大數(shù)據(jù)分析Qubole增強(qiáng)數(shù)據(jù)安全性

　　大數(shù)據(jù)分析已成為希望利用其業(yè)務(wù)潛力的企業(yè)的基本要求。大數(shù)據(jù)分析的用例是無(wú)止境的，范圍從客戶定位，欺詐分析到異常檢測(cè)等等。可以從各種來(lái)源快速生成此數(shù)據(jù)，例如用戶的瀏覽器和搜索歷史記錄，信用卡付款，最近的手機(jī)塔的移動(dòng)ping等。給定捕獲的敏感信息量，任何未經(jīng)授權(quán)或意外泄露或訪問(wèn)的信息數(shù)據(jù)可能會(huì)對(duì)您的企業(yè)造成嚴(yán)重后果，無(wú)論是在財(cái)務(wù)上還是在更無(wú)形的方面，例如品牌知名度和用戶信任度的下降。
 

　　近年來(lái)，出現(xiàn)了許多針對(duì)大數(shù)據(jù)分析的高度可擴(kuò)展且復(fù)雜的處理框架，例如Hadoop，Hive，Presto和Spark。由于這些框架的分布式性質(zhì)，因此確保它們的安全性非常具有挑戰(zhàn)性，涉及許多接觸點(diǎn)，服務(wù)和操作流程。隨著云計(jì)算的加速采用，監(jiān)視大數(shù)據(jù)分析的訪問(wèn)和數(shù)據(jù)流變得更加復(fù)雜。
 

一、為什么訪問(wèn)控制很重要
 

　　許多企業(yè)試圖通過(guò)加密和外圍控制來(lái)保護(hù)數(shù)據(jù)安全，但沒(méi)有全面，細(xì)化的數(shù)據(jù)訪問(wèn)控制策略。這種策略至關(guān)重要，因?yàn)榫哂胁煌?jí)別的權(quán)限，責(zé)任和能力的多個(gè)員工將在平臺(tái)上運(yùn)行不同的工作。例如，營(yíng)銷團(tuán)隊(duì)需要訪問(wèn)銷售數(shù)據(jù)以分析客戶流失和情緒，而財(cái)務(wù)團(tuán)隊(duì)需要訪問(wèn)財(cái)務(wù)數(shù)據(jù)以生成財(cái)務(wù)預(yù)測(cè)。
 

　　當(dāng)成千上萬(wàn)的員工需要多種用途的數(shù)據(jù)訪問(wèn)權(quán)限時(shí)，授予用戶“全有或全無(wú)”訪問(wèn)權(quán)限的粗粒度權(quán)限不再足夠。相反，您需要一組可伸縮，一致且細(xì)粒度的控制功能，以防止在處理的每個(gè)階段不必要地訪問(wèn)敏感信息。此外，公眾的日益關(guān)注和新的全球合規(guī)要求使得實(shí)施這種解決方案變得更加緊迫。
 

　　AAA教育準(zhǔn)備的這篇文章是一個(gè)由三部分組成的系列文章的一部分，該系列文章探討了管理基于云的大數(shù)據(jù)分析的粒度數(shù)據(jù)訪問(wèn)所面臨的挑戰(zhàn)和細(xì)微差別。這篇文章概述了粒度訪問(wèn)控制的一般最佳實(shí)踐以及Qubole提供的安全功能。在接下來(lái)的文章中，我們將演示如何充分設(shè)置角色和權(quán)限，并討論您的企業(yè)可以在Qubole平臺(tái)上使用的其他細(xì)粒度訪問(wèn)控制資源。
 

二、如何利用粒度訪問(wèn)控制
 

　　除了身份驗(yàn)證外，實(shí)施適當(dāng)?shù)脑L問(wèn)控制策略對(duì)于減少最常見(jiàn)的數(shù)據(jù)泄露類型(例如網(wǎng)絡(luò)釣魚和社交工程攻擊)的攻擊面也非常有效。根據(jù)云安全聯(lián)盟的說(shuō)法，全面的粒度訪問(wèn)控制策略包括以下元素：
 

　　1、規(guī)范化可變?cè)睾鸵?guī)范化不可變?cè)?br />  

　　2、跟蹤保密要求并確保正確實(shí)施
 

　　3、維護(hù)訪問(wèn)標(biāo)簽
 

　　4、跟蹤管理員數(shù)據(jù)
 

　　5、使用單點(diǎn)登錄(SSO)
 

　　6、使用標(biāo)簽方案來(lái)維護(hù)正確的數(shù)據(jù)聯(lián)合
 

　　Qubole當(dāng)前支持上面列出的許多適用于我們平臺(tái)的功能。但是，訪問(wèn)控制的選項(xiàng)和配置將根據(jù)云服務(wù)模型和特定于提供商的功能而有所不同。在Qubole，我們努力提供與引擎和云無(wú)關(guān)的數(shù)據(jù)訪問(wèn)控制解決方案。從數(shù)據(jù)攝取到數(shù)據(jù)訪問(wèn)，我們至少啟用三個(gè)級(jí)別的訪問(wèn)控制：基礎(chǔ)結(jié)構(gòu)，平臺(tái)和數(shù)據(jù)級(jí)別。
 

