大數(shù)據(jù)分析Qubole增強數(shù)據(jù)安全性

　　大數(shù)據(jù)分析已成為希望利用其業(yè)務(wù)潛力的企業(yè)的基本要求。大數(shù)據(jù)分析的用例是無止境的，范圍從客戶定位，欺詐分析到異常檢測等等?？梢詮母鞣N來源快速生成此數(shù)據(jù)，例如用戶的瀏覽器和搜索歷史記錄，信用卡付款，最近的手機塔的移動ping等。給定捕獲的敏感信息量，任何未經(jīng)授權(quán)或意外泄露或訪問的信息數(shù)據(jù)可能會對您的企業(yè)造成嚴重后果，無論是在財務(wù)上還是在更無形的方面，例如品牌知名度和用戶信任度的下降。
 

　　近年來，出現(xiàn)了許多針對大數(shù)據(jù)分析的高度可擴展且復(fù)雜的處理框架，例如Hadoop，Hive，Presto和Spark。由于這些框架的分布式性質(zhì)，因此確保它們的安全性非常具有挑戰(zhàn)性，涉及許多接觸點，服務(wù)和操作流程。隨著云計算的加速采用，監(jiān)視大數(shù)據(jù)分析的訪問和數(shù)據(jù)流變得更加復(fù)雜。
 

一、為什么訪問控制很重要
 

　　許多企業(yè)試圖通過加密和外圍控制來保護數(shù)據(jù)安全，但沒有全面，細化的數(shù)據(jù)訪問控制策略。這種策略至關(guān)重要，因為具有不同級別的權(quán)限，責任和能力的多個員工將在平臺上運行不同的工作。例如，營銷團隊需要訪問銷售數(shù)據(jù)以分析客戶流失和情緒，而財務(wù)團隊需要訪問財務(wù)數(shù)據(jù)以生成財務(wù)預(yù)測。
 

　　當成千上萬的員工需要多種用途的數(shù)據(jù)訪問權(quán)限時，授予用戶“全有或全無”訪問權(quán)限的粗粒度權(quán)限不再足夠。相反，您需要一組可伸縮，一致且細粒度的控制功能，以防止在處理的每個階段不必要地訪問敏感信息。此外，公眾的日益關(guān)注和新的全球合規(guī)要求使得實施這種解決方案變得更加緊迫。
 

　　AAA教育準備的這篇文章是一個由三部分組成的系列文章的一部分，該系列文章探討了管理基于云的大數(shù)據(jù)分析的粒度數(shù)據(jù)訪問所面臨的挑戰(zhàn)和細微差別。這篇文章概述了粒度訪問控制的一般最佳實踐以及Qubole提供的安全功能。在接下來的文章中，我們將演示如何充分設(shè)置角色和權(quán)限，并討論您的企業(yè)可以在Qubole平臺上使用的其他細粒度訪問控制資源。
 

二、如何利用粒度訪問控制
 

　　除了身份驗證外，實施適當?shù)脑L問控制策略對于減少最常見的數(shù)據(jù)泄露類型(例如網(wǎng)絡(luò)釣魚和社交工程攻擊)的攻擊面也非常有效。根據(jù)云安全聯(lián)盟的說法，全面的粒度訪問控制策略包括以下元素：
 

　　1、規(guī)范化可變元素和規(guī)范化不可變元素
 

　　2、跟蹤保密要求并確保正確實施
 

　　3、維護訪問標簽
 

　　4、跟蹤管理員數(shù)據(jù)
 

　　5、使用單點登錄(SSO)
 

　　6、使用標簽方案來維護正確的數(shù)據(jù)聯(lián)合
 

　　Qubole當前支持上面列出的許多適用于我們平臺的功能。但是，訪問控制的選項和配置將根據(jù)云服務(wù)模型和特定于提供商的功能而有所不同。在Qubole，我們努力提供與引擎和云無關(guān)的數(shù)據(jù)訪問控制解決方案。從數(shù)據(jù)攝取到數(shù)據(jù)訪問，我們至少啟用三個級別的訪問控制：基礎(chǔ)結(jié)構(gòu)，平臺和數(shù)據(jù)級別。
 

