Velká data v cloudu - Jak bezpečná jsou naše data?

Obsah

• Problémy s bezpečností v distribuovaných programovacích rámcích

• Většina datových rámců založených na cloudu používá databázi NoSQL. Databáze NoSQL je výhodná pro zpracování obrovských nestrukturovaných datových souborů, ale z hlediska bezpečnosti je špatně navržena. NoSQL byl původně navržen s ohledem na téměř žádné bezpečnostní aspekty. Jednou z největších slabin NoSQL je transakční integrita. Má špatné mechanismy ověřování, díky čemuž je zranitelný vůči útokům typu „člověk uprostřed“ nebo k opakovaným přehráním. Aby to bylo ještě horší, NoSQL nepodporuje integraci modulů třetích stran pro posílení mechanismů autentizace. Protože mechanismy autentizace jsou spíše laxní, data jsou také vystavena útokům zasvěcených. Útoky by mohly být bez povšimnutí a nezrušeny kvůli špatným mechanismům protokolování a analýzy protokolů.

  Problémy s daty a transakčními protokoly

• Problémy s ověřením dat
• Monitorování zabezpečení velkých dat v reálném čase
• Žádné chyby, žádný stres - Váš průvodce krok za krokem k vytváření softwaru pro změnu života, aniž by došlo ke zničení vašeho života
• Strategie čelit bezpečnostním hrozbám
• Zvyšování důvěryhodnosti v distribuovaných programovacích rámcích
• Přísné zásady ochrany údajů
• Analýza
• Zjištění odlehlých hodnot při sběru dat
• Závěr

Zdroj: Cuteimage / Dreamstime.com

Odnést:

Prozkoumejte největší hrozby pro velká data v cloudu a naučte se, jak se proti nim chránit.

Objem velkých dat každým dnem divoce roste. Od 2 500 exabajtů v roce 2012 se očekává, že v roce 2020 vzroste velká data na 40 000 exabajtů. Proto je ukládání dat vážnou výzvou, kterou zvládne pouze cloudová infrastruktura. Cloud se stal oblíbenou možností zejména díky své obrovské úložné kapacitě a podmínkám používání, které neukládají účastníkovi žádné povinnosti. Cloudové úložiště může být nabízeno ve formě předplatného a služby trvají po předem stanovenou dobu. Poté již klient není povinen jej obnovit.

Ukládání velkých dat v cloudu však otevírá nové bezpečnostní výzvy, kterým nemohou čelit bezpečnostní opatření přijatá pro pravidelná statická data. Přestože velká data nejsou novým pojmem, její sběr a používání začalo tempo nabírat až v posledních letech. V minulosti bylo ukládání a analýza velkých dat omezeno pouze na velké korporace a vládu, která si mohla dovolit infrastrukturu nezbytnou pro ukládání a těžbu dat. Taková infrastruktura byla proprietární a nebyla vystavena obecným sítím. Velká data jsou však nyní prostřednictvím veřejné cloudové infrastruktury levně k dispozici všem typům podniků. V důsledku toho se objevily nové, sofistikované bezpečnostní hrozby, které se dále množí a vyvíjejí.

Problémy s bezpečností v distribuovaných programovacích rámcích

Distribuované programové rámce zpracovávají velká data pomocí technik paralelního výpočtu a ukládání. V takových rámcích mohou neověřené nebo modifikované mapovače - které rozdělují obrovské úkoly na menší dílčí úkoly, aby mohly být agregovány pro vytvoření konečného výstupu - kompromitovat data. Vadné nebo upravené pracovní uzly - které přijímají vstupy z mapovače pro provádění úkolů - mohou kompromitovat data klepnutím na datovou komunikaci mezi mapovačem a ostatními pracovními uzly. Rogue pracovník uzly mohou také vytvářet kopie legitimních pracovníků uzlů. Skutečnost, že je nesmírně obtížné identifikovat nepoctivé mapovače nebo uzly v tak obrovském rámci, je zabezpečení dat ještě náročnější.

Většina datových rámců založených na cloudu používá databázi NoSQL. Databáze NoSQL je výhodná pro zpracování obrovských nestrukturovaných datových souborů, ale z hlediska bezpečnosti je špatně navržena. NoSQL byl původně navržen s ohledem na téměř žádné bezpečnostní aspekty. Jednou z největších slabin NoSQL je transakční integrita. Má špatné mechanismy ověřování, díky čemuž je zranitelný vůči útokům typu „člověk uprostřed“ nebo k opakovaným přehráním. Aby to bylo ještě horší, NoSQL nepodporuje integraci modulů třetích stran pro posílení mechanismů autentizace. Protože mechanismy autentizace jsou spíše laxní, data jsou také vystavena útokům zasvěcených. Útoky by mohly být bez povšimnutí a nezrušeny kvůli špatným mechanismům protokolování a analýzy protokolů.

Problémy s daty a transakčními protokoly

Data jsou obvykle ukládána na vícevrstvé úložné médium. Je poměrně snadné sledovat data, když je objem relativně malý a statický. Když se však objem exponenciálně zvýší, použijí se řešení automatické úrovně. Řešení automatického vrstvení ukládají data v různých úrovních, ale nesledují umístění. Toto je bezpečnostní problém. Organizace může mít například důvěrná data, která se používají jen zřídka. Řešení s automatickým odstupňováním však nerozlišují mezi citlivými a necitlivými daty a pouze ukládají zřídka přístupná data do nejnižší úrovně. Nejnižší úrovně mají nejnižší možnou bezpečnost.

