비디오: [ë¤ìë³´ë 맥ìë]ì¤í°ë¸ì¡ì¤ ì(å¼) í리ì í ì´ì ìê³ëª (십월 2024)
모든 비즈니스는 경영진, 마케팅 담당자 및 조직의 다른 모든 부서가 처리 할 수있는만큼의 BI (비즈니스 인텔리전스) 팀을 수집하려고합니다. 그러나 일단 데이터를 확보 한 후에는 방대한 데이터 레이크를 분석하여 찾고있는 주요 정보를 찾을 수있을뿐만 아니라 (대량의 정보에 의해 침수되지 않고) 모든 데이터를 보호하는 데 어려움이 있습니다.
따라서 기업 IT 부서와 데이터 과학자가 예측 분석 알고리즘, 데이터 시각화를 실행하고 수집 한 빅 데이터에 대해 다른 데이터 분석 기술을 사용하는 동안 비즈니스는 누출이나 약점이 없는지 확인해야합니다. 저수지에서.
이를 위해 Cloud Security Alliance (CSA)는 최근 빅 데이터 보안 및 개인 정보 보호에 관한 100 가지 모범 사례를 발표했습니다. 모범 사례의 긴 목록은 10 개 범주로 분산되어 있으므로 IT 부서가 주요 비즈니스 데이터를 잠그는 데 도움이되는 모범 사례를 10 가지 팁으로 분류했습니다. 이 팁은 다양한 데이터 스토리지, 암호화, 거버넌스, 모니터링 및 보안 기술을 사용합니다.
1. 분산 프로그래밍 프레임 워크 보호
Hadoop과 같은 분산 프로그래밍 프레임 워크는 최신 빅 데이터 배포의 큰 부분을 차지하지만 데이터 유출 위험이 심각합니다. 또한 "신뢰할 수없는 맵퍼"또는 여러 소스의 데이터와 함께 제공되어 오류가 발생하는 집계 된 결과를 생성 할 수 있습니다.
CSA는 조직이 먼저 사전 정의 된 보안 정책을 준수하면서 Kerberos 인증과 같은 방법을 사용하여 신뢰를 구축 할 것을 권장합니다. 그런 다음 개인의 개인 정보가 손상되지 않도록 데이터에서 모든 개인 식별 정보 (PII)를 분리하여 데이터를 "식별 해제"합니다. 여기에서 사전 정의 된 보안 정책으로 파일에 대한 액세스 권한을 부여한 다음 Apache HBase의 Sentry 도구와 같은 필수 액세스 제어 (MAC)를 사용하여 신뢰할 수없는 코드가 시스템 자원을 통해 정보를 유출하지 않도록하십시오. 그 후, 정기적 인 유지 보수로 데이터 유출을 막기 위해해야 할 일은 남아 있기 때문에 어려운 부분은 끝났습니다. IT 부서는 클라우드 또는 가상 환경에서 작업자 노드와 맵퍼를 확인하고 가짜 노드와 변경된 데이터 복제본을 주시해야합니다.
2. 비 관계형 데이터 보안
NoSQL과 같은 비 관계형 데이터베이스는 일반적이지만 NoSQL 주입과 같은 공격에 취약합니다. CSA는이를 방지하기위한 대책을 제시합니다. 암호를 암호화하거나 해싱하여 시작하고 고급 암호화 표준 (AES), RSA 및 SHA-256 (Secure Hash Algorithm 2)과 같은 알고리즘을 사용하여 유휴 데이터를 암호화하여 종단 간 암호화를 보장해야합니다. TLS (Transport Layer Security) 및 SSL (Secure Sockets Layer) 암호화도 유용합니다.
이러한 핵심 측정 외에도 데이터 태그 지정 및 개체 수준 보안과 같은 계층 외에도 PAM (Pluggable Authentication Module)을 사용하여 비 관계형 데이터를 보호 할 수 있습니다. 이는 NIST 로그와 같은 도구를 사용하여 트랜잭션을 기록하면서 사용자를 인증하는 유연한 방법입니다. 마지막으로, 퍼징 방법 (Fuzzing Methods)이 있는데, 이는 프로토콜, 데이터 노드 및 배포의 응용 프로그램 수준에서 자동화 된 데이터 입력을 사용하여 크로스 사이트 스크립팅과 NoSQL과 HTTP 프로토콜 간의 취약점 주입을 노출시킵니다.
