大數據分析Qubole增強數據安全性

　　大數據分析已成為希望利用其業(yè)務潛力的企業(yè)的基本要求。大數據分析的用例是無止境的，范圍從客戶定位，欺詐分析到異常檢測等等。可以從各種來源快速生成此數據，例如用戶的瀏覽器和搜索歷史記錄，信用卡付款，最近的手機塔的移動ping等。給定捕獲的敏感信息量，任何未經授權或意外泄露或訪問的信息數據可能會對您的企業(yè)造成嚴重后果，無論是在財務上還是在更無形的方面，例如品牌知名度和用戶信任度的下降。
 

　　近年來，出現了許多針對大數據分析的高度可擴展且復雜的處理框架，例如Hadoop，Hive，Presto和Spark。由于這些框架的分布式性質，因此確保它們的安全性非常具有挑戰(zhàn)性，涉及許多接觸點，服務和操作流程。隨著云計算的加速采用，監(jiān)視大數據分析的訪問和數據流變得更加復雜。
 

一、為什么訪問控制很重要
 

　　許多企業(yè)試圖通過加密和外圍控制來保護數據安全，但沒有全面，細化的數據訪問控制策略。這種策略至關重要，因為具有不同級別的權限，責任和能力的多個員工將在平臺上運行不同的工作。例如，營銷團隊需要訪問銷售數據以分析客戶流失和情緒，而財務團隊需要訪問財務數據以生成財務預測。
 

　　當成千上萬的員工需要多種用途的數據訪問權限時，授予用戶“全有或全無”訪問權限的粗粒度權限不再足夠。相反，您需要一組可伸縮，一致且細粒度的控制功能，以防止在處理的每個階段不必要地訪問敏感信息。此外，公眾的日益關注和新的全球合規(guī)要求使得實施這種解決方案變得更加緊迫。
 

　　AAA教育準備的這篇文章是一個由三部分組成的系列文章的一部分，該系列文章探討了管理基于云的大數據分析的粒度數據訪問所面臨的挑戰(zhàn)和細微差別。這篇文章概述了粒度訪問控制的一般最佳實踐以及Qubole提供的安全功能。在接下來的文章中，我們將演示如何充分設置角色和權限，并討論您的企業(yè)可以在Qubole平臺上使用的其他細粒度訪問控制資源。
 

二、如何利用粒度訪問控制
 

　　除了身份驗證外，實施適當的訪問控制策略對于減少最常見的數據泄露類型(例如網絡釣魚和社交工程攻擊)的攻擊面也非常有效。根據云安全聯(lián)盟的說法，全面的粒度訪問控制策略包括以下元素：
 

　　1、規(guī)范化可變元素和規(guī)范化不可變元素
 

　　2、跟蹤保密要求并確保正確實施
 

　　3、維護訪問標簽
 

　　4、跟蹤管理員數據
 

　　5、使用單點登錄(SSO)
 

　　6、使用標簽方案來維護正確的數據聯(lián)合
 

　　Qubole當前支持上面列出的許多適用于我們平臺的功能。但是，訪問控制的選項和配置將根據云服務模型和特定于提供商的功能而有所不同。在Qubole，我們努力提供與引擎和云無關的數據訪問控制解決方案。從數據攝取到數據訪問，我們至少啟用三個級別的訪問控制：基礎結構，平臺和數據級別。
 

三、基礎設施級別
 

　　可以放置訪問控制以限制對云基礎架構資源和服務的訪問。例如，在AWS中，企業(yè)系統(tǒng)管理員可以利用IAM角色來限制Qubole對AWS資源(例如S3存儲和EC2實例)的訪問。為了增加粒度，企業(yè)可以創(chuàng)建雙重IAM角色，其中一個角色充當跨賬戶IAM，可以跨AWS賬戶訪問，而另一個角色可以限制對AWS S3存儲桶中數據的訪問。
 

　　在Azure中，系統(tǒng)管理員可以使用Azure RBAC下的Azure Active Directory和IAM角色來限制Qubole對Azure資源的訪問。管理員可以在Active Directory下為Qubole配置一個應用程序，并為它分配“參與者” IAM角色或創(chuàng)建自定義IAM角色，以進一步限制對計算資源的訪問。可以使用Azure blob存儲的存儲密鑰和Azure Data Lake Store(ADLS)的Active Directory集成OAuth令牌來限制Qubole對存儲資源的訪問。
 

　　同樣，在Oracle Cloud Infrastructure中，系統(tǒng)管理員可以使用Oracle Cloud Infrastructure IAM下的用戶，組和策略來限制Qubole對存儲和計算資源的訪問。他們可以使用廣泛的策略來允許Qubole訪問隔離專區(qū)中的所有資源，或者定義更嚴格的策略來限制Qubole對特定資源的訪問。


 

四、平臺級別
 

　　在Qubole的平臺上，系統(tǒng)管理員可以利用Qubole的內置基于角色的訪問控制(RBAC)功能來限制用戶對特定平臺工件(例如群集，筆記本和儀表板)的訪問?？蛻艨梢允褂妙A定義角色，也可以創(chuàng)建自定義角色。自定義角色根據業(yè)務功能提供精細的權限，以授予用戶不同程度的訪問權限和Qubole平臺上的允許操作。RBAC到Qubole的工件可以幫助實現隱私，提高運營效率并減輕策略管理的管理負擔。
 

　　借助Qubole上的RBAC，企業(yè)還可以享受通過降低成本來改善財務治理的附加優(yōu)勢，因為管理員可以將更多計算資源專門分配給高價值用戶，而不會影響其他用戶。
 

　　有關如何在Qubole上管理角色的更多信息，請參閱有關管理訪問權限和角色的文檔。
 

五、數據級別
 

　　鑒于公眾日益關注和嚴厲的法律制裁，數據級訪問控制至關重要，尤其是對于處理個人身份信息，受保護的健康信息或其他敏感信息的企業(yè)。
 

　　Qubole通過Hive授權提供精細的訪問控制。Qubole的Hive授權使用戶能夠跨用例和引擎(例如Spark，Presto和Hive)實現對表的細粒度訪問。展望未來，我們將訪問控制功能擴展到行過濾，列級訪問控制和數據屏蔽。我們的目標是為客戶提供足夠水平的細粒度控制，以實現最佳的數據訪問治理。
 

六、未來展望
 

　　隨著對數據隱私和保護的關注不斷升級，Qubole致力于為企業(yè)配備多層訪問控制解決方案，該解決方案與數據引擎和云無關。在以下博客文章中，我們將討論設置用戶權限的最佳做法，并展示您的企業(yè)可以在Qubole平臺上部署的其他精細的訪問控制資源。