大數(shù)據(jù)分析已成為希望利用其業(yè)務(wù)潛力的企業(yè)的基本要求。大數(shù)據(jù)分析的用例是無止境的,范圍從客戶定位,欺詐分析到異常檢測等等??梢詮母鞣N來源快速生成此數(shù)據(jù),例如用戶的瀏覽器和搜索歷史記錄,信用卡付款,最近的手機(jī)塔的移動ping等。給定捕獲的敏感信息量,任何未經(jīng)授權(quán)或意外泄露或訪問的信息數(shù)據(jù)可能會對您的企業(yè)造成嚴(yán)重后果,無論是在財務(wù)上還是在更無形的方面,例如品牌知名度和用戶信任度的下降。
近年來,出現(xiàn)了許多針對大數(shù)據(jù)分析的高度可擴(kuò)展且復(fù)雜的處理框架,例如Hadoop,Hive,Presto和Spark。由于這些框架的分布式性質(zhì),因此確保它們的安全性非常具有挑戰(zhàn)性,涉及許多接觸點(diǎn),服務(wù)和操作流程。隨著云計(jì)算的加速采用,監(jiān)視大數(shù)據(jù)分析的訪問和數(shù)據(jù)流變得更加復(fù)雜。
一、為什么訪問控制很重要
許多企業(yè)試圖通過加密和外圍控制來保護(hù)數(shù)據(jù)安全,但沒有全面,細(xì)化的數(shù)據(jù)訪問控制策略。這種策略至關(guān)重要,因?yàn)榫哂胁煌墑e的權(quán)限,責(zé)任和能力的多個員工將在平臺上運(yùn)行不同的工作。例如,營銷團(tuán)隊(duì)需要訪問銷售數(shù)據(jù)以分析客戶流失和情緒,而財務(wù)團(tuán)隊(duì)需要訪問財務(wù)數(shù)據(jù)以生成財務(wù)預(yù)測。
當(dāng)成千上萬的員工需要多種用途的數(shù)據(jù)訪問權(quán)限時,授予用戶“全有或全無”訪問權(quán)限的粗粒度權(quán)限不再足夠。相反,您需要一組可伸縮,一致且細(xì)粒度的控制功能,以防止在處理的每個階段不必要地訪問敏感信息。此外,公眾的日益關(guān)注和新的全球合規(guī)要求使得實(shí)施這種解決方案變得更加緊迫。
AAA教育準(zhǔn)備的這篇文章是一個由三部分組成的系列文章的一部分,該系列文章探討了管理基于云的大數(shù)據(jù)分析的粒度數(shù)據(jù)訪問所面臨的挑戰(zhàn)和細(xì)微差別。這篇文章概述了粒度訪問控制的一般最佳實(shí)踐以及Qubole提供的安全功能。在接下來的文章中,我們將演示如何充分設(shè)置角色和權(quán)限,并討論您的企業(yè)可以在Qubole平臺上使用的其他細(xì)粒度訪問控制資源。
二、如何利用粒度訪問控制
除了身份驗(yàn)證外,實(shí)施適當(dāng)?shù)脑L問控制策略對于減少最常見的數(shù)據(jù)泄露類型(例如網(wǎng)絡(luò)釣魚和社交工程攻擊)的攻擊面也非常有效。根據(jù)云安全聯(lián)盟的說法,全面的粒度訪問控制策略包括以下元素:
1、規(guī)范化可變元素和規(guī)范化不可變元素
2、跟蹤保密要求并確保正確實(shí)施
3、維護(hù)訪問標(biāo)簽
4、跟蹤管理員數(shù)據(jù)
5、使用單點(diǎn)登錄(SSO)
6、使用標(biāo)簽方案來維護(hù)正確的數(shù)據(jù)聯(lián)合
Qubole當(dāng)前支持上面列出的許多適用于我們平臺的功能。但是,訪問控制的選項(xiàng)和配置將根據(jù)云服務(wù)模型和特定于提供商的功能而有所不同。在Qubole,我們努力提供與引擎和云無關(guān)的數(shù)據(jù)訪問控制解決方案。從數(shù)據(jù)攝取到數(shù)據(jù)訪問,我們至少啟用三個級別的訪問控制:基礎(chǔ)結(jié)構(gòu),平臺和數(shù)據(jù)級別。
三、基礎(chǔ)設(shè)施級別
