手法を使用している間、ビジネスは漏れや弱点がないことを確認する必要があります貯水池で。
そのため、クラウドセキュリティアライアンス(CSA)は最近、ビッグデータセキュリティとプライバシーハンドブック:ビッグデータセキュリティとプライバシーのベストプラクティス100をリリースしました。 ベストプラクティスの長いリストは10のカテゴリに分散しているため、IT部門が主要なビジネスデータをロックダウンできるように、ベストプラクティスを10のヒントにまとめました。 これらのヒントは、データストレージ、暗号化、ガバナンス、監視、およびセキュリティ技術の兵器庫を採用しています。
1.分散プログラミングフレームワークの保護
Hadoopなどの分散プログラミングフレームワークは、現代のビッグデータ配布の大きな部分を占めていますが、データ漏洩の深刻なリスクが伴います。 また、「信頼できないマッパー」と呼ばれるもの、またはエラーが発生した集計結果を生成する可能性のある複数のソースからのデータも付属しています。
CSAは、事前に定義されたセキュリティポリシーへの準拠を確保しながら、Kerberos認証などの方法を使用して組織が最初に信頼を確立することを推奨します。 次に、個人を特定できるすべての情報(PII)をデータから分離して、個人のプライバシーが侵害されないようにすることで、データを「非識別」します。 そこから、定義済みのセキュリティポリシーを使用してファイルへのアクセスを許可し、Apache HBaseのSentryツールなどの必須アクセス制御(MAC)を使用して、信頼できないコードがシステムリソース経由で情報を漏洩しないようにします。 その後は、定期的なメンテナンスでデータ漏えいから保護するだけなので、難しい部分は終わります。 IT部門は、クラウドまたは仮想環境のワーカーノードとマッパーをチェックし、偽のノードと変更されたデータの複製に注意する必要があります。
2.非リレーショナルデータを保護する
NoSQLなどの非リレーショナルデータベースは一般的ですが、NoSQLインジェクションなどの攻撃に対して脆弱です。 CSAは、これを防ぐための一連の対策をリストしています。 パスワードの暗号化またはハッシュ化から始め、高度暗号化標準(AES)、RSA、Secure Hash Algorithm 2(SHA-256)などのアルゴリズムを使用して保存データを暗号化することにより、エンドツーエンドの暗号化を確実に行います。 トランスポート層セキュリティ(TLS)およびセキュアソケットレイヤー(SSL)暗号化も有用です。
これらの中核的な手段に加えて、データのタグ付けやオブジェクトレベルのセキュリティなどのレイヤーに加えて、いわゆるプラガブル認証モジュール(PAM)を使用して非リレーショナルデータを保護することもできます。 これは、NISTログなどのツールを使用してトランザクションをログに記録しながら、ユーザーを認証するための柔軟な方法です。 最後に、ファジングメソッドと呼ばれるものがあります。これは、ディストリビューションのプロトコル、データノード、およびアプリケーションレベルでの自動データ入力を使用して、NoSQLとHTTPプロトコル間のクロスサイトスクリプティングとインジェクションの脆弱性を公開します。
3.安全なデータストレージとトランザクションログ
ストレージ管理は、ビッグデータのセキュリティの方程式の重要な部分です。 CSAは、署名されたメッセージダイジェストを使用して各デジタルファイルまたはドキュメントのデジタル識別子を提供し、安全な信頼できないデータリポジトリ(SUNDR)と呼ばれる技術を使用して、悪意のあるサーバーエージェントによる不正なファイル変更を検出することを推奨しています。
ハンドブックには、レイジー失効とキーローテーション、ブロードキャストおよびポリシーベースの暗号化スキーム、デジタル著作権管理(DRM)など、他の多くの手法もリストされています。 ただし、既存のインフラストラクチャ上に独自の安全なクラウドストレージを構築することに代わるものはありません。
4.エンドポイントのフィルタリングと検証
エンドポイントセキュリティは最重要事項であり、組織は、信頼できる証明書の使用、リソーステストの実行、およびモバイルデバイス管理(MDM)ソリューション(ウイルス対策ソフトウェアとマルウェア保護ソフトウェアに加えて)を使用して信頼できるデバイスのみをネットワークに接続することから開始できます。 そこから、統計的な類似性検出手法と異常値検出手法を使用して、Sybil攻撃(複数のIDを装った1つのエンティティ)やIDスプーフィング攻撃から保護しながら、悪意のある入力をフィルタリングできます。
5.リアルタイムのコンプライアンスとセキュリティの監視
コンプライアンスは企業にとって常に頭痛の種であり、データが絶え間なく大量に処理されている場合はなおさらです。 スタックのすべてのレベルでリアルタイムの分析とセキュリティを真正面から取り組むことが最善です。 CSAは、組織がKerberos、セキュアシェル(SSH)、インターネットプロトコルセキュリティ(IPsec)などのツールを使用してビッグデータ分析を適用し、リアルタイムデータを処理することを推奨しています。
