Crie um ambiente Hadoop seguro com o IBM InfoSphere Guardium

Todos os benefícios que o ambiente Hadoop oferece dependem do acréscimo de recursos de segurança fornecidos por uma solução de software externa. Da mesma forma que as configurações de big data do Hadoop variam, os requisitos de segurança para proteger esse ambiente também variam. Todos os ambientes de big data são propensos ao risco; portanto, devem tem proteção integrada contra uso não autorizado, ameaças, ataques cibernéticos, origens de dados de entrada inválidos e outros desafios. Para isso, a IBM oferece o IBM® InfoSphere® Guardium®, uma solução de ponta para dar segurança ao ambiente Hadoop e proteger o big data. Saiba mais sobre o InfoSphere Guardium e como ele pode proteger o ambiente Hadoop.

Timothy Landers, Consultant, Universalinet.com, LLC

Timothy LandersTimothy Landers, diretor da Universalinet.com, LLC, é líder de prática em uma consultoria independente. Tem MBA em Gerenciamento de Tecnologia e é um profissional de gerenciamento de projetos certificado pelo Project Management Institute, com mais de 15 anos desempenhando funções de responsabilidade cada vez maior na área de TI. Escreveu mais de 28 cursos técnicos para treinamento corporativo, treinamento profissionalizante e ensino superior, além de manuais de produtos novos, exames de certificação profissional e catálogos de vendas comerciais (como o SkillSoft).



25/Abr/2014

O Apache Hadoop foi projetado originalmente para administrar o acesso do público geral às informações do Google. O valor do Hadoop como tecnologia pioneira aumentou quando se descobriu que ele também pode atuar como uma plataforma para gerenciar dados não estruturados em nós distribuídos. Apesar de ser bastante difundido entre as empresas de tecnologia, o código de programação do Hadoop nunca foi modificado para suportar recursos de segurança avançada ou para obedecer mandatos normativos de segurança (consulte ). Para os usos atuais, o ambiente Hadoop requer um modelo de segurança robusto com proteção integrada em relação aos vários níveis de vulnerabilidades encontradas quando você hospeda big data. O sistema Core Hadoop oferece autenticação no nível de serviço para a administração em camadas e níveis básicos de proteção contra violações de dados. Seu recurso de segurança mais predominante para proteger o acesso aos clusters de big data é a senha de usuário.

IBM: Um líder precoce no espectro de analítica de segurança de big data

Poucos produtos podem suprir as necessidades de big data da maioria das organizações. Saiba como a solução da IBM preenche esses requisitos e muito mais. Leia esse relatório e saiba mais sobre:

  • Analítica de segurança de big data em tempo real.
  • Analítica assimétrica de segurança de big data.
  • Como a IBM abarca o espectro de analítica de segurança de big data.

Faça o download de "IBM: An Early Leader across the Big Data Security Analytics Continuum."

O big data geralmente usa clusters ou uma nuvem privada como armazenamento, mas um ambiente virtual requer recursos de proteção de dados que reconhecem máquinas virtuais, nós e redes. Os clusters de big data podem tolerar nós que ciclam sem perda de dados nem interrupção de serviço, mas a consistência da segurança em nós e reinicializações de nós são problemas graves de desempenho no ambiente Hadoop. Reconhecendo a necessidade do segmento de mercado quanto ao fornecimento de uma solução de segurança avançada para ambientes Hadoop distribuídos, a IBM introduziu uma linha de produtos de segurança inovadores, designada de forma abrangente como IBM Security QRadar® SIEM (gerenciamento de eventos e informações de segurança). O Security QRadar SIEM engloba IBM QRadar, ArcSight, RSA Envision, Radius, IBM InfoSphere Guardium, Tivoli® e gerenciamento de nós do Protocolo Simples de Gerenciamento de Rede do HP OpenView; Common Vulnerability and Exposures (CVE), Guia de Implementação Técnica de Segurança (STIG) da Agência de Sistemas de Informação da Defesa (DISA), conformidade com os padrões de vulnerabilidade da referência do Center for Internet Security (CIS); a plataforma de gerenciamento de segurança McAfee ePolicy Orchestrator; protocolo LDAP; Kerberos; RSA SecurID e muito mais.

