在云中啟用數(shù)據(jù)和分析可以讓企業(yè)擁有無限的規(guī)模和可能性,以更快地獲得洞察,并利用數(shù)據(jù)做出更優(yōu)的決策。數(shù)據(jù)湖倉愈發(fā)受到歡迎,其為所有的企業(yè)數(shù)據(jù)提供了一個(gè)統(tǒng)一平臺(tái),可以靈活運(yùn)行任何分析和機(jī)器學(xué)習(xí)(ML)用例。數(shù)據(jù)湖倉兼具了數(shù)據(jù)湖的靈活性和經(jīng)濟(jì)效益,以及數(shù)據(jù)倉庫的性能和可靠性。
云數(shù)據(jù)湖倉將多種處理引擎(SQL、Spark等)和現(xiàn)代分析工具(ML、數(shù)據(jù)工程化和商業(yè)智能)整合到一個(gè)統(tǒng)一的分析環(huán)境中,使用戶能夠快速采集數(shù)據(jù),并運(yùn)行自助分析和機(jī)器學(xué)習(xí)。與本地?cái)?shù)據(jù)湖相比,云數(shù)據(jù)湖倉在擴(kuò)展性、敏捷性和成本方面具有明顯的優(yōu)勢,但遷移上云并非沒有安全之憂。
數(shù)據(jù)湖倉的架構(gòu)設(shè)計(jì)包含一個(gè)復(fù)雜的組件生態(tài)系統(tǒng),其中每個(gè)組件都是一條可以使用數(shù)據(jù)的潛在路徑。從規(guī)避風(fēng)險(xiǎn)的角度而言,有的企業(yè)可能不愿將生態(tài)系統(tǒng)遷移到云端,但經(jīng)過多年的發(fā)展,云數(shù)據(jù)湖倉已經(jīng)變得更加安全、合理,相比本地?cái)?shù)據(jù)湖倉具有明顯的優(yōu)勢。
以下十項(xiàng)基本的云數(shù)據(jù)湖倉安全實(shí)踐可以幫助企業(yè)確保安全、降低風(fēng)險(xiǎn)并提供持續(xù)可見性。
1.安全功能隔離
安全功能隔離是云安全框架最重要的功能和基礎(chǔ)。其目標(biāo)是通過最小權(quán)限原則,將安全與非安全功能分區(qū)。在云上采取這一做法是為了將云平臺(tái)的功能嚴(yán)格限制在預(yù)定范圍內(nèi)。數(shù)據(jù)湖倉的作用應(yīng)僅限于管理數(shù)據(jù)湖倉平臺(tái)。企業(yè)應(yīng)將云安全功能分配給經(jīng)驗(yàn)豐富的安全管理員,避免讓數(shù)據(jù)湖倉用戶將該環(huán)境暴露在重大風(fēng)險(xiǎn)中。DivvyCloud近期的一項(xiàng)研究顯示,云端部署的主要風(fēng)險(xiǎn)之一是因配置錯(cuò)誤和用戶缺乏經(jīng)驗(yàn)而導(dǎo)致的違規(guī)行為。通過將安全功能隔離和最小權(quán)限原則納入云安全計(jì)劃,企業(yè)可以顯著減少外部暴露和數(shù)據(jù)泄露風(fēng)險(xiǎn)。
2.云平臺(tái)加固
隔離和加固云數(shù)據(jù)湖倉平臺(tái)的第一步是建立唯一的云帳戶。通過限制平臺(tái)功能,讓管理員僅擁有管理數(shù)據(jù)湖倉平臺(tái)的權(quán)限。在云平臺(tái)上隔離邏輯型數(shù)據(jù)的最有效方法是使用唯一帳戶進(jìn)行部署。
在擁有運(yùn)行數(shù)據(jù)湖倉服務(wù)的唯一云帳戶后,企業(yè)就可以使用網(wǎng)絡(luò)安全中心(CIS)提到的加固技術(shù)。使用唯一帳戶策略和加固技術(shù),可以將企業(yè)的數(shù)據(jù)湖倉服務(wù)功能與其他云服務(wù)進(jìn)行安全隔離。
3.網(wǎng)絡(luò)邊界
在加固云帳戶后,企業(yè)還需要為該環(huán)境設(shè)計(jì)網(wǎng)絡(luò)路徑。這是整個(gè)安全體系的關(guān)鍵組成部分之一,也是企業(yè)的第一道防線。有很多方法可以解決云部署帶來的網(wǎng)絡(luò)邊界安全問題,企業(yè)可能會(huì)因?yàn)閹捄秃弦?guī)方面的要求而選擇其中一些方法,這些方法必須使用專用連接,或使用云提供的虛擬專用網(wǎng)絡(luò)(VPN)服務(wù),并通過隧道將流量回傳到企業(yè)。
