使零信任NOC磚和Immuta

想象你是一個NOC / SOC分析師在全球分布的組織。你剛收到警報,但你不能訪問數據,因為合規路障,結果,你的響應時間滯後。但是,如果有一個方法來執行數據隱私和抓壞人嗎?

在這個博客中,您將學習如何磚和Immuta解決大規模複雜問題的數據分析和安全。磚提供了一個lakehouseBeplay体育安卓版本大數據分析平台和人工智能(AI)協作原生雲平台上的工作負載。beplay娱乐iosImmuta確保數據訪問正確的人,在正確的時間,正確的原因。的磚Lakehouse平台Beplay体育安卓版本,再加上Immuta的用戶數據訪問控製,賦予組織發現見解最嚴格的零信任和遵從性環境。

日益增長的需要零信任體係結構

現代網絡操作中心(國有石油公司)和網絡安全團隊每天收集上百tb的數據,達到pb的數據保留要求監管和合規的目的。與越來越多pb包含各種新聞敏感數據,組織難以維持數據的可用性,同時保持它安全。

根據Akamai,零信任安全模型控製獲取信息的一種方法,確保嚴格的身份驗證過程。為了保持數據安全,零信任體係結構(ZTA)正成為一個要求為組織。的ZTA成熟度模型可見性和支撐,分析和治理。但是這種模式操作的影響,因為它需要組織采用技術,使大規模數據訪問和安全。

我們將使用網絡數據的一個代表性的例子來說明網絡安全團隊使用磚和Immuta提供一個安全、高效的大數據分析平台跨多個合規區(不同國家)。Beplay体育安卓版本如果你想一起玩,看數據,您可以下載它的加拿大網絡安全研究所。通過這個博客,你會知道如何:

• 登記和分類與Immuta敏感數據來源
• 實現數據屏蔽
• 執行數據訪問的最小特權
• 建立一個政策來防止意外數據發現
• 執行一個磚筆記本磚的SQL與最小特權
• 檢測DDoS的威脅,同時保持最小特權

使磚和Immuta零信任

在這種情況下,有網絡分析師在美國,加拿大和法國。這些分析師應該隻看到他們的特定區域的警報。然而,當我們需要執行事件分析,我們需要看到在其他地區發生的事件的信息。由於這個數據集的敏感性,我們應該有一個最小特權訪問模型應用於我們的磚環境。

讓我們看看在磚包捕獲數據,我們將使用這個博客:

以上數據說明了數據包捕獲在一個模擬的分布式拒絕服務(分布式拒絕服務)攻擊。為了使這個regional-based模擬,我們將生成一個國家代碼為每個記錄。這是國家代碼分解的數據:

現在我們已經建立了數據集的樣子,讓我們深入Immuta如何幫助實現零信任。

Immuta是一個自動化數據訪問控製解決方案,生於美國情報部門。平台允許Beplay体育安卓版本您構建動態、可伸縮、簡化政策,以確保數據訪問控製恰當且一致地執行你的整個數據堆棧。

第一步來保護這個PCAP數據集注冊數據源在Immuta。這個注冊隻需要輸入連接細節為我們的磚集群。一旦完成,我們將看到Immuta的數據集:

一旦注冊,這個表Immuta將自動運行敏感數據發現(SDD)。這一步是至關重要的,因為我們需要阻止某些用戶敏感信息。PCAP桌上,SDD識別靈敏度的幾種不同類型的數據集,包括IP地址、個人身份信息(PII),在該地區和位置數據列。

現在我們使用SDD機密數據,讓我們構建政策以確保敏感信息的數據分組數據掩蓋了。Immuta提供了許多動態數據屏蔽技術,但在本例中,我們將使用一個不可逆轉的散列。在現實世界中,這可能不是重要的實際值一個IP地址,但仍然必須是一致的和獨特的散列值。這是很重要的,有兩個原因:

1. 分析師需要確保他們可以確定一個特定的IP地址是造成網絡流量。
2. 任何數據集包含IP地址必須一致。例如,假設我們有一個表蜜罐服務器信息,需要加入一個散列鍵。Immuta允許用戶執行蒙麵連接同時確保敏感信息保護使用“項目”。一致性數據集可以確保沒有敏感數據會通過裂縫的合作項目情況。beplay娱乐ios

