Sisu
- Turvalisuse probleemid hajutatud programmeerimisraamistikes
-
Enamik pilvepõhiseid andmeraamistikke kasutab NoSQL andmebaasi. NoSQL andmebaas on kasulik tohutute, struktureerimata andmekogumite käsitlemiseks, kuid turvalisuse seisukohast on see halvasti kavandatud. NoSQL loodi algselt, ilma et oleks peaaegu üldse turbekaalutlusi silmas peetud. NoSQL-i üks suurimaid nõrkusi on tehingute terviklikkus. Sellel on viletsad autentimismehhanismid, mis muudab selle haavatavaks keset meeskonda või kordusrünnakute suhtes. Olukorra halvendamiseks ei toeta NoSQL autentimismehhanismide tugevdamiseks kolmanda osapoole moodulite integreerimist. Kuna autentimismehhanismid on üsna nõrgad, puutuvad andmed kokku ka siseringi rünnakutega. Rünnakud võivad halva logimise ja logianalüüsi mehhanismide tõttu jääda märkamatuks ja jälgimata.
Andmete ja tehingute logi probleemid
- Andmete valideerimise probleemid
- Reaalajas suurandmete turvalisuse jälgimine
- Pole vigu ega stressi - teie samm-sammuline juhend elumuutva tarkvara loomiseks ilma oma elu hävitamata
- Turvalisuse ohtude vastu võitlemise strateegiad
- Jagatud programmeerimisraamistike usaldusväärsuse parandamine
- Range andmekaitsepoliitika
- Analüüs
- Kõrvaliste andmete tuvastamine andmete kogumisel
- Järeldus
Allikas: Cuteimage / Dreamstime.com
Ära võtma:
Uurige pilve suurandmete suurimaid ohte ja õppige nende eest kaitsmise viise.
Suurandmete maht kasvab metsikult iga päevaga. Alates 2500 eksabüaadist 2012. aastal suureneb eeldatavasti suurandmete arv 40 000 eksabüadini 2020. aastal. Seetõttu on andmete salvestamine tõsine väljakutse, mida ainult pilveinfrastruktuur suudab käsitleda. Pilv on muutunud populaarseks võimaluseks peamiselt selle tohutu salvestusmahu ja kasutustingimuste tõttu, mis ei sea abonendile mingeid kohustusi. Pilvesalvestust saab pakkuda tellimuste ja teenuste vormis, mis kestavad etteantud aja jooksul. Pärast seda pole kliendil kohustust seda uuendada.
Suurte andmete salvestamine pilves avab aga uued turvaprobleemid, millega ei saa silmitsi seista tavaliste staatiliste andmete jaoks rakendatud turvameetmetega. Ehkki suurandmed pole uudne kontseptsioon, on nende kogumine ja kasutamine hakanud hoogustuma alles viimastel aastatel. Varem piirdusid suurandmete säilitamine ja analüüs ainult suurkorporatsioonide ja valitsusega, kes võisid endale lubada andmete säilitamiseks ja kaevandamiseks vajalikku infrastruktuuri. Selline infrastruktuur oli patenteeritud ja ei olnud avatud üldistele võrkudele. Suured andmed on nüüd aga avaliku pilvtaristu kaudu odavalt kättesaadavad igat tüüpi ettevõtetele. Selle tulemusel on tekkinud uusi keerukaid julgeolekuohte ning need mitmekordistuvad ja arenevad edasi.
Turvalisuse probleemid hajutatud programmeerimisraamistikes
Hajutatud programmeerimisraamistikud töötlevad suurandmeid paralleelsete arvutus- ja salvestusmeetoditega. Sellistes raamistikes võivad autentimata või muudetud kaardistajad - mis jaotavad tohutud ülesanded väiksemateks alamülesanneteks, nii et ülesandeid saab lõpptulemuse loomiseks koondada - kahjustada andmeid. Vigad või modifitseeritud töötaja sõlmed - mis võtavad ülesannete täitmiseks kaardistajalt sisendi - võivad andmeid kahjustada, koputades andmeside kaardistaja ja teiste töötaja sõlmede vahel. Ebaausate töötajate sõlmpunktid võivad luua ka õigustatud töötajate sõlmede koopiad. Andmeturbe tagamine on veelgi keerukam asjaolu tõttu, et petturitest kaardistajaid või sõlme on sellises tohutul hulgal äärmiselt keeruline tuvastada.