三、基礎(chǔ)設(shè)施級別
 

　　可以放置訪問控制以限制對云基礎(chǔ)架構(gòu)資源和服務(wù)的訪問。例如，在AWS中，企業(yè)系統(tǒng)管理員可以利用IAM角色來限制Qubole對AWS資源(例如S3存儲和EC2實例)的訪問。為了增加粒度，企業(yè)可以創(chuàng)建雙重IAM角色，其中一個角色充當跨賬戶IAM，可以跨AWS賬戶訪問，而另一個角色可以限制對AWS S3存儲桶中數(shù)據(jù)的訪問。
 

　　在Azure中，系統(tǒng)管理員可以使用Azure RBAC下的Azure Active Directory和IAM角色來限制Qubole對Azure資源的訪問。管理員可以在Active Directory下為Qubole配置一個應(yīng)用程序，并為它分配“參與者” IAM角色或創(chuàng)建自定義IAM角色，以進一步限制對計算資源的訪問?？梢允褂肁zure blob存儲的存儲密鑰和Azure Data Lake Store(ADLS)的Active Directory集成OAuth令牌來限制Qubole對存儲資源的訪問。
 

　　同樣，在Oracle Cloud Infrastructure中，系統(tǒng)管理員可以使用Oracle Cloud Infrastructure IAM下的用戶，組和策略來限制Qubole對存儲和計算資源的訪問。他們可以使用廣泛的策略來允許Qubole訪問隔離專區(qū)中的所有資源，或者定義更嚴格的策略來限制Qubole對特定資源的訪問。


 

四、平臺級別
 

　　在Qubole的平臺上，系統(tǒng)管理員可以利用Qubole的內(nèi)置基于角色的訪問控制(RBAC)功能來限制用戶對特定平臺工件(例如群集，筆記本和儀表板)的訪問?？蛻艨梢允褂妙A(yù)定義角色，也可以創(chuàng)建自定義角色。自定義角色根據(jù)業(yè)務(wù)功能提供精細的權(quán)限，以授予用戶不同程度的訪問權(quán)限和Qubole平臺上的允許操作。RBAC到Qubole的工件可以幫助實現(xiàn)隱私，提高運營效率并減輕策略管理的管理負擔。
 

　　借助Qubole上的RBAC，企業(yè)還可以享受通過降低成本來改善財務(wù)治理的附加優(yōu)勢，因為管理員可以將更多計算資源專門分配給高價值用戶，而不會影響其他用戶。
 

　　有關(guān)如何在Qubole上管理角色的更多信息，請參閱有關(guān)管理訪問權(quán)限和角色的文檔。
 

五、數(shù)據(jù)級別
 

　　鑒于公眾日益關(guān)注和嚴厲的法律制裁，數(shù)據(jù)級訪問控制至關(guān)重要，尤其是對于處理個人身份信息，受保護的健康信息或其他敏感信息的企業(yè)。
 

　　Qubole通過Hive授權(quán)提供精細的訪問控制。Qubole的Hive授權(quán)使用戶能夠跨用例和引擎(例如Spark，Presto和Hive)實現(xiàn)對表的細粒度訪問。展望未來，我們將訪問控制功能擴展到行過濾，列級訪問控制和數(shù)據(jù)屏蔽。我們的目標是為客戶提供足夠水平的細粒度控制，以實現(xiàn)最佳的數(shù)據(jù)訪問治理。
 

六、未來展望
 

　　隨著對數(shù)據(jù)隱私和保護的關(guān)注不斷升級，Qubole致力于為企業(yè)配備多層訪問控制解決方案，該解決方案與數(shù)據(jù)引擎和云無關(guān)。在以下博客文章中，我們將討論設(shè)置用戶權(quán)限的最佳做法，并展示您的企業(yè)可以在Qubole平臺上部署的其他精細的訪問控制資源。