在云中啟用數(shù)據(jù)和分析可以讓企業(yè)擁有無(wú)限的規(guī)模和可能性，以更快地獲得洞察，并利用數(shù)據(jù)做出更優(yōu)的決策。數(shù)據(jù)湖倉(cāng)愈發(fā)受到歡迎，其為所有的企業(yè)數(shù)據(jù)提供了一個(gè)統(tǒng)一平臺(tái)，可以靈活運(yùn)行任何分析和機(jī)器學(xué)習(xí)（ML）用例。數(shù)據(jù)湖倉(cāng)兼具了數(shù)據(jù)湖的靈活性和經(jīng)濟(jì)效益，以及數(shù)據(jù)倉(cāng)庫(kù)的性能和可靠性。

云數(shù)據(jù)湖倉(cāng)將多種處理引擎（SQL、Spark等）和現(xiàn)代分析工具（ML、數(shù)據(jù)工程化和商業(yè)智能）整合到一個(gè)統(tǒng)一的分析環(huán)境中，使用戶能夠快速采集數(shù)據(jù)，并運(yùn)行自助分析和機(jī)器學(xué)習(xí)。與本地?cái)?shù)據(jù)湖相比，云數(shù)據(jù)湖倉(cāng)在擴(kuò)展性、敏捷性和成本方面具有明顯的優(yōu)勢(shì)，但遷移上云并非沒(méi)有安全之憂。

數(shù)據(jù)湖倉(cāng)的架構(gòu)設(shè)計(jì)包含一個(gè)復(fù)雜的組件生態(tài)系統(tǒng)，其中每個(gè)組件都是一條可以使用數(shù)據(jù)的潛在路徑。從規(guī)避風(fēng)險(xiǎn)的角度而言，有的企業(yè)可能不愿將生態(tài)系統(tǒng)遷移到云端，但經(jīng)過(guò)多年的發(fā)展，云數(shù)據(jù)湖倉(cāng)已經(jīng)變得更加安全、合理，相比本地?cái)?shù)據(jù)湖倉(cāng)具有明顯的優(yōu)勢(shì)。

以下十項(xiàng)基本的云數(shù)據(jù)湖倉(cāng)安全實(shí)踐可以幫助企業(yè)確保安全、降低風(fēng)險(xiǎn)并提供持續(xù)可見(jiàn)性。

1. 安全功能隔離

安全功能隔離是云安全框架最重要的功能和基礎(chǔ)。其目標(biāo)是通過(guò)最小權(quán)限原則，將安全與非安全功能分區(qū)。在云上采取這一做法是為了將云平臺(tái)的功能嚴(yán)格限制在預(yù)定范圍內(nèi)。數(shù)據(jù)湖倉(cāng)的作用應(yīng)僅限于管理數(shù)據(jù)湖倉(cāng)平臺(tái)。企業(yè)應(yīng)將云安全功能分配給經(jīng)驗(yàn)豐富的安全管理員，避免讓數(shù)據(jù)湖倉(cāng)用戶將該環(huán)境暴露在重大風(fēng)險(xiǎn)中。??DivvyCloud??近期的一項(xiàng)研究顯示，云端部署的主要風(fēng)險(xiǎn)之一是因配置錯(cuò)誤和用戶缺乏經(jīng)驗(yàn)而導(dǎo)致的違規(guī)行為。通過(guò)將安全功能隔離和最小權(quán)限原則納入云安全計(jì)劃，企業(yè)可以顯著減少外部暴露和數(shù)據(jù)泄露風(fēng)險(xiǎn)。

2. 云平臺(tái)加固

隔離和加固云數(shù)據(jù)湖倉(cāng)平臺(tái)的第一步是建立唯一的云帳戶。通過(guò)限制平臺(tái)功能，讓管理員僅擁有管理數(shù)據(jù)湖倉(cāng)平臺(tái)的權(quán)限。在云平臺(tái)上隔離邏輯型數(shù)據(jù)的最有效方法是使用唯一帳戶進(jìn)行部署。    