Problémy s ověřením dat

V organizaci mohou být velká data shromažďována z různých zdrojů, které zahrnují koncová zařízení, jako jsou softwarové aplikace a hardwarová zařízení. Je velkou výzvou zajistit, aby shromážděná data nebyla škodlivá. Kdokoli se škodlivými úmysly může manipulovat se zařízením, které poskytuje data nebo s aplikací, která data shromažďuje. Například hacker může vyvolat útok Sybil na systém a poté použít falešné identity k poskytnutí škodlivých dat centrálnímu sběrnému serveru nebo systému. Tato hrozba je zvláště vhodná ve scénáři přinést vaše vlastní zařízení (BYOD), protože uživatelé mohou používat svá osobní zařízení v podnikové síti.

Monitorování zabezpečení velkých dat v reálném čase

Monitorování dat v reálném čase je velká výzva, protože musíte sledovat jak velkou datovou infrastrukturu, tak i data, která zpracovává. Jak již bylo uvedeno dříve, velká datová infrastruktura v cloudu je neustále vystavena hrozbám. Škodlivé entity mohou systém upravit tak, aby přistupoval k datům a pak vytrvale generoval falešná pozitiva. Je velmi riskantní ignorovat falešné pozitivy. Kromě toho se tyto entity mohou pokusit vyhnout detekci vytvořením útoků proti únikům nebo dokonce použít otravu dat ke snížení důvěryhodnosti zpracovávaných dat.

Žádné chyby, žádný stres - Váš průvodce krok za krokem k vytváření softwaru pro změnu života, aniž by došlo ke zničení vašeho života

Nemůžete zlepšit své programovací schopnosti, když se nikdo nestará o kvalitu softwaru.

Strategie čelit bezpečnostním hrozbám

Strategie zabezpečení velkých dat jsou stále v rodícím se stadiu, ale musí se rychle vyvíjet. Odpovědi na bezpečnostní hrozby leží v samotné síti. Síťové komponenty potřebují absolutní důvěryhodnost, čehož lze dosáhnout pomocí silných strategií ochrany údajů. Měla by existovat nulová tolerance pro laxní opatření na ochranu údajů. Měl by také existovat silný, automatizovaný mechanismus pro sběr a analýzu protokolů událostí.

Zvyšování důvěryhodnosti v distribuovaných programovacích rámcích

Jak již bylo uvedeno dříve, nedůvěryhodní mapovače a pracovní uzly mohou ohrozit bezpečnost dat. Je tedy vyžadována důvěryhodnost mapovačů a uzlů. K tomu musí mapátoři pravidelně ověřovat pracovní uzly. Když pracovník uzlu žádost o připojení k hlavní, bude žádost schválena s výhradou, že pracovník má předdefinovanou sadu vlastností důvěry. Poté bude pracovník pravidelně kontrolován z hlediska dodržování zásad důvěry a bezpečnosti.

Přísné zásady ochrany údajů

Je třeba se zabývat bezpečnostními hrozbami pro data z důvodu inherentně slabé ochrany dat v distribuovaném rámci a databázi NoSQL. Hesla by měla být hashovaná nebo šifrovaná pomocí bezpečných hashovacích algoritmů. Data v klidu by měla být vždy šifrována a neměla by být ponechána venku, i po zvážení dopadu na výkon. Šifrování hardwaru a hromadných souborů má rychlejší charakter a mohlo by do jisté míry vyřešit problémy s výkonem, ale útočníci mohou také narušit šifrování hardwarového zařízení. S ohledem na situaci je dobré používat SSL / TLS k navázání spojení mezi klientem a serverem a pro komunikaci napříč klastrovými uzly. Architektura NoSQL navíc musí umožňovat připojitelné autentizační moduly třetích stran.

Analýza

Analýzu velkých dat lze použít k monitorování a identifikaci podezřelých připojení k uzlům clusteru ak neustálému těžbě protokolů k identifikaci potenciálních hrozeb. Ačkoli ekosystém Hadoop nemá žádné vestavěné bezpečnostní mechanismy, mohou být k monitorování a identifikaci podezřelých činností použity jiné nástroje, pokud tyto nástroje splňují určité normy. Takové nástroje musí například splňovat pokyny OWASP (Open Web Application Security Project). Očekává se, že monitorování událostí v reálném čase se zlepší s některými již probíhajícími událostmi. Například protokol zabezpečení obsahu automatizace (SCAP) se postupně aplikuje na velká data. Apache Kafka a Storm slibují, že budou dobrými nástroji pro monitorování v reálném čase.

Zjištění odlehlých hodnot při sběru dat

Stále není k dispozici žádný systém zabraňující narušení, který by v době sběru dat zcela zabránil neoprávněnému vniknutí. Vniknutí však lze výrazně snížit. Za prvé, aplikace pro sběr dat musí být vyvinuty tak, aby byly co nejbezpečnější, přičemž je třeba mít na paměti scénář BYOD, kdy může být aplikace spuštěna na několika nedůvěryhodných zařízeních. Za druhé, odhodlaní útočníci pravděpodobně poruší i ty nejsilnější obrany a škodlivá data do centrálního systému sběru. Proto by měly existovat algoritmy pro detekci a odfiltrování takových škodlivých vstupů.

Závěr

Velká zranitelnost dat v cloudu je jedinečná a nelze ji řešit tradičními bezpečnostními opatřeními. Velká ochrana dat v cloudu je stále rodící se oblastí, protože některé osvědčené postupy, jako je monitorování v reálném čase, se stále vyvíjejí a dostupné osvědčené postupy nebo opatření se nepoužívají přísně. Přesto, vzhledem k tomu, jak lukrativní jsou velká data, je jistota, že bezpečnostní opatření v blízké budoucnosti dohoní.