三、基礎(chǔ)設(shè)施級(jí)別
 

　　可以放置訪問(wèn)控制以限制對(duì)云基礎(chǔ)架構(gòu)資源和服務(wù)的訪問(wèn)。例如，在AWS中，企業(yè)系統(tǒng)管理員可以利用IAM角色來(lái)限制Qubole對(duì)AWS資源(例如S3存儲(chǔ)和EC2實(shí)例)的訪問(wèn)。為了增加粒度，企業(yè)可以創(chuàng)建雙重IAM角色，其中一個(gè)角色充當(dāng)跨賬戶IAM，可以跨AWS賬戶訪問(wèn)，而另一個(gè)角色可以限制對(duì)AWS S3存儲(chǔ)桶中數(shù)據(jù)的訪問(wèn)。
 

　　在Azure中，系統(tǒng)管理員可以使用Azure RBAC下的Azure Active Directory和IAM角色來(lái)限制Qubole對(duì)Azure資源的訪問(wèn)。管理員可以在Active Directory下為Qubole配置一個(gè)應(yīng)用程序，并為它分配“參與者” IAM角色或創(chuàng)建自定義IAM角色，以進(jìn)一步限制對(duì)計(jì)算資源的訪問(wèn)。可以使用Azure blob存儲(chǔ)的存儲(chǔ)密鑰和Azure Data Lake Store(ADLS)的Active Directory集成OAuth令牌來(lái)限制Qubole對(duì)存儲(chǔ)資源的訪問(wèn)。
 

　　同樣，在Oracle Cloud Infrastructure中，系統(tǒng)管理員可以使用Oracle Cloud Infrastructure IAM下的用戶，組和策略來(lái)限制Qubole對(duì)存儲(chǔ)和計(jì)算資源的訪問(wèn)。他們可以使用廣泛的策略來(lái)允許Qubole訪問(wèn)隔離專區(qū)中的所有資源，或者定義更嚴(yán)格的策略來(lái)限制Qubole對(duì)特定資源的訪問(wèn)。


 

四、平臺(tái)級(jí)別
 

　　在Qubole的平臺(tái)上，系統(tǒng)管理員可以利用Qubole的內(nèi)置基于角色的訪問(wèn)控制(RBAC)功能來(lái)限制用戶對(duì)特定平臺(tái)工件(例如群集，筆記本和儀表板)的訪問(wèn)?？蛻艨梢允褂妙A(yù)定義角色，也可以創(chuàng)建自定義角色。自定義角色根據(jù)業(yè)務(wù)功能提供精細(xì)的權(quán)限，以授予用戶不同程度的訪問(wèn)權(quán)限和Qubole平臺(tái)上的允許操作。RBAC到Qubole的工件可以幫助實(shí)現(xiàn)隱私，提高運(yùn)營(yíng)效率并減輕策略管理的管理負(fù)擔(dān)。
 

　　借助Qubole上的RBAC，企業(yè)還可以享受通過(guò)降低成本來(lái)改善財(cái)務(wù)治理的附加優(yōu)勢(shì)，因?yàn)楣芾韱T可以將更多計(jì)算資源專門分配給高價(jià)值用戶，而不會(huì)影響其他用戶。
 

　　有關(guān)如何在Qubole上管理角色的更多信息，請(qǐng)參閱有關(guān)管理訪問(wèn)權(quán)限和角色的文檔。
 

五、數(shù)據(jù)級(jí)別
 

　　鑒于公眾日益關(guān)注和嚴(yán)厲的法律制裁，數(shù)據(jù)級(jí)訪問(wèn)控制至關(guān)重要，尤其是對(duì)于處理個(gè)人身份信息，受保護(hù)的健康信息或其他敏感信息的企業(yè)。
 

　　Qubole通過(guò)Hive授權(quán)提供精細(xì)的訪問(wèn)控制。Qubole的Hive授權(quán)使用戶能夠跨用例和引擎(例如Spark，Presto和Hive)實(shí)現(xiàn)對(duì)表的細(xì)粒度訪問(wèn)。展望未來(lái)，我們將訪問(wèn)控制功能擴(kuò)展到行過(guò)濾，列級(jí)訪問(wèn)控制和數(shù)據(jù)屏蔽。我們的目標(biāo)是為客戶提供足夠水平的細(xì)粒度控制，以實(shí)現(xiàn)最佳的數(shù)據(jù)訪問(wèn)治理。
 

六、未來(lái)展望
 

　　隨著對(duì)數(shù)據(jù)隱私和保護(hù)的關(guān)注不斷升級(jí)，Qubole致力于為企業(yè)配備多層訪問(wèn)控制解決方案，該解決方案與數(shù)據(jù)引擎和云無(wú)關(guān)。在以下博客文章中，我們將討論設(shè)置用戶權(quán)限的最佳做法，并展示您的企業(yè)可以在Qubole平臺(tái)上部署的其他精細(xì)的訪問(wèn)控制資源。