Многоуровневый подход NoSQL к обеспечению безопасности больших данных

Если вы рассчитываете, что Большие данные станут той движущей силой, которая придаст импульс развитию вашего бизнеса, то вопрос обеспечения безопасности этих Больших данных должен стать одним из ваших основных приоритетов — и по большому счету в этом нет никакой сенсации. Но каким образом эффективнее всего осуществить такую защиту?

5f9bd6159240494198ea7180a9b6374d.png

Развитие больших данных диктуют потребность в новых технологиях, а соответственно — и в новых, более надежных средствах безопасности, которые способны удовлетворить требования к производительности и масштабируемости, обусловленные огромным ростом объемов данных.

Ни для кого не секрет, что рост больших данных носит и будет продолжать носить взрывной характер; согласно прогнозу IDC к 2020 году в мире будет ежегодно генерироваться порядка 44 триллионов гигабайт данных. Одним из результатов этих тенденций стало появление технологии NoSQL — гибридной базы данных, состоящей из традиционных для SQL схем и динамических альтернативных структур, в результате чего база поддерживает работу с самыми различными типами данных, обеспечивая при этом оптимальную гибкость.

Все это делает технологию NoSQL весьма привлекательной для многих предприятий, но одновременно с этим возрастают и требования к NoSQL с точки зрения безопасности данных.

Обеспечение безопасности в базах данных NoSQL должно осуществляться на нескольких различных уровнях, при этом основа системы безопасности должна включать в себя технологии шифрования и токенизации. Когда безопасность привязана непосредственно к данным, другие элементы системы защиты в организации могут давать сбои, но при этом конфиденциальные данные не будут скомпрометированы.

У заказчиков, работающих с базой данных NoSQL, существует несколько различных способов добавления шифрования и токенизации. Чаще всего организации предпочитают применять шифрование либо на уровне файловой системы, либо на уровне приложения. Попробуем объяснить, почему так происходит.

Обеспечение безопасности NoSQL на уровне файловой системы


Шифрование на уровне файловой системы представляет собой исключительно гибкий и незаметный способ защиты важных данных в базах данных NoSQL. В подобных решениях как правило необходимо указать файлы, папки или сетевые каталоги, подлежащие шифрованию.

Подобный подход позволяет организациям группировать и разделять свои данные по уровню важности, обеспечивая защиту только тех данных, где это действительно необходимо. Менее важные данные могут храниться в папках, не защищаемых шифрованием, что позволяет сэкономить вычислительные ресурсы и ограничить сложность применяемой инфраструктуры.

При подобной защите данных решения для шифрования могут добавлять дополнительные механизмы контроля, ограничивая доступ к данным для определенных пользователей, групп или по каким-либо иным параметрам. В качестве дополнительного преимущества, при организации защиты на уровне папок или сетевых каталогов, можно осуществлять шифрование практически любого файла и объекта — не важно, идет ли речь о изображении, базе данных или docker-контейнере.

Обеспечение безопасности NoSQL на уровне приложений


Шифрование на уровне файловой системы представляет собой исключительно гибкий и незаметный способ защиты файлов на пути к месту хранения, при этом такой подход позволяет защищать данные самых различных типов — от изображений и логотипов до баз данных и почтовых архивов. Поскольку шифрование осуществляется непосредственно в момент создания данных, это позволяет защитить данные до появления других ограничений.

Например, шифрование данных в приложении может стать идеальным способом для защиты отдельных полей баз данных без изменения самой архитектуры базы данных. При осуществлении шифрования на этом уровне информация ни при каких условиях не хранится и не передается в незашифрованном виде, что позволяет организации значительно уменьшить поверхность потенциальной атаки.

Защищая данные в этой точке, организации могут вместо шифрования воспользоваться токенизацией, чтобы «затуманить» (obfuscate) данные перед помещением их в хранилище.

В некоторых случаях соблюдение регуляторных норм вынуждает заказчика внедрять решения безопасности, хотя на самом деле он просто хотел бы выполнить требования стандарта PCI DSS в отношении своей базы данных. В этом случае отличной альтернативой может стать технология токенизациии, которая позволит выполнить эти требования без дополнительной нагрузки на инфраструктуру, обычно свойственной шифрованию.

Обязательства по соблюдению нормативных и регуляторных требований являются одним из ключевых факторов, вынуждающих осуществлять шифрование баз данных NoSQL. Зачастую шифрование является обязательным условием для защиты важных пользовательских данных. Однако потребность в шифровании отнюдь не ограничивается одной лишь галочкой в соответствующей отчетности.

Как мы уже видели в случае взлома группой TeamGhostShell плохо сконфигурированных баз данных MongoDB, даже имея благовидные намерения пользователи могут совершать ошибки — и это вполне естественно, ведь все мы люди, и всем нам свойственно ошибаться. Но поскольку мы имеем дело с решениями для Больших данных — любая ошибка, даже совершенная по вполне понятным и объяснимым причинам, способна привести к компрометации огромных массивов важной информации.

В рамках своей расширяющееся партнерской экосистемы Gemalto сотрудничает с Couchbase над разработкой решений для обеспечения безопасности баз данных NoSQL, которые способны масштабироваться вместе с ростом потребностей заказчиков при обработке Больших данных.

Разрабатывая вместе с Couchbase портфолио решений, которые действуют на различных этапах жизни данных, от момента создания до хранения, мы надеемся сделать обеспечение безопасности более простым и удобным, предлагая оптимальные методы защиты.

Какими бы ни были потребности заказчиков — обеспечить повсеместную комплексную защиту за счет шифрования на уровне файловой системы, или внедрить токенизацию для моментальной защиты данных на уровне отдельных приложений, у пользователей должен быть выбор.

f6c832a9dad34490baaac463e2a12caf.jpg

Шифрование и токенизация являются важными элементами для защиты данных, поскольку они позволяют привязать защиту непосредственно к данным, благодаря чему в случае утечки (вследствие хакерской атаки или действий привилегированных пользователей) важная информация не будет скомпрометирована.

Компании, которые проводят анализ своих данных и места их размещения, внедряют механизмы безопасности для защиты этих данных, а затем централизованно управляют ключами шифрования, смогу воспользоваться преимуществами революции Больших данных, и не будут мелькать в заголовках газет в связи с неприятными происшествиями.

Комментарии (0)

© Habrahabr.ru