如果企業(yè)準(zhǔn)備在云帳戶中存儲(chǔ)任何類型的敏感數(shù)據(jù),并且不使用私人鏈路連接到云,那么流量控制和可視性將至關(guān)重要。云平臺(tái)市場提供了許多企業(yè)防火墻,它們具有更高級的功能且價(jià)格合理,能夠補(bǔ)充本地云安全工具。企業(yè)可以在中心輻射型結(jié)構(gòu)中部署虛擬防火墻,通過一個(gè)或一對普遍可用的防火墻來保護(hù)所有的云網(wǎng)絡(luò)。防火墻應(yīng)成為云基礎(chǔ)設(shè)施中唯一擁有公共IP地址的組件。企業(yè)還應(yīng)創(chuàng)建明確的進(jìn)出政策和入侵防御配置文件以降低非法訪問和數(shù)據(jù)滲漏風(fēng)險(xiǎn)。
4.主機(jī)端安全系統(tǒng)
在云部署中,主機(jī)端安全系統(tǒng)是一個(gè)經(jīng)常被忽視卻非常重要的安全層。與確保網(wǎng)絡(luò)安全的防火墻功能一樣,主機(jī)端安全系統(tǒng)可以保護(hù)主機(jī)免受攻擊。在大多數(shù)情況下,它就是最后一道防線。主機(jī)端安全的范圍相當(dāng)廣泛,并且根據(jù)服務(wù)和功能而異。
- 主機(jī)入侵檢測:這項(xiàng)在主機(jī)端運(yùn)行的代理技術(shù)通過各種檢測系統(tǒng)來發(fā)現(xiàn)并警告攻擊和可疑活動(dòng)。目前業(yè)界有兩種主流的入侵檢測技術(shù):最常見的是檢測已知威脅特征的特征檢測技術(shù);另一種是異常檢測技術(shù),這種技術(shù)使用行為分析來檢測特征檢測技術(shù)無法發(fā)現(xiàn)的可疑活動(dòng)。一些服務(wù)在提供機(jī)器學(xué)習(xí)功能的同時(shí),也提供這兩種檢測。它們都能提供主機(jī)活動(dòng)的可見性,幫助企業(yè)檢測和應(yīng)對潛在的威脅和攻擊。
- 文件完整性監(jiān)視(FIM):這項(xiàng)功能能夠監(jiān)視和追蹤環(huán)境中的文件變化,有效檢測和追蹤網(wǎng)絡(luò)攻擊。它是許多監(jiān)管合規(guī)框架的關(guān)鍵要求之一。由于多數(shù)漏洞一般需要獲得某項(xiàng)高權(quán)限來運(yùn)行進(jìn)程,因此它們會(huì)利用已經(jīng)擁有這些權(quán)限的服務(wù)或文件,例如抓住服務(wù)缺陷將錯(cuò)誤參數(shù)覆蓋系統(tǒng)文件并插入有害代碼。FIM能夠發(fā)現(xiàn)并提醒企業(yè)文件的變化甚至添加。有些FIM還提供高級功能,比如將文件恢復(fù)到已知的良好狀態(tài)或通過分析文件模式識別惡意文件。
- 日志管理:分析云數(shù)據(jù)湖倉中的活動(dòng)是識別安全突發(fā)事件的關(guān)鍵,同時(shí)也是合規(guī)控制手段的基石。日志記錄必須能夠防止欺詐活動(dòng)對事件進(jìn)行更改或刪除。為了遵守法律法規(guī),企業(yè)往往需要制定日志存儲(chǔ)、留存和銷毀政策。
- 執(zhí)行日志管理政策最常見的方法是將日志實(shí)時(shí)復(fù)制到集中存儲(chǔ)庫,以備未來分析所需時(shí)訪問。目前有許多商業(yè)和開源日志管理工具可供選擇。
5.身份管理和認(rèn)證
身份是重要的審核依據(jù),可以為云數(shù)據(jù)湖倉提供強(qiáng)有力的訪問控制。在使用云服務(wù)時(shí),企業(yè)首先要將身份提供程序(如活動(dòng)目錄)與云提供商整合。 對于某些基礎(chǔ)設(shè)施服務(wù)而言這就足夠了。但如果企業(yè)自行管理第三方應(yīng)用或部署包含多項(xiàng)服務(wù)的數(shù)據(jù)湖倉,則可能需要整合零散的認(rèn)證服務(wù),包括SAML客戶端和提供商,如Auth0、OpenLDAP、Kerberos和Apache Knox等。如果想擴(kuò)展到Hue、Presto或Jupyter等服務(wù),則可以參考關(guān)于Knox和Auth0集成的第三方文檔。
6.授權(quán)
授權(quán)通過數(shù)據(jù)和資源訪問控制、以及列級過濾來確保敏感數(shù)據(jù)的安全。云提供商通過基于資源的身份和訪問管理(IAM)策略與基于角色的訪問控制(RBAC),將強(qiáng)大的訪問控制策略整合到其PaaS解決方案中,其中RBAC可以利用最小權(quán)限原則管理訪問控制策略,此舉的最終目的是集中定義行和列級訪問控制。 一些云提供商已經(jīng)開始擴(kuò)展IAM,提供數(shù)據(jù)湖構(gòu)建等數(shù)據(jù)和工作負(fù)載引擎訪問控制策略,并增加服務(wù)與帳戶之間共享數(shù)據(jù)的能力。根據(jù)云數(shù)據(jù)湖倉中運(yùn)行的服務(wù)數(shù)量,企業(yè)可能需要使用其他開源或第三方項(xiàng)目(如Apache Ranger)擴(kuò)展這種方法,對所有服務(wù)進(jìn)行精細(xì)授權(quán)。
