Создание безопасного и совместимого облачного озера данных: Лучшие практики защиты хранимых данных
Table of Contents
Руководство по созданию безопасного и отвечающего всем требованиям облачного озера данных.
Облачное озеро данных - ценный инструмент для хранения и анализа больших массивов данных. Однако при этом возникают уникальные проблемы безопасности, которые необходимо решать для обеспечения соответствия государственным нормативным требованиям. В этом руководстве мы рассмотрим лучшие практики создания безопасного и отвечающего всем требованиям “облачного” озера данных.
Планирование озера данных
Прежде чем приступить к созданию озера данных, ** необходимо разработать план, учитывающий требования безопасности и соответствия** вашей организации. Начните с создания структуры, соответствующей отраслевым стандартам, таким как General Data Protection Regulations (GDPR) или Health Insurance Portability and Accountability Act (HIPAA).
Важно выбрать правильного поставщика облачных услуг, имеющего опыт поставки безопасных решений, отвечающих этим требованиям. К числу наиболее популярных облачных провайдеров относятся Amazon Web Services (AWS), Microsoft Azure и Google Cloud Platform.
Кроме того, необходимо определить четкий контроль доступа для пользователей, ролей и разрешений. Это касается как внутренних сотрудников, так и внешних поставщиков и партнеров, которым иногда может потребоваться доступ.
Создание озера данных
При создании озера данных **шифрование и контроль доступа должны быть реализованы на всех этапах перемещения данных в озеро данных, внутри него и из него. Процессы ввода данных должны по возможности шифровать данные во время транспортировки и отдыха. Используйте лучшие практики, такие как протоколы безопасности транспортного уровня на клиенте для сбора данных или сетевые протоколы, например протокол безопасной передачи файлов (SFTP), или управляемый сервис Apache Kafka.
Клиенты ввода данных или приложения, копирующие данные из различных систем, должны использовать политики доступа, основанные на принципе наименьших привилегий: предоставлять только те права, которые необходимы для копирования нужной информации из внешнего источника.
Для хранения данных следует выбирать платформы, поддерживающие шифрование в состоянии покоя или предоставляющие другие расширенные функции криптографии, такие как управление ключами, включая шифрование на стороне сервера с использованием ключей, принадлежащих клиенту (CMK).
Строгий контроль доступа к данным является ключевым фактором, и такие решения, как AWS Identity and Access Management или Azure Active Directory, предоставляют эффективные средства контроля разрешений как на уровне объектов, так и в плоскости управления.
Мониторинг и управление озером данных
Точный мониторинг инфраструктуры озера данных помогает выявить бреши в системе безопасности или подозрительные действия, происходящие в озере данных. Введите протоколирование всех действий, связанных с озером данных, сохраняя журналы в отдельной учетной записи аудита, чтобы предотвратить их удаление или подделку злоумышленниками. Это позволит быстро обнаружить подозрительные действия, такие как сканирование портов, DDos-атаки, атаки методом грубой силы или сетевые атаки.
Используйте решение для управления информацией и событиями безопасности (SIEM), например, входящее в состав AWS CloudTrail или Azure Monitor, для централизованного ведения журналов, автоматизации оповещений и проведения расширенной аналитики.
Также необходимо обеспечить регулярное исправление критических компонентов. Регулярное обновление программных пакетов для базовых систем, таких как операционные системы, базы данных, веб-серверы или библиотеки сторонних разработчиков, должно быть частью модели поддержки, чтобы известные уязвимости устранялись квалифицированными специалистами службы ИТ-поддержки.
В соответствии с меняющимся ландшафтом угроз
Поддержание постоянной бдительности - ключевое требование для обеспечения безопасности и соответствия требованиям “облачных озер данных “ В связи с постоянно меняющимся ландшафтом безопасности средства контроля безопасности “облака” должны быстро адаптироваться к новым угрозам.
Если вы стремитесь соответствовать определенным нормативным требованиям, регулирующим хранение данных, - примите меры по поддержанию этих требований с помощью аудита соответствия и регулярного получения отчетов от соответствующих служб.
Заключение
Внедрение “облачного” озера данных дает значительные преимущества, но в то же время сопряжено с увеличением нагрузки, когда речь идет о безопасности и соблюдении нормативных требований. Однако следование лучшим отраслевым практикам, таким как шифрование в состоянии покоя и при транспортировке, управление доступом на высоком уровне с помощью Identity and Access Management (IAM), мониторинг внедрения с помощью расширенного протоколирования и использование постоянных исправлений, поможет вам создать безопасное и отвечающее всем требованиям “облачное” озеро данных.
В сочетании с соответствующим контролем миграции в облако и управления им ваша организация сможет использовать все преимущества облачных сервисов, сохраняя при этом соответствие нормативным требованиям и безопасность.
Ссылки
- Guide to using AWS EBS encryption
- Microsoft - HIPAA overview
- What is SIEM?
- AWS - Data ingestion methods
- HIPAA Security Rule Standards and Implementation Specifications
Disclosure and Affiliate Statement:
Партнерское открытие: Мы можем зарабатывать комиссию с ссылок на этой странице. Эти комиссии поддерживают наш веб-сайт и предоставляемый нами контент. Будьте уверены, мы рекомендуем только те продукты / услуги, в которые верим. Спасибо за ваше доверие! Щелкните здесь, чтобы узнать больше