在Hadoop中保護大資料安全的9個技巧

　　當企業轉變為資料驅動的機器時，其潛力是巨大的：企業所擁有的資料可能成為獲得競爭優勢的關鍵。因此，企業的資料和基礎設施的安全也變得比以往任何時候都重要。

　　在許多情況下，企業或組織都可能得到Forrester所說的“有毒的資料”。例如，一家無線公司正在收集誰登入哪一個天線塔、他們線上逗留多長時間、他們使用多少資料、他們是在移動還是處於靜止狀態等資料，這些資料可用來了解使用者行為的狀況。

　　這家無線公司也許有許多使用者生成的資料：信用卡號碼、社會保險號碼、購買習慣資料和使用者使用任何資訊的方式等。關聯這種資料和從這些資料中提取推斷結果的能力是有價值的，但是，這種做法也是有害的，如果這種關聯的資料洩露到機構外部並且落入他人手中，這將給個人和機構造成災難性的損失。

　　應用大資料，不要忘記法規遵從和控制。下面是保證大資料安全的9個技巧。

　　1. 在啟動大資料專案之前要考慮安全問題。不應該等到發生資料突破事件之後再採取保證資料安全的措施。組織的IT安全團隊和參加大資料專案的其他人員在向分散式計算(Hadoop)叢集安裝和傳送大資料之前應該認真地討論安全問題。

　　2. 考慮要儲存什麼資料。在計劃使用Hadoop儲存和執行要提交給監管部門的資料時，可能需要遵守具體的安全要求。即使所儲存的資料不受監管部門的管轄，也要評估風險，如果個人身份資訊等資料丟失，造成的風險將包括信譽損失和收入損失。

　　3. 責任集中。現在，企業的資料可能存在於多個機構的豎井之中和資料集中。集中的資料安全的責任可保證在所有這些豎井中強制執行一致的政策和訪問控制。

　　4. 加密靜態和動態資料。在檔案層增加透明的資料加密。SSL(安全套接層)加密能夠在資料在節點和應用程式之間移動時保護大資料。安全研究與顧問公司Securosis的技術長和分析師阿德里安·萊恩(Adrian Lane)稱，檔案加密解決了繞過正常的應用安全控制的兩種攻擊方式。在惡意使用者或者管理員獲得資料節點的訪問許可權和直接檢查檔案的許可權以及可能竊取檔案或者不可讀的磁碟映象的情況下，加密可以起到保護作用。這是解決一些資料安全威脅的節省成本的途徑。

　　5. 把金鑰與加密的資料分開。把加密資料的金鑰儲存在加密資料所在的同一臺伺服器中等於是鎖上大門，然後把鑰匙懸掛在鎖頭上。金鑰管理系統允許組織安全地儲存加密金鑰，把金鑰與要保護的資料隔離開。

　　6. 使用Kerberos網路身份識別協議。企業需要能夠管理什麼人和流程可以訪問儲存在Hadoop中的資料。這是避免流氓節點和應用進入叢集的一種有效的方法。萊恩說，這能夠幫助保護網路控制接入，使管理功能很難被攻破。我們知道，設定Kerberos比較困難，驗證或重新驗證新的節點和應用可以發揮作用。但是，沒有建立雙向的信任，欺騙Hadoop允許惡意應用進入這個叢集、或者接受引進的惡意節點是很容易的。這個惡意節點以後可以增加、修改或者提取資料。Kerberos協議是可以控制的最有效的安全控制措施。Kerberos建在Hadoop基礎設施中，因此，請使用它。

　　7. 使用安全自動化。企業是在處理一個多節點環境，因此，部署的一致性是很難保證的。Chef和Puppet等自動化工具能夠幫助企業更好地使用補丁、配置應用程式、更新Hadoop棧、收集可信賴的機器映象、證書和平臺的不一致性等資訊。事先建立這些指令碼需要一些時間，但是，以後會得到減少管理時間的回報，並且額外地保證每一個節點都有基本的安全。

　　8. 向Hadoop叢集增加記錄。大資料很自然地適合收集和管理記錄資料。許多網站公司開始使用大資料專門管理記錄檔案。為什麼不向現有的叢集增加記錄呢?這會讓企業觀察到什麼時候出現的故障或者是否有人以為企業已經被黑客攻破了。沒有一個事件跟蹤記錄，你就是一個瞎子。記錄MR請求和其它叢集活動是很容易的並且可以稍微提高儲存和處理需求。但是，當有需要的時候，這些資料是不可或缺的。

　　9. 節點之間以及節點與應用之間採用安全通訊。要做到這一點，需要部署一個SSL/TLS(安全套接層/傳輸層安全)協議保護企業的全部網路通訊，而不是僅僅保護一個子網。就像許多雲服務提供商一樣，Cloudera等Hadoop提供商已經在做這件事。如果設定上沒有這種能力，就需要把這些服務整合到應用棧中。