Защита данных в эру Big Data. Часть 2
Сбор больших объёмов информации кардинально изменил область защиты данных. О том, как это произошло, размышляет Эрик Букобза. Эрик – старший директор по развитию группы Data Security Informaticа. Он отвечает за технологию динамического маскирования.
В первой части статьи Эрик рассказывает, что такое Big Data, почему полиморфизм и метаморфизм играет для них большое значение, как образуются умные слои данных. А также – как на сбор больших данных отреагировали регуляторные органы. Во второй части – что произошло с информационной безопасностью (ИБ) и почему произошло слияние этой области с управлением данными.
Традиционная информационная безопасность
Есть три хорошо известных требования к ИБ: конфиденциальность, целостность и доступность. Для того, чтобы выполнить эти требования, традиционно применяются два сосуществующих подхода: сетевая безопасность и безопасности на уровне приложения. Сетевая – регулирует доступ через внешние границы. Внешними границами может быть компьютер, источник данных или приложение. Во многом это подход «всё или ничего». Ты или можешь получить доступ или нет.
Инструменты сетевой безопасности не могут эффективно следить за хитросплетениями моделей информации. Считается, что что более детальное управление доступом можно обеспечить с помощью приложения, с которого осуществляется доступ. На этой идее построен второй подход – обеспечения безопасности на уровне отдельного приложения. Предполагается, что это приложение хорошо знает структуру данных. Но это предположение может оказаться неверным сейчас, когда полиморфизм, разнообразие данных, – ключевой фактор успеха. Такая модель также не может справиться с новыми вызовами, которые возникают из-за быстро развивающейся регуляторной экосистемы.
Дата-центричная парадигма ИБ и защиты данных
Возникает новая парадигма. Но не для того, чтобы заменить старую, а для того, чтобы расширить её. Дата-центричная безопасность требует управления ИБ независимо от структуры данных или их использования. Защиту данных нужно обеспечить, где бы они не хранились, в состоянии покоя или в движении, на внутренних серверах или в облаке, внутри периметра или снаружи. Например, чувствительные данные, такие как персональная информация, по которой можно идентифицировать человека (имя клиента) может храниться как поле в базе данных или как файл, или в облачной CRM-системе или даже в электронном письме на мобильном телефоне сотрудника. В любом случае может потребоваться создать специальные правила, чтобы обеспечить конфиденциальность и защиту данных.
Новая парадигма требует того, чтобы эксперт по ИБ стал data scientist, разобрался в процессах управления данными, Data Governance. А скоро она потребует и того, чтобы data scientists также стали экспертами по ИБ. Чтобы обеспечить защиту данных на определённом уровне (например, на уровне столбца таблицы или отдельного поля), специалист должен понимать сами данные, а то, куда данные переходят – менее релевантно. Это само по себе переворачивает практику ИБ с ног на голову. Возникнут новые требования к ИБ и защите данных, которые станут дата-центричными. Однако сейчас мы находимся на заре дата-центричной безопасности, эти требования полностью пока не определены. Gartner недавно разработал категорию DCAP (Data-Centric Audit and Protection – дата-центричный аудит и защита данных), которая охватывает некоторые аспекты этих требований, но не все. В больше степени это связано с тем, что несмотря на попытки обобщить понятие доступа во все разрозненные данные, мы всё равно застряли в ориентированный на периметр подход.
Управление данными и ИБ станут единым целым
Но, чтобы справиться с быстро меняющимися требованиями регуляторов и полиморфизмом данных, необходимо, чтобы защита данных и доступ к ним управлялись на самом мелком из возможных уровней – уровне элемента данных. Для реализации ИБ приходится всё чаще использовать экспертизу в интеграции данных. Расширение требований регуляторов к конфиденциальности данных на уровне отдельной семантики, ещё больше подталкивает процессы Data Governance и ИБ к слиянию.
К тому же «умные» слои данных, о которых говорилось в первой части статьи, будут всё больше вычленяться в информации. Они будут включать в себя данные разных форматов, на различных носителях. Дата-центричная безопасность потребует защиты данных во всех этих форматах и на всех носителях. Развитие слоёв данных приведёт к тому, что ИБ скорее всего станет частью того, как данные и их обработка определяются, включит в себя весь жизненный цикл данных. Мы можем ожидать, что области интеграция данных, качество данных, дата-центричная безопасность и Data Governance сольются и станут разными гранями одной и той же экспертизы.
Боитесь за свои Big Data? Проверьте, установлены ли у вас все необходимые решения для защиты данных в Apache Hadoop.
Если вы до сих пор не разобрались, чем маскирование отличается от шифрования данных, читайте статью Защита данных: маскирование и шифрование не одно и то же!
Обновлено: 22.03.2023
Опубликовано: 20.12.2018