企業(yè)的數(shù)據(jù)湖充滿(mǎn)了敏感信息,確保企業(yè)數(shù)據(jù)湖安全是當(dāng)務(wù)之急。儀表圈建議企業(yè)需要從識(shí)別和分類(lèi)現(xiàn)有數(shù)據(jù)和傳入數(shù)據(jù)、保護(hù)輸入輸出和工作文件、帳戶(hù)管理和訪問(wèn)權(quán)限、系統(tǒng)保護(hù)最佳實(shí)踐、定期進(jìn)行安全評(píng)估和學(xué)習(xí)和培訓(xùn)這六個(gè)方面入手做好企業(yè)數(shù)據(jù)湖安全保護(hù)工作,讓企業(yè)敏感信息免受黑客攻擊。
數(shù)據(jù)湖是一種專(zhuān)用平臺(tái),可存儲(chǔ)來(lái)自各種來(lái)源的大量結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)。調(diào)研機(jī)構(gòu)的分析師可以使用各種工具直接訪問(wèn)數(shù)據(jù)湖中的信息,也可以將其作為準(zhǔn)備要加載到數(shù)據(jù)倉(cāng)庫(kù)中信息的暫存區(qū)。換句話(huà)說(shuō),數(shù)據(jù)湖擁有有關(guān)企業(yè)業(yè)務(wù)的信息寶庫(kù)。與所有企業(yè)數(shù)據(jù)存儲(chǔ)一樣,需要保護(hù)數(shù)據(jù)湖免遭未經(jīng)授權(quán)的訪問(wèn)。
1、識(shí)別和分類(lèi)現(xiàn)有數(shù)據(jù)和傳入數(shù)據(jù)
如果不知道所存儲(chǔ)的數(shù)據(jù)是敏感數(shù)據(jù),就不會(huì)采取必要的預(yù)防措施來(lái)保護(hù)它。大多數(shù)企業(yè)都有將數(shù)據(jù)元素分為敏感度級(jí)別的安全分類(lèi)。其級(jí)別基于行業(yè)和政府法規(guī)的安全標(biāo)準(zhǔn),以及如果未經(jīng)授權(quán)披露或修改該數(shù)據(jù)將對(duì)企業(yè)產(chǎn)生什么影響。
這些分類(lèi)使管理人員可以部署適當(dāng)級(jí)別的基準(zhǔn)安全機(jī)制和過(guò)程控制。為了確保正確分類(lèi),企業(yè)需要評(píng)估數(shù)據(jù)湖中的現(xiàn)有數(shù)據(jù),并制定程序以分析傳入的信息。
2、保護(hù)輸入、輸出和工作文件
在討論數(shù)據(jù)庫(kù)安全性時(shí),其原則是“沒(méi)有數(shù)據(jù)庫(kù)就是孤島”。而這個(gè)原則也適用于數(shù)據(jù)湖。
黑客的常見(jiàn)策略是獲得對(duì)加載系統(tǒng)的輸入文件,日常處理中使用的工作文件,以及輸出文件的訪問(wèn)權(quán)限。企業(yè)需要保護(hù)的輸出包括用于將數(shù)據(jù)傳輸?shù)狡渌麘?yīng)用程序的文件、報(bào)告文件和數(shù)據(jù)湖備份。
3、帳戶(hù)管理和訪問(wèn)權(quán)限
有許多數(shù)據(jù)湖平臺(tái)可供選擇。亞馬遜、甲骨文、Cloudera、微軟和Teradata都有流行的數(shù)據(jù)湖選項(xiàng)。盡管每個(gè)平臺(tái)可能具有不同的機(jī)制和過(guò)程來(lái)創(chuàng)建帳戶(hù)和分配訪問(wèn)權(quán)限,但數(shù)據(jù)湖安全最佳實(shí)踐對(duì)于每個(gè)環(huán)境都是相同的。
為了正確保護(hù)數(shù)據(jù)湖,企業(yè)應(yīng)該遵循傳統(tǒng)的行業(yè)建議,其范圍從授予用戶(hù)執(zhí)行工作所需的最低安全權(quán)限到設(shè)置適當(dāng)?shù)拿艽a復(fù)雜性、有效期和鎖定設(shè)置。
還應(yīng)使用雙因素身份驗(yàn)證、密碼庫(kù)和企業(yè)身份驗(yàn)證機(jī)制來(lái)保護(hù)平臺(tái)。數(shù)據(jù)湖的管理指南是極好的資源。大多數(shù)供應(yīng)商手冊(cè)都包含詳細(xì)的準(zhǔn)則,以幫助管理人員保護(hù)其系統(tǒng)。
4、系統(tǒng)保護(hù)最佳實(shí)踐
操作系統(tǒng)和數(shù)據(jù)湖的供應(yīng)商手冊(cè)還提供信息,以幫助企業(yè)正確安裝和配置其軟件,以防止未經(jīng)授權(quán)的訪問(wèn)。使軟件保持最新?tīng)顟B(tài)并識(shí)別、分析和應(yīng)用安全修復(fù)程序是所有平臺(tái)(包括數(shù)據(jù)湖)的標(biāo)準(zhǔn)做法。同樣,應(yīng)用行業(yè)最佳實(shí)踐也很重要,其中包括正確的系統(tǒng)配置和補(bǔ)丁程序管理。
基本的配置錯(cuò)誤問(wèn)題和最佳實(shí)踐的缺失會(huì)導(dǎo)致安全問(wèn)題。根據(jù)SiliconAngle公司發(fā)表的一篇文章,越來(lái)越多的黑客利用基本的安全管理錯(cuò)誤對(duì)Hadoop系統(tǒng)(數(shù)據(jù)湖的主要平臺(tái))造成了嚴(yán)重破壞。
5、定期進(jìn)行安全評(píng)估
定期計(jì)劃的滲透測(cè)試、漏洞掃描和審計(jì)都是有效的數(shù)據(jù)湖安全計(jì)劃的基本要素。
這些掃描的共同目標(biāo)是識(shí)別安全漏洞。重要的是要注意,所有這三個(gè)標(biāo)識(shí)針對(duì)特定時(shí)間點(diǎn)的漏洞,并且必須定期執(zhí)行以維護(hù)高水平的數(shù)據(jù)湖安全性。
滲透測(cè)試軟件允許安全分析師執(zhí)行一系列進(jìn)程,試圖利用已知系統(tǒng)漏洞訪問(wèn)目標(biāo)平臺(tái)。漏洞軟件還可以識(shí)別已知的系統(tǒng)漏洞,但不會(huì)試圖利用這些漏洞獲取訪問(wèn)權(quán)限。漏洞掃描的侵入性較小,運(yùn)行頻率高于滲透測(cè)試。安全審計(jì)審查現(xiàn)有控制措施的執(zhí)行情況,并評(píng)估對(duì)組織政策和程序的行政遵守情況。企業(yè)使用滲透測(cè)試、漏洞掃描和審核產(chǎn)生的輸出來(lái)識(shí)別安全問(wèn)題,并采取必要的糾正措施來(lái)補(bǔ)救或減輕其影響。
6、學(xué)習(xí)和培訓(xùn)
學(xué)習(xí)如何保護(hù)企業(yè)數(shù)據(jù)湖像學(xué)習(xí)其他任何東西一樣。人們需要花費(fèi)時(shí)間學(xué)習(xí)各種關(guān)于數(shù)據(jù)安全的最佳實(shí)踐,可以通過(guò)大量培訓(xùn)材料進(jìn)行學(xué)習(xí),并且在Udemy和Coursera等網(wǎng)站上提供安全等級(jí)和認(rèn)證。