在擁有運(yùn)行數(shù)據(jù)湖倉(cāng)服務(wù)的唯一云帳戶后，企業(yè)就可以使用??網(wǎng)絡(luò)安全中心??（CIS）提到的加固技術(shù)。使用唯一帳戶策略和加固技術(shù)，可以將企業(yè)的數(shù)據(jù)湖倉(cāng)服務(wù)功能與其他云服務(wù)進(jìn)行安全隔離。

3. 網(wǎng)絡(luò)邊界

在加固云帳戶后，企業(yè)還需要為該環(huán)境設(shè)計(jì)網(wǎng)絡(luò)路徑。這是整個(gè)安全體系的關(guān)鍵組成部分之一，也是企業(yè)的第一道防線。有很多方法可以解決云部署帶來(lái)的網(wǎng)絡(luò)邊界安全問(wèn)題，企業(yè)可能會(huì)因?yàn)閹捄秃弦?guī)方面的要求而選擇其中一些方法，這些方法必須使用專用連接，或使用云提供的虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)，并通過(guò)隧道將流量回傳到企業(yè)。

如果企業(yè)準(zhǔn)備在云帳戶中存儲(chǔ)任何類型的敏感數(shù)據(jù)，并且不使用私人鏈路連接到云，那么流量控制和可視性將至關(guān)重要。云平臺(tái)市場(chǎng)提供了許多企業(yè)防火墻，它們具有更高級(jí)的功能且價(jià)格合理，能夠補(bǔ)充本地云安全工具。企業(yè)可以在中心輻射型結(jié)構(gòu)中部署虛擬防火墻，通過(guò)一個(gè)或一對(duì)普遍可用的防火墻來(lái)保護(hù)所有的云網(wǎng)絡(luò)。防火墻應(yīng)成為云基礎(chǔ)設(shè)施中唯一擁有公共IP地址的組件。企業(yè)還應(yīng)創(chuàng)建明確的進(jìn)出政策和入侵防御配置文件以降低非法訪問(wèn)和數(shù)據(jù)滲漏風(fēng)險(xiǎn)。

4. 主機(jī)端安全系統(tǒng)

在云部署中，主機(jī)端安全系統(tǒng)是一個(gè)經(jīng)常被忽視卻非常重要的安全層。與確保網(wǎng)絡(luò)安全的防火墻功能一樣，主機(jī)端安全系統(tǒng)可以保護(hù)主機(jī)免受攻擊。在大多數(shù)情況下，它就是最后一道防線。主機(jī)端安全的范圍相當(dāng)廣泛，并且根據(jù)服務(wù)和功能而異。

●        主機(jī)入侵檢測(cè)：這項(xiàng)在主機(jī)端運(yùn)行的代理技術(shù)通過(guò)各種檢測(cè)系統(tǒng)來(lái)發(fā)現(xiàn)并警告攻擊和可疑活動(dòng)。目前業(yè)界有兩種主流的入侵檢測(cè)技術(shù)：最常見(jiàn)的是檢測(cè)已知威脅特征的特征檢測(cè)技術(shù)；另一種是異常檢測(cè)技術(shù)，這種技術(shù)使用行為分析來(lái)檢測(cè)特征檢測(cè)技術(shù)無(wú)法發(fā)現(xiàn)的可疑活動(dòng)。一些服務(wù)在提供機(jī)器學(xué)習(xí)功能的同時(shí)，也提供這兩種檢測(cè)。它們都能提供主機(jī)活動(dòng)的可見(jiàn)性，幫助企業(yè)檢測(cè)和應(yīng)對(duì)潛在的威脅和攻擊。