O produto IBM que foi projetado para proteger ambientes de Big Data e usa a pilha do Hadoop é o InfoSphere Guardium, que se integra à estrutura do Hadoop em várias camadas de Open System Interconnection (OSI). Com base na configuração do ambiente virtual ou de nuvem, o InfoSphere Guardium oferece diversos conjuntos de recursos de segurança para garantir um ambiente Hadoop seguro.

Requisitos de segurança do ambiente Hadoop

Os riscos de segurança do Big data podem ter um custo alto, tendo como resultado perda de dados, queda de produtividade, diminuição da renda e redução do valor geral da empresa. Os gargalos de segurança limitam de forma inata o desempenho do big data, e cada componente do ambiente Hadoop representa vulnerabilidades à segurança em potencial. Redes distribuídas são complexas a ponto de requerer métodos customizados de backup e recuperação. Em redes distribuídas, os gateways carregam o big data; a web e clientes independentes se intercomunicam com gerenciadores de nós e aplicativos e os clusters de big data replicam, fazem backup e armazenam dados. Ao mesmo tempo, os mandatos de conformidade regulamentar — como a Lei de portabilidade e prestação de contas dos seguros de saúde (HIPAA) e a Lei Sarbanes-Oxley (SOX) nos Estados Unidos — continuam vigentes. Para lidar com as características multifacetadas da computação distribuída, o ambiente Hadoop requer mais proteção à segurança.


Por que o InfoSphere Guardium?

O InfoSphere Guardium protege o big data e os investimentos significativos realizados na tecnologia Hadoop e proporciona uma garantia abrangente de proteger adequadamente os investimentos da empresa. O InfoSphere Guardium complementa as deficiências de segurança do Hadoop integrando-se à estrutura do Hadoop para fornecer recursos de segurança integrados e de missão crítica. Ao fornecer uma biblioteca de políticas de segurança, o InfoSphere Guardium é a próxima evolução de políticas de segurança (já que a computação distribuída torna a criação de políticas tradicional ineficaz).

O InfoSphere Guardium conta com um pacote de várias ferramentas para monitorar a segurança e resolver problemas de segurança. Com seu conjunto de produtos, ele analisa o tráfego de big data usando uma biblioteca de políticas de segurança e implementa estrategicamente ações de segurança com relação a ataques à rede e outras ameaças aos dados. Os produtos InfoSphere Guardium que geram um ambiente Hadoop seguro são mostrados na Figura 1 e na Tablela 1.

Figura 1. A família InfoSphere Guardium dá segurança ao Hadoop
Tablela 1. A família de produtos InfoSphere Guardium
ProdutoFunção
(1) IBM InfoSphere Data Privacy para HadoopImplementa requisitos de conformidade regulamentar dinâmicos e em tempo real para proteger dados sensíveis
(2) IBM InfoSphere Guardium Activity MonitorBloqueia o acesso não autorizado aos dados em tempo real e fornece alertas e notificações quando há violações da segurança
(3) IBM InfoSphere Guardium Data Encryption e (4) InfoSphere Guardium Data Encryption para IBM DB2® e Bancos de dados IBM IMS™Um utilitário de criptográfico que é padrão de mercado que fornece criptografia de dados para dados estruturados e não estruturados
(5) IBM InfoSphere Optim™ Data MaskingMascara dados confidenciais sob demanda
(6) IBM InfoSphere Guardium Vulnerability AssessmentVarre, detecta e recomenda etapas reparatórias para corrigir vulnerabilidades de banco de dados
(7) IBM InfoSphere Guardium Data RedactionDetecta e remove dados sensíveis de documentos exibidos (como PDFs, arquivos TIFF, XML e documentos do Microsoft® Word) como uma medida de segurança de dados

O InfoSphere Guardium também fornece uma interface da linha de comandos sofisticada para instalações, ajustes a configurações dinâmicas e para retornar informações do sistema.


