在监测和信息安全培训机构MIS Training Institute的大数据安全会议上,Barton表示,经常有业务部门绕过IT团队使用信用卡来租用云计算基础设施。企业高管想要从数据挖掘出最大价值,并且他们希望在短时间内实现。
“大多数大数据项目的主要驱动力不是安全性,而是销量,”Barton表示,“快速的分析和部署是使用云计算的主要原因,而数据安全性和隐私性会减慢这种速度,所以,业务部门会想办法绕过IT团队。”
云安全联盟和其他组织已经明确指出了云计算的潜在风险。专家称,大量不适当的云部署给渠道解决方案供应商带来了潜在的业务机会。对于租用计算能力,基础设施即服务供应商通常是最便宜的选择,但“便宜没好货”,它也带来最大的风险。除非企业选择租用私有云,公共云环境中的基础设施通常是与其他用户共用的;数据的位置往往是不确定的,这增加了数据泄漏的风险。
除了共享基础设施,这些系统也可能“共享”技术漏洞,使其很容易受到攻击者的攻击。例如,拒绝服务攻击可能导致云计算服务中断,让系统在长时间内无法访问。
Barton表示,与大数据相关的工具通常也不太安全。例如,常用于对大量数据进行深度分析的Hadoop就缺乏安全功能,经常默认为“接受所有访问”。
Barton建议Hadoop用户部署Kerberos来保护信息的安全性,Kerberos是一个网络验证协议。该协议在Hadoop受支持,但并没有被广泛使用。
另外,企业还应该部署文件加密和密钥管理来保护数据。服务器需要经过验证,以确保每个节点联网时采取了必要的安全措施。Barton指出:“在接入新节点前,请确保它预设置了其他节点采取的安全措施。”
在调查安全故障时,日志管理和积极地查看日志可以帮助发现攻击、诊断故障和协助IT团队。企业在传输敏感信息时,还应该采用SSL和TLS安全协议。
作为审计师,Barton表示,他通常还会查看证明企业定期检查控制的文件,以及是否部署了相关政策。安全政策必须有效地传达,并具有执行机制。
“大数据与云计算关系密切,所以云计算风险等同于大数据风险,”Barton表示,“关键的问题是:你的企业是否能够承担其面临的风险?”