それを行ったら、ログイベントをマイニングし、ルーターやアプリケーションレベルのファイアウォールなどのフロントエンドセキュリティシステムを展開し、クラウド、クラスター、およびアプリケーションレベルでスタック全体にセキュリティ制御の実装を開始できます。 また、CSAは、企業がビッグデータインフラストラクチャを回避しようとする回避攻撃や、いわゆる「データ中毒」攻撃(つまり、監視システムをだます偽造データ)に注意するよう警告しています。
6.データのプライバシーを保護する
増え続けるセットでデータのプライバシーを維持することは非常に困難です。 CSAは、キーが「スケーラブルかつコンポーザブル」であると、プライバシーの差別化(クエリの精度を最大化しながらレコードの識別を最小限に抑える)や、暗号化された情報をクラウドに保存および処理する準同型暗号化などの技術を実装することだと述べました それを超えて、ステープルを無駄にしないでください。CSAは、現在のプライバシー規制に焦点を当てた従業員の意識向上トレーニングを取り入れ、承認メカニズムを使用してソフトウェアインフラストラクチャを維持することをお勧めします。 最後に、ベストプラクティスは、データベースをリンクしているインフラストラクチャを確認および監視することにより、複数のデータベースからのデータ漏洩を制御する「プライバシー保護データ構成」と呼ばれるものの実装を推奨します。
7.ビッグデータ暗号化
数学的暗号化は時代遅れではありません。 実際、はるかに高度になっています。 検索可能な対称暗号化(SSE)プロトコルなどの暗号化されたデータを検索およびフィルターするシステムを構築することにより、企業は暗号化されたデータに対してブールクエリを実際に実行できます。 それがインストールされた後、CSAはさまざまな暗号技術を推奨します。
リレーショナル暗号化では、識別子と属性値を一致させることにより、暗号化キーを共有せずに暗号化されたデータを比較できます。 IDベースの暗号化(IBE)は、特定のIDに対してプレーンテキストを暗号化できるようにすることで、公開キーシステムでのキー管理を容易にします。 属性ベースの暗号化(ABE)は、アクセス制御を暗号化スキームに統合できます。 最後に、暗号化キーを使用してクラウドプロバイダーが重複データを識別できるようにする統合暗号化があります。
8.詳細なアクセス制御
アクセス制御は、CSAによると、ユーザーアクセスの制限とユーザーアクセスの許可という2つの中核事項です。 秘Theは、特定のシナリオで適切なポリシーを選択するポリシーを構築して実装することです。 詳細なアクセス制御を設定するために、CSAには多数のクイックヒットヒントがあります。
可変要素を正規化し、不変要素を非正規化し、
機密要件を追跡し、適切な実装を確保します。
アクセスラベルを維持し、
管理者データを追跡し、
シングルサインオン(SSO)を使用し、
ラベル付けスキームを使用して、適切なデータフェデレーションを維持します。
9.監査、監査、監査
粒状データの監査は、特にシステムへの攻撃後、ビッグデータのセキュリティに不可欠です。 CSAは、組織が攻撃に続いて一貫した監査ビューを作成することを推奨します。また、インシデント対応時間を短縮するために、そのデータへの容易なアクセスを確保しながら、完全な監査証跡を提供するようにしてください。
監査情報の整合性と機密性も不可欠です。 監査情報は個別に保存し、きめ細かいユーザーアクセス制御と定期的な監視で保護する必要があります。 ビッグデータと監査データを別々に保ち、監査を設定するときに必要なすべてのログを有効にしてください(可能な限り最も詳細な情報を収集して処理するため)。 ElasticSearchなどのオープンソースの監査レイヤーまたはクエリオーケストレーターツールを使用すると、このすべてを簡単に実行できます。
10.データの出所
データの出所は、あなたが尋ねる人に応じていくつかの異なることを意味します。 しかし、CSAが言及しているのは、ビッグデータアプリケーションによって生成された来歴メタデータです。 これは、重要な保護を必要とするデータのまったく別のカテゴリです。 CSAは、最初にアクセスを制御するインフラストラクチャ認証プロトコルを開発し、定期的なステータス更新を設定し、チェックサムなどのメカニズムを使用してデータの整合性を継続的に検証することを推奨します。
さらに、CSAの残りのデータ起源のベストプラクティスは、リストの残りの部分を反映しています。動的でスケーラブルな粒度の高いアクセス制御を実装し、暗号化方法を実装します。 組織全体、およびインフラストラクチャとアプリケーションスタックのあらゆるレベルでビッグデータのセキュリティを確保するための秘密のトリックはありません。 この広大なデータバッチを扱う場合、徹底的に包括的なITセキュリティスキームと全社規模のユーザーバイインのみが、組織に最後の0と1をすべて安全かつ安全に保持する最良の機会を与えます。