Como o InfoSphere Guardium funciona?

Você já ouviu o ditado “é melhor prevenir do que remediar”? Esse ditado vale para a proteção do ambiente Hadoop usando a solução InfoSphere Guardium. Criar um ambiente Hadoop seguro com o InfoSphere Guardium significa impor proativamente o monitoramento como a principal prioridade para a detecção em tempo real e implementação de medidas de defesa da segurança. O InfoSphere Guardium monitora sistemas procurando atividades não autorizadas ou indesejadas para proporcionar o tempo de avanço de que o sistema precisa para minimizar, evitar, prevenir ou reduzir o impacto de um ataque à segurança de dados.

O InfoSphere Guardium usa interfaces de programação de aplicativos (APIs) para orquestrar operações de manutenção (por exemplo, auditar transações) ou gerar relatórios. A IBM oferece Hadoop com compatibilidade baseada na web, permitindo que os usuários naveguem em arquivos do Sistema de Arquivos Distribuído Hadoop (HDFS) por meio de um navegador da web. Já que os aplicativos baseados na web também podem ter a forma de um aplicativo de software independente, codificado para suportar navegadores da web, a funcionalidade da web do Hadoop e de aplicativos IBM na entrega de big data agora se torna dupla. Da autenticação à autorização, quando você acessa clusters de big data, as características do big data devem ser preservadas juntamente com a integridade do ambiente e a funcionalidade de cluster.

O monitoramento solicita ações de política de segurança

Monitoramento de segurança designa a análise contínua de transações de banco de dados. O InfoSphere Guardium monitora as transações de banco de dados de todos os usuários usando escutas de software (S-TAPs) como sondas, mas também se integra a outras soluções de segurança e infraestruturas IBM.

Consequentemente, o InfoSphere Guardium simplifica a tarefa extremamente complexa de fornecer uma segurança consistente no ambiente distribuído Hadoop. Uma captura instantânea do desempenho da S-TAP é apresentada na Figura 2. Uma S-TAP é colocada em cada cluster e encaminha uma cópia de todas as transações de banco de dados para o coletor do InfoSphere Guardium. O coletor é um dispositivo para criar logs, armazenar, auditar e analisar auditorias de transações de banco de dados em relação a violações de segurança.

Figura 2. Desempenho das S-TAPs no InfoSphere Guardium

As ações geradas pelo sistema refletem o mecanismo de política do InfoSphere Guardium, que fornece as políticas para a conformidade com a segurança usada para identificar violações de segurança. O agregador do InfoSphere Guardium é o dispositivo que consolida análises de vários coletores para gerar relatórios de segurança de toda a empresa. Dessa forma, as empresas obtêm os benefícios de avisos preliminares sobre violações de segurança. O InfoSphere Guardium monitora meticulosamente as transações de banco de dados para detectar o uso não autorizado, entidades perigosas, violações de dados e outros ataques ou ameaças à segurança.


Os níveis de segurança que as empresas desejam e de que o Hadoop precisa

Os proprietários de redes de big data desejam uma rede que pode processar dados com segurança, rapidez e velocidade. Essa funcionalidade se baseia no paralelismo—a difusão do processamento para um número maior de processadores, para acelerar o processo de processamento de dados. A lei de Amdahl, sobre as restrições de velocidade, prova que o número de processadores que podem ser usados efetivamente é limitado antes que se possa obter uma velocidade maior. O paralelismo da computação distribuída ainda usa um número enorme de processadores e nós físicos ou virtuais para realizar computações simultâneas. Além disso, ambientes de big data de diversos tipos podem coexistir na mesma plataforma virtual ou de nuvem. Por exemplo, ambientes como Hadoop e NoSQL são incompatíveis — isso enfraquece a efetividade das ferramentas de segurança integradas. Portanto, a criação do ambiente Hadoop seguro precisa da solução InfoSphere Guardium para escalar para o big data.

