La sécurité des données pour les environnements Cloud et Big Data

Découvrez les pratiques de sécurité pour les données volumineuses, y compris la sécurité réseau, les pare-feux, Amazon AWS IAM, Hadoop Cluster Security, Apache Knox, etc.

À la suite de violations de données de plus en plus fréquentes ] GDPR la sécurité d'entreprise est devenue primordiale lors de l'accès au cloud et aux grands magasins de données à travers les réseaux. Alors que les entreprises continuent d'investir dans l'intelligence d'affaires, le Big Data, l'IoT et le cloud, les équipes informatiques introduisent des mécanismes de sécurité de plus en plus complexes pour autoriser et chiffrer l'accès aux données. Vos outils d'analyse et de gestion de données doivent pouvoir accéder en toute sécurité aux données réparties sur différents systèmes sans présenter de risques de sécurité.

Notre récent webinar a discuté de l'accès sécurisé aux données. évolution rapide des couches d'accès aux données d'entreprise, avancées dans la sécurité des données de bout en bout et les dernières technologies pour le big data et le cloud.

Pour en savoir plus sur la sécurité des données et des nuages, rencontrons Phil Prudich. Phil est Product Owner en Recherche et Développement chez Progress. Il a été impliqué avec DataDirect pendant plus de 12 années travaillant sur la connectivité de données et ODBC et JDBC avec un foyer sur de grandes sources de données et de NoSQL.

Discutons de quelques questions fréquemment posées par Phil sur notre récent webinaire concernant les technologies impliquées dans l'authentification, le cryptage, l'autorisation et l'audit de données

Entrevue avec Phil Prudich

Phil, commence par nous parler de la sécurité du réseau: la sécurité était assez simple avec des applications et des bases de données derrière un pare-feu, mais ce n'est plus commun

Phil Prudich: Le réseau lui-même est un élément essentiel de la sécurité de l'accès aux données: les pare-feu et les proxies existent depuis longtemps, généralement pour restreindre l'accès au réseau, interne et externe. , mais ils jouent un rôle plus important aujourd'hui car de nombreuses sources de données évoluent vers des déploiements dans le cloud, ce qui signifie, d'une part, que vous avez des applications locales. qui doivent traverser plus fréquemment les proxys sur les pare-feu pour accéder à ces données basées sur le cloud. Et d'un autre côté, cela signifie que vous avez des applications basées sur le cloud qui ont souvent besoin d'accéder aux données stockées sur site, et qu'elles ont besoin d'un moyen de traverser ce pare-feu. Vous devez être en mesure de gérer ce type de rappel sur des sources locales sans faire de nombreux trous dans le pare-feu.

Il semble qu'il serait difficile de gérer tous ces différents systèmes en toute sécurité dans un environnement cloud / hybride distribué. Quel est le moyen le plus populaire de gérer cela?

Phil Prudich: Le marché évolue vers un système de gestion logiquement centralisé. Un exemple de ceci est l'IAM d'Amazon AWS, ou Identity and Access Management. Cela vous permet de créer et de gérer des utilisateurs dans des groupes, ainsi que de gérer l'authentification et le contrôle d'accès pour de nombreux services AWS. L'authentification est configurable pour fonctionner de différentes manières, vous pouvez donc simplement passer par l'authentification ou les certificats, ou utiliser les intégrations avec des services comme Google ou Facebook. Les utilisateurs et les autorisations de groupe peuvent être configurés pour contrôler l'accès aux ressources AWS, par exemple, une instance EC2 particulière ou des compartiments S3. Une grande partie de cette fonctionnalité pourrait déjà être réalisée de manière disparate, mais Amazon essaie de les regrouper en un seul endroit pour faciliter la gestion de votre sécurité et de votre conformité aux politiques.

Comment voyez-vous la sécurité implémentée sur les plateformes Big Data? Parlons de Hadoop en particulier, puisque nous en entendons souvent parler

Phil Prudich : Pour commencer, aux plus bas niveaux de Hadoop, vous avez le Hadoop Distributed File System, ou HDFS. C'est un peu comme un système de fichiers normal, car nous disposons des outils habituels de permissions de fichiers et de répertoires pour fournir un certain niveau de sécurité, un peu comme un système de fichiers normal. Ce n'est pas l'approche la plus conviviale ou la plus conviviale pour la sécurité. Quand nous parlons d'accéder à un seul nœud du cluster, nous avons vu beaucoup de clients avec des instances Hive configurées pour Kerberos, ou SSL, ou les deux. Mais la question la plus convaincante ici n'est pas le système de fichiers Hadoop de bas niveau, c'est vraiment comment sécuriser le cluster dans son ensemble?

Et comment ça marche? Comment gérez-vous la sécurité au niveau du cluster?

Phil Prudich : L'objectif, du point de vue de l'utilisateur, est que si je me connecte, les données auxquelles j'accède être basé sur mon identité, pas sur l'identité du serveur de l'application. De cette façon, je peux voir les données que j'ai reçu la permission de dire, et le PDG de la société peut voir un ensemble différent. Hadoop aborde ce problème par le biais de ce qu'ils appellent la délégation Hadoop. C'est un complément léger à Kerberos. Les processus individuels qui s'exécutent sur votre cluster Hadoop obtiennent l'autorisation d'agir au nom du client qui effectue une requête en tant qu'utilisateur. Même concept que la délégation Kerberos, mais s'avère beaucoup moins gourmand en ressources réseau, beaucoup plus léger car Kerberos ne s'évalue pas vraiment bien dans les clusters Hadoop.

Pourquoi est-ce que Kerberos ne s'adapte pas bien dans les clusters Hadoop?

Phil Prudich: Généralement, il s'agit de savoir comment les clusters exécutent leurs tâches. Afin de vérifier si vous êtes autorisé à faire quelque chose avec Kerberos, vous devez aller au KDC et obtenir un ticket, ce qui vous donne la permission de faire quelque chose. Dans un cluster Hadoop, vous pouvez avoir des milliers de nœuds qui obtiennent un travail en même temps, ce qui transforme et inonde le KDC avec des demandes de ticket. Donc, il devient difficile d'augmenter l'échelle pour cela, il devient effectivement une attaque DoS – un déni de service – sur votre KDC. Ils ont donc proposé la délégation Hadoop comme une implémentation moins bavarde.

Pouvez-vous nous parler un peu des projets Apache pour la sécurité des données volumineuses?

Phil Prudich : Il y a plusieurs projets Apache qui tentent de fournir une sorte d'administration de la sécurité centrale. Par exemple, Apache Knox est un déploiement de passerelle qui sert de point d'entrée unique devant l'ensemble de votre cluster. Apache Ranger est plus intégré dans l'ensemble du cluster par rapport à Knox et il fournit un accès fin, une autorisation basée sur les attributs et les rôles, ainsi qu'un audit. Il fournit également des fonctions de chiffrement de fichiers et d'accès par clé. Enfin, nous avons Apache Sentry qui a été développé à peu près en même temps que Ranger et il y a une bonne quantité de chevauchement entre ces deux. Nous parlons plus en détail de chacune de ces technologies dans le webinaire, donc je recommande d'écouter cela pour plus de détails.

Phil, merci beaucoup pour votre temps. Pour plus de détails sur Enterprise Data Security, y compris les sujets Cloud et Big Data abordés ci-dessus, ainsi que OpenSSL, le cryptage natif et plus, regardez le webinaire complet.

Voir le webinaire