Cloudera：十大安全實踐為云數據湖倉安全保駕護航

在云中啟用數據和分析可以讓企業(yè)擁有無限的規(guī)模和可能性，以更快地獲得洞察，并利用數據做出更優(yōu)的決策。數據湖倉愈發(fā)受到歡迎，其為所有的企業(yè)數據提供了一個統一平臺，可以靈活運行任何分析和機器學習（ML）用例。數據湖倉兼具了數據湖的靈活性和經濟效益，以及數據倉庫的性能和可靠性。
云數據湖倉將多種處理引擎（SQL、Spark等）和現代分析工具（ML、數據工程化和商業(yè)智能）整合到一個統一的分析環(huán)境中，使用戶能夠快速采集數據，并運行自助分析和機器學習。與本地數據湖相比，云數據湖倉在擴展性、敏捷性和成本方面具有明顯的優(yōu)勢，但遷移上云并非沒有安全之憂。
數據湖倉的架構設計包含一個復雜的組件生態(tài)系統，其中每個組件都是一條可以使用數據的潛在路徑。從規(guī)避風險的角度而言，有的企業(yè)可能不愿將生態(tài)系統遷移到云端，但經過多年的發(fā)展，云數據湖倉已經變得更加安全、合理，相比本地數據湖倉具有明顯的優(yōu)勢。
以下十項基本的云數據湖倉安全實踐可以幫助企業(yè)確保安全、降低風險并提供持續(xù)可見性。

1.安全功能隔離
安全功能隔離是云安全框架最重要的功能和基礎。其目標是通過最小權限原則，將安全與非安全功能分區(qū)。在云上采取這一做法是為了將云平臺的功能嚴格限制在預定范圍內。數據湖倉的作用應僅限于管理數據湖倉平臺。企業(yè)應將云安全功能分配給經驗豐富的安全管理員，避免讓數據湖倉用戶將該環(huán)境暴露在重大風險中。DivvyCloud近期的一項研究顯示，云端部署的主要風險之一是因配置錯誤和用戶缺乏經驗而導致的違規(guī)行為。通過將安全功能隔離和最小權限原則納入云安全計劃，企業(yè)可以顯著減少外部暴露和數據泄露風險。

2.云平臺加固
隔離和加固云數據湖倉平臺的第一步是建立唯一的云帳戶。通過限制平臺功能，讓管理員僅擁有管理數據湖倉平臺的權限。在云平臺上隔離邏輯型數據的最有效方法是使用唯一帳戶進行部署。
在擁有運行數據湖倉服務的唯一云帳戶后，企業(yè)就可以使用網絡安全中心（CIS）提到的加固技術。使用唯一帳戶策略和加固技術，可以將企業(yè)的數據湖倉服務功能與其他云服務進行安全隔離。

3.網絡邊界
在加固云帳戶后，企業(yè)還需要為該環(huán)境設計網絡路徑。這是整個安全體系的關鍵組成部分之一，也是企業(yè)的第一道防線。有很多方法可以解決云部署帶來的網絡邊界安全問題，企業(yè)可能會因為帶寬和合規(guī)方面的要求而選擇其中一些方法，這些方法必須使用專用連接，或使用云提供的虛擬專用網絡（VPN）服務，并通過隧道將流量回傳到企業(yè)。
如果企業(yè)準備在云帳戶中存儲任何類型的敏感數據，并且不使用私人鏈路連接到云，那么流量控制和可視性將至關重要。云平臺市場提供了許多企業(yè)防火墻，它們具有更高級的功能且價格合理，能夠補充本地云安全工具。企業(yè)可以在中心輻射型結構中部署虛擬防火墻，通過一個或一對普遍可用的防火墻來保護所有的云網絡。防火墻應成為云基礎設施中唯一擁有公共IP地址的組件。企業(yè)還應創(chuàng)建明確的進出政策和入侵防御配置文件以降低非法訪問和數據滲漏風險。

4.主機端安全系統
在云部署中，主機端安全系統是一個經常被忽視卻非常重要的安全層。與確保網絡安全的防火墻功能一樣，主機端安全系統可以保護主機免受攻擊。在大多數情況下，它就是最后一道防線。主機端安全的范圍相當廣泛，并且根據服務和功能而異。

• 主機入侵檢測：這項在主機端運行的代理技術通過各種檢測系統來發(fā)現并警告攻擊和可疑活動。目前業(yè)界有兩種主流的入侵檢測技術：最常見的是檢測已知威脅特征的特征檢測技術；另一種是異常檢測技術，這種技術使用行為分析來檢測特征檢測技術無法發(fā)現的可疑活動。一些服務在提供機器學習功能的同時，也提供這兩種檢測。它們都能提供主機活動的可見性，幫助企業(yè)檢測和應對潛在的威脅和攻擊。
• 文件完整性監(jiān)視（FIM）：這項功能能夠監(jiān)視和追蹤環(huán)境中的文件變化，有效檢測和追蹤網絡攻擊。它是許多監(jiān)管合規(guī)框架的關鍵要求之一。由于多數漏洞一般需要獲得某項高權限來運行進程，因此它們會利用已經擁有這些權限的服務或文件，例如抓住服務缺陷將錯誤參數覆蓋系統文件并插入有害代碼。FIM能夠發(fā)現并提醒企業(yè)文件的變化甚至添加。有些FIM還提供高級功能，比如將文件恢復到已知的良好狀態(tài)或通過分析文件模式識別惡意文件。
• 日志管理：分析云數據湖倉中的活動是識別安全突發(fā)事件的關鍵，同時也是合規(guī)控制手段的基石。日志記錄必須能夠防止欺詐活動對事件進行更改或刪除。為了遵守法律法規(guī)，企業(yè)往往需要制定日志存儲、留存和銷毀政策。
• 執(zhí)行日志管理政策最常見的方法是將日志實時復制到集中存儲庫，以備未來分析所需時訪問。目前有許多商業(yè)和開源日志管理工具可供選擇。

