你準備好你的數據規模和AI計劃嗎?你將如何擴展安全?
2018年11月20日 在公司博客上
這是博客# 3在一係列的博文對磚安全。我的同事大衛·庫克(我們的CISO)和大衛·邁耶(高級產品)磚的安全方法博客# 1&博客# 2。通過這個博客,我將談論大規模部署和操作數據磚而減少人為錯誤。
民主化的數據!安全呢?
隨著組織推動利用他們的數據來做出更聰明的決定,一個核心要求是“民主化數據”。換句話說,開放存取先前孤立和限製數據組織的整體部分。這往往使一組新的見解,解鎖額外的收入來源,可以改變企業。
然而,這個新的模型擴展的訪問引起了不少恐懼在組織中,尤其是在管理層。當他們聽到從企業整個光譜數據漏洞報告,他們尋找平衡安全性和治理和訪問的方法。特別是,無數的數據服務的訪問控製和用戶通過日益複雜的政策和配置。複雜性增加了人為錯誤的可能性和表麵積的攻擊,如果做得不正確。今年早些時候,IBM發布了一項研究,他們展示了一個戲劇性的增長數據泄露的雲服務錯誤配置——在很大程度上歸因於人為錯誤的角色。
磚祭的目的是使這種平衡的具體目標:最大化用戶生產力和訪問不犧牲和在許多情況下加強安全和治理合規。作為的一部分,我們專注於自動化盡可能多的業務。此外,我們建立了“關注”分離原則,減少人為錯誤的機會,任何這樣的錯誤配置的影響。
提供更多的細節,這裏有一些考慮我們與客戶討論beplay体育app下载地址
部署安全
第一步是確保沒有不必要的介紹了安全漏洞在初始部署:
- 保持你的基礎設施,在您的帳戶——盡管磚提供一個完全管理SaaS服務的好處,所有集群創建和拆除內部客戶的Azure / AWS帳戶和數據不變。而不是創建一套全新的配置在不同的環境中,這就增加了風險的一個危險的錯誤,所有現有的安全配置和監測工具可以繼續使用。
- 隔離網絡,以減少爆炸半徑-磚創建一個專用的VPC /聯接客戶賬戶中隻包含磚基礎設施。這確保了所有磚政策和控製無法獲得其他生產基礎設施在一個客戶帳戶。beplay体育app下载地址此外,所有與磚的控製的通信基礎設施通過直接聯係(而另外消除任何公共ip)。這可以防止任何交通穿越公共網絡,也與共同TLS v1.2加密。最後,使用多個安全組,如果磚服務需要連接到其他客戶VPC /聯接(如包含另一個生產數據源),沒有風險向外界公開訪問這些服務。
- ——杠杆作用域下權限為了管理客戶基礎設施、磚隻使用令牌和角色(與鍵)來消除泄漏的風險。此外,這些角色有非常有限的權限(例如,顯式地訪問任何客戶數據除外)隻讓他們設置磚基礎設施。
當你規模用戶的安全操作
同樣重要的是最初的部署是正在進行的操作和維護:
- 自動化,減少人工幹預磚自動化通用SaaS的監測和更新,消除人為幹預。在罕見的情況下,人類訪問是必要的,隻有通過一個有時限的基於符號模型。訪問是隻有一小部分核心磚運營商,和所有活動記錄。隻讀的審計和訪問日誌是直接發送到客戶,他們可以輸入現有安全監控設施。beplay体育app下载地址
- 集成與流行的安全工具集成與SSO身份提供商(如Azure Active Directory, Okta, Onelogin等)和支持SCIM允許您輕鬆地管理和安全的用戶。新用戶設置的訪問和刪除敏感時期當員工可能會離開業務自動化。
- 嚴格的訪問控製和基於網絡的隔離——在部署後,正確提供磚的web應用程序的訪問和身份角色可以進一步限製在穩態操作所需的最低限度,消除任何更廣泛的部署所需的權限。完全可審計的任何異常和客戶正式的審批流程。
管理數據和信心
最後,它是確保數據總是保護的關鍵
- 物理和邏輯數據訪問控製:磚能夠利用acl來限製哪些用戶可以訪問底層數據文件,同時也提供細粒度訪問控製(例如,基於行和列)邏輯表已創建。例如,一個社會安全號碼列可以隱藏,同時允許訪問其他表。
- 毫不費力地安全的端到端數據和工作流——磚”豐富的生態係統可以無縫集成和安全,加密,認證與流行的企業大數據技術交流等數據的湖泊、數據倉庫、JDBC / ODBC和BI工具。
- 審計日誌。磚提供全麵的端到端的審計日誌的活動做的用戶平台,允許企業監測數據磚因為業務需要的詳細使用模式。Beplay体育安卓版本
結論
在磚,我們知道它是多麼複雜和費時規模數據係統和訪問,同時盡量減少人為失誤和管理風險。這就是為什麼我們致力於使它幾乎毫不費力的部署和管理我們的平台,同時保持大規模數據管理和訪問。Beplay体育安卓版本
試一試!
- 打電話給我們找出磚可以提高安全性。
- 了解更多通過下載我們的安全電子保護企業數據在Apache火花。
免費試著磚