Enamik pilvepõhiseid andmeraamistikke kasutab NoSQL andmebaasi. NoSQL andmebaas on kasulik tohutute, struktureerimata andmekogumite käsitlemiseks, kuid turvalisuse seisukohast on see halvasti kavandatud. NoSQL loodi algselt, ilma et oleks peaaegu üldse turbekaalutlusi silmas peetud. NoSQL-i üks suurimaid nõrkusi on tehingute terviklikkus. Sellel on viletsad autentimismehhanismid, mis muudab selle haavatavaks keset meeskonda või kordusrünnakute suhtes. Olukorra halvendamiseks ei toeta NoSQL autentimismehhanismide tugevdamiseks kolmanda osapoole moodulite integreerimist. Kuna autentimismehhanismid on üsna nõrgad, puutuvad andmed kokku ka siseringi rünnakutega. Rünnakud võivad halva logimise ja logianalüüsi mehhanismide tõttu jääda märkamatuks ja jälgimata.
Andmete ja tehingute logi probleemid
Andmeid hoitakse tavaliselt mitmetasandilises andmekandjas. Andmeid on suhteliselt lihtne jälgida, kui maht on suhteliselt väike ja staatiline. Kuid kui maht hüppeliselt suureneb, kasutatakse automaatse astme määramise lahendusi. Automaattasandil põhinevad lahendused salvestavad andmeid erinevates astmetes, kuid ei jälgi asukohti. See on turvalisuse küsimus. Näiteks võib organisatsioonis olla konfidentsiaalseid andmeid, mida kasutatakse harva. Automaatse astme määramise lahendused ei tee tundlike ja mittetundlike andmete vahel vahet ning salvestavad harva juurdepääsetavad andmed kõige madalamasse astmesse. Madalaimate astmete turvalisus on madalaim.
Andmete valideerimise probleemid
Organisatsioonis võib suuri andmeid koguda erinevatest allikatest, mis hõlmavad lõpp-seadmeid, näiteks tarkvararakendusi ja riistvaraseadmeid. On suur väljakutse tagada, et kogutud andmed ei oleks pahatahtlikud. Igaüks, kellel on pahatahtlikke kavatsusi, võib andmeid pakkuvat seadet või andmeid koguvat rakendust manipuleerida. Näiteks võib häkker tuua süsteemi vastu Sybili rünnaku ja seejärel kasutada võltsitud identiteete, et edastada kesksesse kogumisserverisse või süsteemi pahatahtlikke andmeid. See oht on eriti rakendatav oma seadme toomise (BYOD) stsenaariumi korral, kuna kasutajad saavad kasutada oma isiklikke seadmeid ettevõtte võrgus.
Reaalajas suurandmete turvalisuse jälgimine
Andmete jälgimine reaalajas on suur väljakutse, kuna peate jälgima nii suurandmete infrastruktuuri kui ka andmeid, mida see töötleb. Nagu varem märgitud, puutub pilve suurandmete infrastruktuur ohtudega pidevalt kokku. Pahatahtlikud üksused saavad süsteemi muuta nii, et see pääseb juurde andmetele ja genereerib seejärel järeleandmatult valepositiivseid andmeid. Valepositsioonide ignoreerimine on äärmiselt riskantne. Lisaks võivad need üksused proovida tuvastamisest kõrvale hoida, ehitades kõrvalehoidumisrünnakuid, või isegi kasutada andmete mürgitamist, et vähendada töödeldavate andmete usaldusväärsust.
Pole vigu ega stressi - teie samm-sammuline juhend elumuutva tarkvara loomiseks ilma oma elu hävitamata
Te ei saa oma programmeerimisoskusi parandada, kui keegi tarkvara kvaliteedist ei hooli.
Turvalisuse ohtude vastu võitlemise strateegiad
Suurte andmete turvalisuse strateegiad on alles tekkimas, kuid need peavad kiiresti arenema. Turvaohtudele antakse vastuseid võrgus endas. Võrgukomponendid vajavad täielikku usaldusväärsust ja seda on võimalik saavutada tugevate andmekaitsestrateegiate abil. Lahtiste andmekaitsemeetmete suhtes peaks olema nulltolerants. Samuti peaks olema tugev, automatiseeritud mehhanism sündmuste logide kogumiseks ja analüüsimiseks.