5.身份管理和認證
身份是重要的審核依據，可以為云數據湖倉提供強有力的訪問控制。在使用云服務時，企業(yè)首先要將身份提供程序（如活動目錄）與云提供商整合。 對于某些基礎設施服務而言這就足夠了。但如果企業(yè)自行管理第三方應用或部署包含多項服務的數據湖倉，則可能需要整合零散的認證服務，包括SAML客戶端和提供商，如Auth0、OpenLDAP、Kerberos和Apache Knox等。如果想擴展到Hue、Presto或Jupyter等服務，則可以參考關于Knox和Auth0集成的第三方文檔。

6.授權
授權通過數據和資源訪問控制、以及列級過濾來確保敏感數據的安全。云提供商通過基于資源的身份和訪問管理（IAM）策略與基于角色的訪問控制（RBAC），將強大的訪問控制策略整合到其PaaS解決方案中，其中RBAC可以利用最小權限原則管理訪問控制策略，此舉的最終目的是集中定義行和列級訪問控制。 一些云提供商已經開始擴展IAM，提供數據湖構建等數據和工作負載引擎訪問控制策略，并增加服務與帳戶之間共享數據的能力。根據云數據湖倉中運行的服務數量，企業(yè)可能需要使用其他開源或第三方項目（如Apache Ranger）擴展這種方法，對所有服務進行精細授權。

7.加密
加密是保障集群和數據安全的基礎。一般情況下，企業(yè)可以在云提供商所提供的指南中找到最佳的加密方法。正確掌握這些細節(jié)非常重要，而這需要企業(yè)對IAM、密鑰輪換策略和具體的應用配置有深入的了解。對于 存儲桶、日志、秘密和卷以及所有數據存儲，企業(yè)需要熟悉KMS CMK最佳實踐，并對動態(tài)和靜態(tài)數據進行加密。如果企業(yè)整合的不是由云提供商所提供的服務，那么就需要提供自己的證書。無論是哪種情況，企業(yè)都有必要制定證書輪換的方法，例如每90天輪換一次。

8.漏洞管理
無論企業(yè)使用什么樣的分析堆棧和云提供商，都要確保數據湖倉基礎設施中的全部實例都安裝了最新的安全補丁。落實定期操作系統和軟件包補丁策略，包括定期對基礎設施中的各部分進行安全掃描。企業(yè)可以關注云提供商的安全公告更新，并根據自身的安全補丁管理計劃安裝補丁。如果已經制定了漏洞管理解決方案，則應根據既定方案掃描數據湖倉環(huán)境。

9.合規(guī)監(jiān)控和突發(fā)事件響應
合規(guī)監(jiān)控與突發(fā)事件響應能提供早期檢測、調查和響應，是所有安全框架的基石。如果企業(yè)有現有的本地安全信息和事件管理（SIEM）基礎設施，可將其用于云監(jiān)控。領先的SIEM系統都能獲取并分析所有重大的云平臺事件。事件監(jiān)控系統會觸發(fā)威脅和違規(guī)行為警報，幫助提高云基礎設施的合規(guī)性。此類系統還可用于確認失陷指標（IOC）。

10.數據損失預防
為確保數據的完整性和可用性，云數據湖倉應將數據持久存儲在擁有安全經濟的冗余存儲、持續(xù)的吞吐量和高可用性的云對象存儲上（如Amazon S3）。其他功能中，內置留存生命周期的對象版本管理功能可對意外刪除和對象更換進行修復。所有管理和存儲數據的服務都要經過評估，防止數據丟失。為了最大程度地減少終端用戶的數據丟失威脅，限制刪除與更新權限的強大授權實踐至關重要?？傊?，企業(yè)應當創(chuàng)建符合預算、審計和架構需求的備份與留存計劃，將數據放在可用性與冗余度較高的存儲庫中，減少用戶出錯的機會。

綜合全面的數據湖倉安全至關重要
云數據湖倉是一個超越存儲的復雜分析環(huán)境，需要專業(yè)的知識、計劃和規(guī)定來進行有效保障。作為自身數據的最終責任人，企業(yè)需要考慮如何將云數據湖倉轉換成在公有云上運行的“專用數據湖倉”。
Cloudera的客戶可以通過Cloudera Data Platform（CDP）公有云來運行云數據湖倉，其具有世界級的獨家安全性。Cloudera非常重視商業(yè)資產保護，深知安全對客戶聲譽的重要性，并以此作為為企業(yè)提供最佳安全實踐的驅動力。