可以放置訪問控制以限制對云基礎(chǔ)架構(gòu)資源和服務(wù)的訪問。例如,在AWS中,企業(yè)系統(tǒng)管理員可以利用IAM角色來限制Qubole對AWS資源(例如S3存儲和EC2實(shí)例)的訪問。為了增加粒度,企業(yè)可以創(chuàng)建雙重IAM角色,其中一個角色充當(dāng)跨賬戶IAM,可以跨AWS賬戶訪問,而另一個角色可以限制對AWS S3存儲桶中數(shù)據(jù)的訪問。
在Azure中,系統(tǒng)管理員可以使用Azure RBAC下的Azure Active Directory和IAM角色來限制Qubole對Azure資源的訪問。管理員可以在Active Directory下為Qubole配置一個應(yīng)用程序,并為它分配“參與者” IAM角色或創(chuàng)建自定義IAM角色,以進(jìn)一步限制對計(jì)算資源的訪問。可以使用Azure blob存儲的存儲密鑰和Azure Data Lake Store(ADLS)的Active Directory集成OAuth令牌來限制Qubole對存儲資源的訪問。
同樣,在Oracle Cloud Infrastructure中,系統(tǒng)管理員可以使用Oracle Cloud Infrastructure IAM下的用戶,組和策略來限制Qubole對存儲和計(jì)算資源的訪問。他們可以使用廣泛的策略來允許Qubole訪問隔離專區(qū)中的所有資源,或者定義更嚴(yán)格的策略來限制Qubole對特定資源的訪問。
四、平臺級別
在Qubole的平臺上,系統(tǒng)管理員可以利用Qubole的內(nèi)置基于角色的訪問控制(RBAC)功能來限制用戶對特定平臺工件(例如群集,筆記本和儀表板)的訪問??蛻艨梢允褂妙A(yù)定義角色,也可以創(chuàng)建自定義角色。自定義角色根據(jù)業(yè)務(wù)功能提供精細(xì)的權(quán)限,以授予用戶不同程度的訪問權(quán)限和Qubole平臺上的允許操作。RBAC到Qubole的工件可以幫助實(shí)現(xiàn)隱私,提高運(yùn)營效率并減輕策略管理的管理負(fù)擔(dān)。
借助Qubole上的RBAC,企業(yè)還可以享受通過降低成本來改善財務(wù)治理的附加優(yōu)勢,因?yàn)楣芾韱T可以將更多計(jì)算資源專門分配給高價值用戶,而不會影響其他用戶。
有關(guān)如何在Qubole上管理角色的更多信息,請參閱有關(guān)管理訪問權(quán)限和角色的文檔。
五、數(shù)據(jù)級別
鑒于公眾日益關(guān)注和嚴(yán)厲的法律制裁,數(shù)據(jù)級訪問控制至關(guān)重要,尤其是對于處理個人身份信息,受保護(hù)的健康信息或其他敏感信息的企業(yè)。
Qubole通過Hive授權(quán)提供精細(xì)的訪問控制。Qubole的Hive授權(quán)使用戶能夠跨用例和引擎(例如Spark,Presto和Hive)實(shí)現(xiàn)對表的細(xì)粒度訪問。展望未來,我們將訪問控制功能擴(kuò)展到行過濾,列級訪問控制和數(shù)據(jù)屏蔽。我們的目標(biāo)是為客戶提供足夠水平的細(xì)粒度控制,以實(shí)現(xiàn)最佳的數(shù)據(jù)訪問治理。
六、未來展望
隨著對數(shù)據(jù)隱私和保護(hù)的關(guān)注不斷升級,Qubole致力于為企業(yè)配備多層訪問控制解決方案,該解決方案與數(shù)據(jù)引擎和云無關(guān)。在以下博客文章中,我們將討論設(shè)置用戶權(quán)限的最佳做法,并展示您的企業(yè)可以在Qubole平臺上部署的其他精細(xì)的訪問控制資源。
填寫下面表單即可預(yù)約申請免費(fèi)試聽!怕錢不夠?可先就業(yè)掙錢后再付學(xué)費(fèi)! 怕學(xué)不會?助教全程陪讀,隨時解惑!擔(dān)心就業(yè)?一地學(xué)習(xí),可推薦就業(yè)!
?2007-2022/ m.5wd995.cn 北京漫動者數(shù)字科技有限公司 備案號: 京ICP備12034770號 監(jiān)督電話:010-53672995 郵箱:bjaaa@aaaedu.cc