3. 안전한 데이터 저장 및 트랜잭션 로그
스토리지 관리는 빅 데이터 보안 방정식의 핵심 부분입니다. CSA는 서명 된 메시지 요약을 사용하여 각 디지털 파일 또는 문서에 대한 디지털 식별자를 제공하고 SUNDR (Secure Untrusted Data Repository)이라는 기술을 사용하여 악의적 인 서버 에이전트의 무단 파일 수정을 탐지하는 것이 좋습니다.
핸드북에는 지연 해지 및 키 순환, 브로드 캐스트 및 정책 기반 암호화 체계, 디지털 권한 관리 (DRM) 등 여러 가지 다른 기술도 나와 있습니다. 그러나 기존 인프라 위에 자신 만의 보안 클라우드 스토리지를 구축하는 것 외에 다른 방법은 없습니다.
4. 엔드 포인트 필터링 및 검증
엔드 포인트 보안은 무엇보다 중요하며, 신뢰할 수있는 인증서를 사용하고, 리소스 테스트를 수행하고, 모바일 장치 관리 (MDM) 솔루션 (바이러스 백신 및 맬웨어 방지 소프트웨어의 맨 위에있는)을 사용하여 신뢰할 수있는 장치 만 네트워크에 연결하여 조직을 시작할 수 있습니다. 여기에서 통계적 유사성 탐지 기술과 이상치 탐지 기술을 사용하여 악의적 인 입력을 필터링하는 동시에 Sybil 공격 (예: 여러 ID로 가장 한 하나의 엔티티) 및 ID 스푸핑 공격을 방지 할 수 있습니다.
5. 실시간 준수 및 보안 모니터링
규정 준수는 항상 기업의 골치 아픈 일이며, 끊임없이 데이터가 급증하는 상황에서는 더욱 그러합니다. 스택의 모든 수준에서 실시간 분석 및 보안을 사용하여 사전에 대처하는 것이 가장 좋습니다. CSA는 조직이 Kerberos, SSH (Secure Shell) 및 IPsec (Internet Protocol Security)과 같은 도구를 사용하여 실시간 데이터를 처리함으로써 빅 데이터 분석을 적용 할 것을 권장합니다.
이렇게하면 로깅 이벤트를 마이닝하고 라우터 및 응용 프로그램 수준 방화벽과 같은 프런트 엔드 보안 시스템을 배포하고 클라우드, 클러스터 및 응용 프로그램 수준에서 스택 전체에 보안 제어를 구현할 수 있습니다. CSA는 또한 기업이 빅 데이터 인프라를 우회하려는 회피 공격과 "데이터 중독"공격 (모니터링 시스템을 속이는 위조 된 데이터)에주의해야한다고 경고합니다.
6. 데이터 개인 정보 보호
끊임없이 증가하는 세트에서 데이터 개인 정보를 유지 관리하는 것은 정말 어렵습니다. CSA는 키가 차등 개인 정보 보호 (기록 식별을 최소화하면서 쿼리 정확도를 최대화 함)와 클라우드에 암호화 된 정보를 저장하고 처리하기위한 동종 암호화와 같은 기술을 구현함으로써 "확장 성 및 구성 성"이 중요하다고 밝혔다. 그 외에도 스테이플을 피하십시오. CSA는 현재 개인 정보 보호 규정에 중점을 둔 직원 인식 교육을 통합하고 권한 부여 메커니즘을 사용하여 소프트웨어 인프라를 유지할 것을 권장합니다. 마지막으로 모범 사례는 데이터베이스를 서로 연결하는 인프라를 검토하고 모니터링하여 여러 데이터베이스에서 데이터 유출을 제어하는 "개인 정보 보호 데이터 구성"을 구현하도록 권장합니다.