7.加密
加密是保障集群和數(shù)據(jù)安全的基礎(chǔ)。一般情況下,企業(yè)可以在云提供商所提供的指南中找到最佳的加密方法。正確掌握這些細(xì)節(jié)非常重要,而這需要企業(yè)對IAM、密鑰輪換策略和具體的應(yīng)用配置有深入的了解。對于 存儲(chǔ)桶、日志、秘密和卷以及所有數(shù)據(jù)存儲(chǔ),企業(yè)需要熟悉KMS CMK最佳實(shí)踐,并對動(dòng)態(tài)和靜態(tài)數(shù)據(jù)進(jìn)行加密。如果企業(yè)整合的不是由云提供商所提供的服務(wù),那么就需要提供自己的證書。無論是哪種情況,企業(yè)都有必要制定證書輪換的方法,例如每90天輪換一次。
8.漏洞管理
無論企業(yè)使用什么樣的分析堆棧和云提供商,都要確保數(shù)據(jù)湖倉基礎(chǔ)設(shè)施中的全部實(shí)例都安裝了最新的安全補(bǔ)丁。落實(shí)定期操作系統(tǒng)和軟件包補(bǔ)丁策略,包括定期對基礎(chǔ)設(shè)施中的各部分進(jìn)行安全掃描。企業(yè)可以關(guān)注云提供商的安全公告更新,并根據(jù)自身的安全補(bǔ)丁管理計(jì)劃安裝補(bǔ)丁。如果已經(jīng)制定了漏洞管理解決方案,則應(yīng)根據(jù)既定方案掃描數(shù)據(jù)湖倉環(huán)境。
9.合規(guī)監(jiān)控和突發(fā)事件響應(yīng)
合規(guī)監(jiān)控與突發(fā)事件響應(yīng)能提供早期檢測、調(diào)查和響應(yīng),是所有安全框架的基石。如果企業(yè)有現(xiàn)有的本地安全信息和事件管理(SIEM)基礎(chǔ)設(shè)施,可將其用于云監(jiān)控。領(lǐng)先的SIEM系統(tǒng)都能獲取并分析所有重大的云平臺(tái)事件。事件監(jiān)控系統(tǒng)會(huì)觸發(fā)威脅和違規(guī)行為警報(bào),幫助提高云基礎(chǔ)設(shè)施的合規(guī)性。此類系統(tǒng)還可用于確認(rèn)失陷指標(biāo)(IOC)。
10.數(shù)據(jù)損失預(yù)防
為確保數(shù)據(jù)的完整性和可用性,云數(shù)據(jù)湖倉應(yīng)將數(shù)據(jù)持久存儲(chǔ)在擁有安全經(jīng)濟(jì)的冗余存儲(chǔ)、持續(xù)的吞吐量和高可用性的云對象存儲(chǔ)上(如Amazon S3)。其他功能中,內(nèi)置留存生命周期的對象版本管理功能可對意外刪除和對象更換進(jìn)行修復(fù)。所有管理和存儲(chǔ)數(shù)據(jù)的服務(wù)都要經(jīng)過評估,防止數(shù)據(jù)丟失。為了最大程度地減少終端用戶的數(shù)據(jù)丟失威脅,限制刪除與更新權(quán)限的強(qiáng)大授權(quán)實(shí)踐至關(guān)重要。總之,企業(yè)應(yīng)當(dāng)創(chuàng)建符合預(yù)算、審計(jì)和架構(gòu)需求的備份與留存計(jì)劃,將數(shù)據(jù)放在可用性與冗余度較高的存儲(chǔ)庫中,減少用戶出錯(cuò)的機(jī)會(huì)。
綜合全面的數(shù)據(jù)湖倉安全至關(guān)重要
云數(shù)據(jù)湖倉是一個(gè)超越存儲(chǔ)的復(fù)雜分析環(huán)境,需要專業(yè)的知識、計(jì)劃和規(guī)定來進(jìn)行有效保障。作為自身數(shù)據(jù)的最終責(zé)任人,企業(yè)需要考慮如何將云數(shù)據(jù)湖倉轉(zhuǎn)換成在公有云上運(yùn)行的“專用數(shù)據(jù)湖倉”。
Cloudera的客戶可以通過Cloudera Data Platform(CDP)公有云來運(yùn)行云數(shù)據(jù)湖倉,其具有世界級的獨(dú)家安全性。Cloudera非常重視商業(yè)資產(chǎn)保護(hù),深知安全對客戶聲譽(yù)的重要性,并以此作為為企業(yè)提供最佳安全實(shí)踐的驅(qū)動(dòng)力。