Os proprietários de redes de big data desejam usar as ferramentas de segurança integradas da pilha do Hadoop para fornecer segurança para todo o ambiente Hadoop, mas os ambientes de big data podem ser enormes. De fato, big data é sinônimo de plataforma Hadoop — um agrupamento de HDFS, Apache Hadoop NextGen MapReduce (YARN), MapReduce e outros componentes em uma solução customizada e de software livre. Componentes opcionais, como Dremel, chef, Apache Hive, Puppet e Percolator aprimoram ainda mais o ambiente Hadoop para oferecer recursos como gráficos, dados XML, acesso a dados personalizado e gerenciamento e processamento. O uso de várias tecnologias com recursos de segurança integrados pode ser menos seguro que a implementação do InfoSphere Guardium, que fornece uma solução de segurança abrangente para o ambiente Hadoop. Além disso, além da autorização no nível de serviço e os recursos de proxy da web do YARN, não há nenhum recurso integrado de segurança no Core Hadoop para proteger armazenamentos e aplicativos de big data no Hadoop em nós distribuídos. Dar segurança a todo o ambiente Hadoop significa usar as soluções de segurança mais confiáveis que estão disponíveis, mas o proxy de HDFS conecta clientes de navegador da web a nós, usando uma chamada de procedimento remoto em TCP/IP. Embora esse comportamento seja adequado para executar a transação do banco de dados, a transação é menos segura que o uso da conectividade de TCP/IP para TCP/IP. O InfoSphere Guardium pode complementar a segurança necessária que a conectividade de TCP/IP a TCP/IP fornece porque, na verdade, foi estabelecida uma provisão de segurança bidirecional para essa configuração de proxy que defende os dados transmitidos do proxy de HDFS e os dados transmitidos para o nó. Veja a Figura 3.

Figura 3. Uma arquitetura Hadoop segura

Os proprietários de redes de big data também desejam proteger a acessibilidade por parte de vários tipos de usuários. Do ponto de vista da segurança, as transações de banco de dados são monitoradas em relação às configurações de segurança autorizadas até o nível da função de usuário, para fornecer esse tipo de segurança. As funções de usuário e senhas são as principais formas de segurança de big data, mas os relacionamentos de banco de dados também podem ser distribuídos. Em uma rede complexa de esquemas, o modelo de banco de dados oferece apenas acesso limitado e nega a proteção em relação ao acesso do usuário e do sistema. Por outro lado, o InfoSphere Guardium oferece uma proteção inovadora em um nível granular que permite que os administradores protejam o big data nos níveis de nó distribuído, campo e até mesmo função de usuário.


As violações de segurança podem custar caro

Para entender melhor o valor que o InfoSphere Guardium fornece, é necessário examinar o dano em potencial que violações de segurança pequenas ou indiretas pode causar.

Os riscos de segurança de big data englobam possíveis ataques aleatórios à segurança, violações de dados, políticas de segurança ineficazes e nós, usuários ou aplicativos perigosos que obtêm acesso ao cluster. Um ambiente Hadoop com as provisões de segurança adequadas pode ter como resultado o comprometimento de dados — isso, por sua vez, pode ter como resultado o envio de dados ou links mal-intencionados para qualquer um dos serviços. Além disso, alguns nós se auto-organizam — ou seja, precisam de um “gargalo" que não está disponível em um cluster de “malha” ponto a ponto. Consequentemente, não podem se beneficiar de gateways, firewalls ou ferramentas de monitoramento de segurança. As pilhas de big data não têm quase nada de segurança integrada porque se baseiam no modelo de serviços da web e na lista do Open Web Application Security Project (OWASP) Top Ten.

O acesso a dados administrativos é outra área da segurança. Pelo menos um administrador administra os nós. O acesso total a um nó requer restrições para garantir a facilitação da separação de tarefas entre diversos administradores. Da mesma forma, as plataformas de bancos de dados relacionais requerem restrições de segurança para facilitar a proteção. As plataformas de big data não contam com sua matriz de recursos integrados, documentação e ferramentas de terceiros para preencher esse requisito.