7. 빅 데이터 암호화
수학적 암호화는 스타일에서 벗어나지 않았습니다. 사실, 훨씬 더 발전했습니다. 기업은 SSE (Searchable Symmetric Encryption) 프로토콜과 같은 암호화 된 데이터를 검색하고 필터링하는 시스템을 구축하여 실제로 암호화 된 데이터에 대해 부울 쿼리를 실행할 수 있습니다. 설치 후 CSA는 다양한 암호화 기술을 권장합니다.
관계형 암호화를 사용하면 식별자와 특성 값을 일치시켜 암호화 키를 공유하지 않고도 암호화 된 데이터를 비교할 수 있습니다. ID 기반 암호화 (IBE)는 공개 키 시스템에서 특정 ID에 대해 일반 텍스트를 암호화하여 키 관리를보다 쉽게 만듭니다. 속성 기반 암호화 (ABE)는 액세스 제어를 암호화 체계에 통합 할 수 있습니다. 마지막으로, 암호화 키를 사용하여 클라우드 공급자가 중복 데이터를 식별하는 데 도움이되는 수렴 된 암호화가 있습니다.
8. 세분화 된 액세스 제어
CSA에 따르면 액세스 제어는 사용자 액세스 제한과 사용자 액세스 권한 부여의 두 가지 핵심 사항입니다. 비결은 주어진 시나리오에서 올바른 정책을 선택하는 정책을 구축하고 구현하는 것입니다. 세분화 된 액세스 제어를 설정하기 위해 CSA에는 다음과 같은 유용한 정보가 있습니다.
변경 가능한 요소를 정규화하고 변경 불가능한 요소를 비정규 화
비밀 요구 사항을 추적하고 적절한 구현을 보장
액세스 라벨을 유지
관리자 데이터 추적
싱글 사인온 (SSO) 사용
적절한 데이터 연합을 유지하려면 레이블 지정 체계를 사용하십시오.
9. 감사, 감사, 감사
세분화 된 감사는 특히 시스템에 대한 공격 후 빅 데이터 보안의 필수 요소입니다. CSA는 조직이 공격 후 응집력있는 감사보기를 작성하고 사고 대응 시간을 단축하기 위해 해당 데이터에 쉽게 액세스 할 수 있도록 전체 감사 추적을 제공하도록 권장합니다.
감사 정보 무결성 및 기밀성도 필수적입니다. 감사 정보는 별도로 저장하고 세분화 된 사용자 액세스 제어 및 정기적 인 모니터링으로 보호해야합니다. 빅 데이터와 감사 데이터를 별도로 유지하고 감사를 설정할 때 필요한 가장 자세한 정보를 수집하고 처리하기 위해 필요한 모든 로깅을 활성화하십시오. ElasticSearch와 같은 오픈 소스 감사 계층 또는 쿼리 오케 스트레이터 도구를 사용하면이 모든 작업을보다 쉽게 수행 할 수 있습니다.
10. 데이터 증명
데이터 출처는 요청한 사람에 따라 여러 가지를 의미 할 수 있습니다. 그러나 CSA가 말하는 것은 빅 데이터 애플리케이션에서 생성 된 출처 메타 데이터입니다. 이것은 상당한 보호가 필요한 다른 범주의 데이터입니다. CSA는 먼저 액세스를 제어하는 인프라 인증 프로토콜을 개발하는 동시에 주기적 상태 업데이트를 설정하고 체크섬과 같은 메커니즘을 사용하여 데이터 무결성을 지속적으로 확인하는 것이 좋습니다.
또한, 데이터 출처에 대한 나머지 CSA의 모범 사례는 목록의 나머지 부분과 동일합니다. 동적이고 확장 가능한 세분화 된 액세스 제어 구현 및 암호화 방법 구현. 조직 전체와 모든 수준의 인프라 및 애플리케이션 스택에서 빅 데이터 보안을 보장 할 수있는 비법은 없습니다. 데이터 배치를 처리 할 때이 방대하고 포괄적 인 IT 보안 체계와 전사적 사용자 구매 만이 조직에 마지막 0과 1을 모두 안전하게 보호 할 수있는 최상의 기회를 제공합니다.
