保障 Hadoop 數據安全的十大措施

Dataguise最近發布了Hadoop十大數據安全措施，內容涵蓋隱私風險、數據管理和信息安全等，可以幫助專業人士降低大數據應用的潛在數據泄漏和政策違規等風險，對于那些考慮部署Hadoop的企業來說非常值得參考。

Dataguise為多家財富200強企業提供Hadoop安全服務，總結出了一套適合大規模多樣化環境的大數據安全實踐和流程。

大數據分析向來伴隨著隱私話題和爭議，在大數據分析中的海量數據里，難免會出現姓名、地址和身份號碼等個人隱私信息PII（Personally Identifiable Information）。

而大量金融數據中類似信用卡和銀行賬戶號碼中難免也會攜帶上述個人信息，對這些數據的訪問將引起極大的爭議。但是通過縝密的計劃、測試、生產預備工作，以及對大數據技術的合理應用，大多數隱私問題都可以得到緩解。

以下是Dataguise給出的Hadoop項目實施的最佳安全實踐，尤其對項目初期的規劃階段有重要參考價值：

1.數據隱私措施越早越好。在規劃階段就明確數據隱私保護策略，最好在將數據導入Hadoop之前完成，這可以防患未然。

2.明確你所在企業中哪些數據元素屬于敏感數據。充分考慮企業的隱私政策，相關行業規定和政府法規。

3.審視分析環境和裝配Hadoop系統的過程中是否藏有/夾帶敏感數據。

4.收集足夠信息來明確合規風險。

5.明確業務分析是否需要訪問真實數據，或“脫敏”數據能否使用。然后選擇合適的敏感信息遮擋和加密等矯正技術（masking or encryption）。遮擋（masking）技術提供最好的安全性能，而加密則更具靈活性，視將來的需要而定。

6.確保數據保護方案能夠同時支持遮擋和加密兩種數據矯正技術，尤其是當需要將經過遮擋處理和未經遮擋的兩個版本的數據分別存放于不同的Hadoop目錄下的時候。

7.確保數據保護技術對所有數據文件提供一致的masking方式，這樣可以保證在各個數據匯聚維度上的分析的準確性。

8.確定特定數據集是否需要定制的保護方案，出于數據單元安全管理的需要，可以考慮將Hadoop目錄劃分成更小的群組。

9.確保你選擇的加密方案與企業的訪問控制技術能夠互操作，這樣特定級別和身份的用戶只能訪問Hadoop集群中特定的數據范圍。

10.當需要使用加密技術的時候，確保部署合適的技術（Java、Pig等）實現無縫加密，同時確保對數據的無障礙訪問。

通過及早啟動并建立敏感數據預案，企業能盡早發現Hadoop環境中的敏感數據，分析合規風險并合理采用數據保護技術，這不但能大大降低數據泄漏和合規風險，還能提高大數據項目的投資回報。

來自IT經理網