Detectar se houve uma violação em um cluster de big data é uma necessidade oculta que requer uma abordagem proativa e eficiente. O monitoramento constante dos logs de transação é uma solução prática. Inclua a criação de logs no cluster existente, use os recursos da web compartilhados para gerenciar arquivos de log ou inclua um SIEM ou outro produto de gerenciamento de logs. A criação de log melhora a segurança para detectar ataques, diagnosticar falhas ou investigar o comportamento incomum rastreando os eventos até a causa raiz. As solicitações de MapReduce, por exemplo, são eventos que podem ser registrados. O Hadoop oferece soluções parciais para autorização.


Segurança criptográfica do InfoSphere Guardium

As amplas provisões para a escalabilidade horizontal e a transparência necessária para trabalhar com big data são outros pontos decisivos a favor do InfoSphere Guardium para criar um ambiente Hadoop seguro. O recurso de criptografia de dados fornece criptografia e decriptografia sem interrupção para o ambiente Hadoop. Os serviços de política centralizada e gerenciamento de chaves do InfoSphere Guardium são um bônus para proteger dados estruturados e não estruturados, exigindo que os usuários que tentam acessar arquivos criptografados tenham a chave de criptografia ou o certificado necessário para fazer isso. As especificações de política contra a inferência de um dispositivo são um item obrigatório para webs semânticas e protegem contra violações de segurança e privacidade provenientes da inferência.

Uma das melhores práticas do setor para proteger dados em repouso é a criptografia, que protege contra tentativas de acessar dados fora das interfaces de aplicativo estabelecidas. A criptografia serve para proteger o big data que é replicado, transferido e transmitido do cluster e para ele. Além disso, a replicação oferece a usuários administradores perigosos uma oportunidade de roubar big data ou prejudicá-lo de outra forma. E mais: são poucas as variações do NoSQL que fornecem criptografia para dados em repouso.

O recurso de criptografia de dados do InfoSphere Guardium também protege os dados contra usuários ou administradores mal-intencionados que obtêm acesso a nós de dados e inspecionam os arquivos diretamente — ele deixa ilegíveis os arquivos roubados e as imagens de disco copiadas. Os arquivos criptografados bloqueiam ataques que, de outra forma, poderiam passar pelos controles de segurança dos aplicativos. A criptografia de camada de arquivos do InfoSphere Guardium oferece uma proteção consistente em diversas plataformas. Não é aparente para o Hadoop nem para os aplicativos de chamada e escala para o big data conforme o cluster aumenta. Na verdade, a maior parte da segurança necessária para o ambiente Hadoop pode ser obtida por meio de controles de criptografia. Entretanto, as chaves de criptografia devem ser protegidas na camada 2 do OSI para proporcionar uma segurança criptográfica efetiva dos clusters de big data. Além disso, o armazenamento de chaves de criptografia em unidades de disco locais é conveniente, mas distribua as chaves e certificados de criptografia para proporcionar segurança a todos os usuários, grupos e aplicativos. Essas operações podem requerer APIs, que devem ter segurança suficiente para executar os comandos de código de programação que “manobram” o big data sem comprometê-lo. O InfoSphere Guardium fornece todos os recursos de segurança de que o ambiente Hadoop precisa e muito mais.


Conclusão

É possível obter um ambiente Hadoop seguro ativando o conjunto correto de ferramentas de segurança IBM. Frequentemente, o big data está sujeito à conformidade legal regulamentar, conforme o estabelecido pela lei. Crie um ambiente Hadoop seguro usando recursos IBM que oferecem proteção de dados e infraestrutura para rechaçar possíveis invasores e defender os pontos fracos e as vulnerabilidades dos aplicativos de big data.

Na hora de proteger seu ambiente de big data, lembre-se destes pontos-chave:

  • A melhor solução de segurança para o Hadoop escala junto com o big data do ambiente.
  • Use ferramentas de segurança de terceiros, porque elas são integradas à estrutura do Hadoop.
  • As especificações de políticas trabalham com níveis mais granulares dos requisitos de segurança.
  • Os controles de segurança são consistentes — do ponto de vista da arquitetura e do ambiente — com a arquitetura do cluster.