Jagatud programmeerimisraamistike usaldusväärsuse parandamine
Nagu varem öeldud, võivad ebausaldusväärsed kaardistajad ja töötajate sõlmed kahjustada andmeturvet. Niisiis on vaja kaardistajate ja sõlmede usaldusväärsust. Selleks peavad kaardistajad töötaja sõlme regulaarselt autentima. Kui töötaja sõlme edastab ühenduse saamiseks päringu kapteniga, kiidetakse see heaks tingimusel, et töötajal on eelnevalt kindlaks määratud usaldusomaduste komplekt. Seejärel kontrollitakse töötaja regulaarselt, kas see vastab usaldus- ja turbepoliitikale.
Range andmekaitsepoliitika
Jaotatud raamistiku ja NoSQL-i andmebaasi olemuselt nõrga andmekaitse tõttu tuleb tegeleda andmete turvalisusega seotud ohtudega. Paroolid peaksid olema räsitud või krüptitud turvaliste räsimisalgoritmidega. Puhkeasendis olevad andmed peaksid alati olema krüpteeritud ja neid ei tohiks välja jätta, isegi pärast jõudluse mõju arvestamist. Riistvara ja hulgifailide krüptimine on oma olemuselt kiirem ja see võib toimimisprobleeme mingil määral lahendada, kuid ka ründajad võivad riistvaraseadmete krüptimist rikkuda. Olukorda arvestades on hea tava kasutada SSL / TLS-i kliendi ja serveri vaheliste ühenduste loomiseks ja klastri sõlmede vaheliseks suhtluseks. Lisaks peab NoSQL-i arhitektuur lubama pistikühendusega kolmanda osapoole autentimismooduleid.
Analüüs
Suurandmete analüüsi saab kasutada klastri sõlmede kahtlaste ühenduste jälgimiseks ja tuvastamiseks ning võimalike ohtude tuvastamiseks logide pidevaks kaevandamiseks. Kuigi Hadoopi ökosüsteemil puuduvad sisseehitatud turvamehhanismid, võib kahtlaste tegevuste jälgimiseks ja tuvastamiseks kasutada muid tööriistu, kui need tööriistad vastavad teatud standarditele. Näiteks peavad sellised tööriistad vastama avatud veebirakenduste turvaprojekti (OWASP) juhistele. Eeldatavasti paraneb sündmuste reaalajas jälgimine juba toimuvate arengutega. Näiteks rakendatakse suurandmete jaoks järk-järgult turbesisu automatiseerimise protokolli (SCAP). Apache Kafka ja Storm tõotavad olla head reaalajas jälgimisvahendid.
Kõrvaliste andmete tuvastamine andmete kogumisel
Andmete kogumise ajal pole volitamata sissetungide täielikuks ennetamiseks sissetungimiskindlat süsteemi veel saadaval. Sissetungi saab aga märkimisväärselt vähendada. Esiteks tuleb andmekogumisrakendused arendada võimalikult turvaliseks, pidades silmas BYOD-i stsenaariumi, kui rakendus võib töötada mitmel ebausaldusväärsel seadmel. Teiseks, kindlameelsed ründajad rikuvad kesksesse kogumissüsteemi tõenäoliselt isegi kõige tugevamat kaitset ja pahatahtlikku teavet. Niisiis, peaks olema olemas algoritmid selliste pahatahtlike sisendite tuvastamiseks ja filtreerimiseks.
Järeldus
Pilve suurte andmete haavatavused on ainulaadsed ja traditsiooniliste turvameetmetega ei saa neid lahendada. Pilveandmete kaitse andmekaitse valdkonnas on alles tekkiv valdkond, sest teatavaid parimaid tavasid, näiteks reaalajas jälgimist, alles arendatakse ja olemasolevaid parimaid tavasid või meetmeid ei kasutata rangelt. Arvestades, kui tulus suurandmed on, jõuavad turvameetmed siiski lähitulevikus kindlasti järele.