大数据分析Qubole增强数据安全性

　　大数据分析已成为希望利用其业务潜力的企业的基本要求。大数据分析的用例是无止境的，范围从客户定位，欺诈分析到异常检测等等。可以从各种来源快速生成此数据，例如用户的浏览器和搜索历史记录，信用卡付款，最近的手机塔的移动ping等。给定捕获的敏感信息量，任何未经授权或意外泄露或访问的信息数据可能会对您的企业造成严重后果，无论是在财务上还是在更无形的方面，例如品牌知名度和用户信任度的下降。
 

　　近年来，出现了许多针对大数据分析的高度可扩展且复杂的处理框架，例如Hadoop，Hive，Presto和Spark。由于这些框架的分布式性质，因此确保它们的安全性非常具有挑战性，涉及许多接触点，服务和操作流程。随着云计算的加速采用，监视大数据分析的访问和数据流变得更加复杂。
 

一、为什么访问控制很重要
 

　　许多企业试图通过加密和外围控制来保护数据安全，但没有全面，细化的数据访问控制策略。这种策略至关重要，因为具有不同级别的权限，责任和能力的多个员工将在平台上运行不同的工作。例如，营销团队需要访问销售数据以分析客户流失和情绪，而财务团队需要访问财务数据以生成财务预测。
 

　　当成千上万的员工需要多种用途的数据访问权限时，授予用户“全有或全无”访问权限的粗粒度权限不再足够。相反，您需要一组可伸缩，一致且细粒度的控制功能，以防止在处理的每个阶段不必要地访问敏感信息。此外，公众的日益关注和新的全球合规要求使得实施这种解决方案变得更加紧迫。
 

　　AAA教育准备的这篇文章是一个由三部分组成的系列文章的一部分，该系列文章探讨了管理基于云的大数据分析的粒度数据访问所面临的挑战和细微差别。这篇文章概述了粒度访问控制的一般最佳实践以及Qubole提供的安全功能。在接下来的文章中，我们将演示如何充分设置角色和权限，并讨论您的企业可以在Qubole平台上使用的其他细粒度访问控制资源。
 

二、如何利用粒度访问控制
 

　　除了身份验证外，实施适当的访问控制策略对于减少最常见的数据泄露类型(例如网络钓鱼和社交工程攻击)的攻击面也非常有效。根据云安全联盟的说法，全面的粒度访问控制策略包括以下元素：
 

　　1、规范化可变元素和规范化不可变元素
 

　　2、跟踪保密要求并确保正确实施
 

　　3、维护访问标签
 

　　4、跟踪管理员数据
 

　　5、使用单点登录(SSO)
 

　　6、使用标签方案来维护正确的数据联合
 

　　Qubole当前支持上面列出的许多适用于我们平台的功能。但是，访问控制的选项和配置将根据云服务模型和特定于提供商的功能而有所不同。在Qubole，我们努力提供与引擎和云无关的数据访问控制解决方案。从数据摄取到数据访问，我们至少启用三个级别的访问控制：基础结构，平台和数据级别。
 

三、基础设施级别
 

　　可以放置访问控制以限制对云基础架构资源和服务的访问。例如，在AWS中，企业系统管理员可以利用IAM角色来限制Qubole对AWS资源(例如S3存储和EC2实例)的访问。为了增加粒度，企业可以创建双重IAM角色，其中一个角色充当跨账户IAM，可以跨AWS账户访问，而另一个角色可以限制对AWS S3存储桶中数据的访问。
 

　　在Azure中，系统管理员可以使用Azure RBAC下的Azure Active Directory和IAM角色来限制Qubole对Azure资源的访问。管理员可以在Active Directory下为Qubole配置一个应用程序，并为它分配“参与者” IAM角色或创建自定义IAM角色，以进一步限制对计算资源的访问。可以使用Azure blob存储的存储密钥和Azure Data Lake Store(ADLS)的Active Directory集成OAuth令牌来限制Qubole对存储资源的访问。
 

　　同样，在Oracle Cloud Infrastructure中，系统管理员可以使用Oracle Cloud Infrastructure IAM下的用户，组和策略来限制Qubole对存储和计算资源的访问。他们可以使用广泛的策略来允许Qubole访问隔离专区中的所有资源，或者定义更严格的策略来限制Qubole对特定资源的访问。


 

四、平台级别
 

　　在Qubole的平台上，系统管理员可以利用Qubole的内置基于角色的访问控制(RBAC)功能来限制用户对特定平台工件(例如群集，笔记本和仪表板)的访问。客户可以使用预定义角色，也可以创建自定义角色。自定义角色根据业务功能提供精细的权限，以授予用户不同程度的访问权限和Qubole平台上的允许操作。RBAC到Qubole的工件可以帮助实现隐私，提高运营效率并减轻策略管理的管理负担。
 

　　借助Qubole上的RBAC，企业还可以享受通过降低成本来改善财务治理的附加优势，因为管理员可以将更多计算资源专门分配给高价值用户，而不会影响其他用户。
 

　　有关如何在Qubole上管理角色的更多信息，请参阅有关管理访问权限和角色的文档。
 

五、数据级别
 

　　鉴于公众日益关注和严厉的法律制裁，数据级访问控制至关重要，尤其是对于处理个人身份信息，受保护的健康信息或其他敏感信息的企业。
 

　　Qubole通过Hive授权提供精细的访问控制。Qubole的Hive授权使用户能够跨用例和引擎(例如Spark，Presto和Hive)实现对表的细粒度访问。展望未来，我们将访问控制功能扩展到行过滤，列级访问控制和数据屏蔽。我们的目标是为客户提供足够水平的细粒度控制，以实现最佳的数据访问治理。
 

六、未来展望
 

　　随着对数据隐私和保护的关注不断升级，Qubole致力于为企业配备多层访问控制解决方案，该解决方案与数据引擎和云无关。在以下博客文章中，我们将讨论设置用户权限的最佳做法，并展示您的企业可以在Qubole平台上部署的其他精细的访问控制资源。