Os ambientes Hadoop enfrentam os mesmos desafios de segurança e privacidade do big data. Proteger o big data é, basicamente, criar um ambiente Hadoop seguro — e a IBM fornece um conjunto eficiente de mecanismos de segurança como uma solução para a segurança do ambiente Hadoop que é uma melhor prática do setor.

Recursos

Aprender

  • O Hadoop — sistema de software livre para a computação distribuída escalável — é um projeto do mais alto nível da Apache. No site do Hadoop, é possível aprender sobre o Hadoop e a coleção de outros projetos que ampliam e aprimoram o big data ao processar com o Hadoop.
  • Confira Hadoop Poses a Big Data Security Risk: 10 Reasons Why para obter mais informações sobre a segurança em ambientes Hadoop.
  • Saiba mais sobre o InfoSphere Guardium Data Redaction e veja como os recursos de segurança internos complementam a segurança externa do ambiente Hadoop.
  • Acesse o blog Security On developerWorks para saber sobre novos vídeos de demo, artigos e guias de instruções relacionados à segurança.
  • Inscreva-se na newsletter semanal do Security On developerWorks para receber as manchetes mais recentes sobre segurança.
  • Siga @dwsecurity para obter atualizações da zona de segurança do developerWorks em tempo real.
  • Leia Introduction to Parallel Computing de Ted G. Lewis e Hesham El-Rewini (Prentice-Hall, 1992—principalmente as páginas 31-32 e 38-39).
  • Existem várias formas de dados sensíveis, mas há uma lista cada vez maior de regulamentos para garantir a privacidade dos dados. Esses regulamentos englobam a HIPAA para dados médicos e a SOX para dados financeiros.
  • O Kerberos é um protocolo de autenticação de rede projetado para fornecer uma autenticação forte para aplicativos de cliente/servidor que usam a criptografia de chave secreta.
  • Saiba mais sobre a conformidade dos padrões de vulnerabilidade com os STIGs da DISA e as Referências do CIS.
  • Saiba mais sobre o Projeto OWASP Top Ten.
  • Veja a opinião dos especialistas do setor sobre o modelo de segurança do Hadoop e o que ele requer em Big Data Security: The Evolution of Hadoop's Security Model.
  • Obtenha mais informações sobre tópicos de segurança no site de Segurança site no developerWorks.
  • Siga o developerWorks no Twitter.
  • Acompanhe as demos on demand do developerWorks que vão da instalação de produtos e demos de instalação para iniciantes à funcionalidade avançada para desenvolvedores experientes.

Obter produtos e tecnologias

Discutir

Comentários

developerWorks: Conecte-se

Los campos obligatorios están marcados con un asterisco (*).


Precisa de um ID IBM?
Esqueceu seu ID IBM?


Esqueceu sua senha?
Alterar sua senha

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


A primeira vez que você entrar no developerWorks, um perfil é criado para você. Informações no seu perfil (seu nome, país / região, e nome da empresa) é apresentado ao público e vai acompanhar qualquer conteúdo que você postar, a menos que você opte por esconder o nome da empresa. Você pode atualizar sua conta IBM a qualquer momento.

Todas as informações enviadas são seguras.

Elija su nombre para mostrar



Ao se conectar ao developerWorks pela primeira vez, é criado um perfil para você e é necessário selecionar um nome de exibição. O nome de exibição acompanhará o conteúdo que você postar no developerWorks.

Escolha um nome de exibição de 3 - 31 caracteres. Seu nome de exibição deve ser exclusivo na comunidade do developerWorks e não deve ser o seu endereço de email por motivo de privacidade.

Los campos obligatorios están marcados con un asterisco (*).

(Escolha um nome de exibição de 3 - 31 caracteres.)

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


Todas as informações enviadas são seguras.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=80
Zone=
ArticleID=969662
ArticleTitle=Crie um ambiente Hadoop seguro com o IBM InfoSphere Guardium
publish-date=04252014