下麵的例子顯示了如何容易確保用戶最小特權訪問,意義沒有用戶默認訪問集群中的任何數據集數據磚受Immuta保護。數據所有者可以指定為什麼應該有人獲得數據,無論是出於法律目的他們需要證明或基於組成員或用戶配置文件屬性。在我們的示例中,我們將允許任何用戶的部門“NOC”他們的用戶配置文件在磚看到這個表。Immuta簡明英語政策的建築功能,政策一樣容易理解讀一個句子。考慮下麵的訂閱策略:

這一政策將會自動決定誰能看到任何表,被歸類為“NOC”透明的磚。下麵是磚筆記本對於那些沒有訂閱政策應用:

用戶不能看到任何表數據磚,如果他們試圖直接查詢的表,他們得到一個許可的錯誤。這最小特權概念是Immuta核心,它可以幫助使零的原因之一對磚的信任。

接下來,讓我們來啟用訂閱政策,看看會發生什麼:

如您所見,現在的用戶會訪問PCAP表和一個額外的蜜罐表,因為它是歸類為NOC數據集。這是有益的,當新員工培訓的新用戶,組,或組織,主動和動態用戶可以看到他們的工作相關的數據集,同時確保他們隻能訪問那些他們實際上需要看到的數據集。

接下來,讓我們來建立一個政策,進一步保護數據,確保兩個用戶不能偶然地發現這個磚的環境中任何敏感數據。下麵是一個簡單的數據屏蔽Immuta政策:

在上麵的例子中,我們可以看到是多麼容易使規則,可以保護你的NOC數據集。任何數據集包含一個IP地址將自動PII IP地址或掩蓋任何組織中使用磚。這將確保您的數據以一致的方式保護。

既然我們已經定義了一個單一的政策,可以適用於我們所有的磚的數據集,讓我們看看發生了什麼事蜜罐表前麵提到的:

注意所有的IP地址信息和PII動態蒙麵。這一政策現在一直在兩個不同的表,因為他們的應用上下文是相同的。

接下來,讓我們看看我們如何確保最小特權獲得更精確地隻允許用戶看到他們授權的地區。目前,用戶可以看到各個國家的數據在數據集:

我們會建立一個細分政策Immuta使用一個屬性來自一個身份管理器(在這種情況下,Okta):

這一政策指出,我們將使用“授權國家”從用戶的配置文件動態地構建一個過濾器匹配任何列標記的發現。國家在任何數據集包含一個IP地址字段。

接下來,讓我們來深入研究排除規則(綠色)。用戶的排除規則不會看到過濾數據時操作下“目的”背景下。這個目的上下文狀態,如果分析師正在一個事件反應,他們有權看到未經過濾的位置數據。Immuta目的有許多用途,包括必要時允許用戶提高他們的數據訪問權限為一個特定的,批準的原因。這樣的變化是審計,用戶可以直接更新背景磚筆記本。

現在數據政策已經建成,讓我們深入它會做些什麼來PCAP數據集:

現在這個用戶是看到隻有國家授權訪問,從而限製最少的數據訪問他們應該看到的。讓我們檢查另一個用戶,看他們的數據是什麼樣子:

這個用戶是看到一致的掩蔽,但國家設置的授權訪問。

最後,讓我們來看看我們之前設置的排除規則。想象一個網絡攻擊剛剛發生,我們的分析師需要查看網絡流量為整個公司,而不僅僅是他們的授權。要做到這一點,用戶將上下文切換到“事件反應”的目的:

用戶數據磚更新”項目“上下文”事件回應。“這種情況下登錄Immuta當用戶運行他們的後續查詢時,他們將看到PCAP數據集內的所有地區,因為他們正在這一目的。現在你,NOC分析師可以檢測DDoS攻擊以外的原始默認訪問級別。

我們一步一步走多快Immuta支持最小特權訪問磚,但看到這個過程,你可以看演示。Immuta提供合規官員保證,用戶隻會被授予訪問他們應該獲得的信息,同時保持健壯的審計日誌的訪問是數據來源和原因。利用磚和Immuta允許國有石油公司,使零信任體係結構在數據湖。開始使用磚和Immuta請求免費試用以下:

//www.eheci.com/try-databricks

https://www.immuta.com/try/