●        文件完整性監(jiān)視（FIM）：這項(xiàng)功能能夠監(jiān)視和追蹤環(huán)境中的文件變化，有效檢測(cè)和追蹤網(wǎng)絡(luò)攻擊。它是許多監(jiān)管合規(guī)框架的關(guān)鍵要求之一。由于多數(shù)漏洞一般需要獲得某項(xiàng)高權(quán)限來(lái)運(yùn)行進(jìn)程，因此它們會(huì)利用已經(jīng)擁有這些權(quán)限的服務(wù)或文件，例如抓住服務(wù)缺陷將錯(cuò)誤參數(shù)覆蓋系統(tǒng)文件并插入有害代碼。FIM能夠發(fā)現(xiàn)并提醒企業(yè)文件的變化甚至添加。有些FIM還提供高級(jí)功能，比如將文件恢復(fù)到已知的良好狀態(tài)或通過(guò)分析文件模式識(shí)別惡意文件。

●        日志管理：分析云數(shù)據(jù)湖倉(cāng)中的活動(dòng)是識(shí)別安全突發(fā)事件的關(guān)鍵，同時(shí)也是合規(guī)控制手段的基石。日志記錄必須能夠防止欺詐活動(dòng)對(duì)事件進(jìn)行更改或刪除。為了遵守法律法規(guī)，企業(yè)往往需要制定日志存儲(chǔ)、留存和銷毀政策。

執(zhí)行日志管理政策最常見(jiàn)的方法是將日志實(shí)時(shí)復(fù)制到集中存儲(chǔ)庫(kù)，以備未來(lái)分析所需時(shí)訪問(wèn)。目前有許多商業(yè)和開(kāi)源日志管理工具可供選擇。

5. 身份管理和認(rèn)證

身份是重要的審核依據(jù)，可以為云數(shù)據(jù)湖倉(cāng)提供強(qiáng)有力的訪問(wèn)控制。在使用云服務(wù)時(shí)，企業(yè)首先要將身份提供程序（如活動(dòng)目錄）與云提供商整合。     對(duì)于某些基礎(chǔ)設(shè)施服務(wù)而言這就足夠了。但如果企業(yè)自行管理第三方應(yīng)用或部署包含多項(xiàng)服務(wù)的數(shù)據(jù)湖倉(cāng)，則可能需要整合零散的認(rèn)證服務(wù)，包括SAML客戶端和提供商，如Auth0、OpenLDAP、Kerberos和Apache Knox等。如果想擴(kuò)展到Hue、Presto或Jupyter等服務(wù)，則可以參考關(guān)于Knox和Auth0集成的第三方文檔。

6. 授權(quán)

授權(quán)通過(guò)數(shù)據(jù)和資源訪問(wèn)控制、以及列級(jí)過(guò)濾來(lái)確保敏感數(shù)據(jù)的安全。云提供商通過(guò)基于資源的身份和訪問(wèn)管理（IAM）策略與基于角色的訪問(wèn)控制（RBAC），將強(qiáng)大的訪問(wèn)控制策略整合到其PaaS解決方案中，其中RBAC可以利用最小權(quán)限原則管理訪問(wèn)控制策略，此舉的最終目的是集中定義行和列級(jí)訪問(wèn)控制。     一些云提供商已經(jīng)開(kāi)始擴(kuò)展IAM，提供數(shù)據(jù)湖構(gòu)建等數(shù)據(jù)和工作負(fù)載引擎訪問(wèn)控制策略，并增加服務(wù)與帳戶之間共享數(shù)據(jù)的能力。根據(jù)云數(shù)據(jù)湖倉(cāng)中運(yùn)行的服務(wù)數(shù)量，企業(yè)可能需要使用其他開(kāi)源或第三方項(xiàng)目（如Apache Ranger）擴(kuò)展這種方法，對(duì)所有服務(wù)進(jìn)行精細(xì)授權(quán)。

7. 加密

加密是保障集群和數(shù)據(jù)安全的基礎(chǔ)。一般情況下，企業(yè)可以在云提供商所提供的指南中找到最佳的加密方法。正確掌握這些細(xì)節(jié)非常重要，而這需要企業(yè)對(duì)IAM、密鑰輪換策略和具體的應(yīng)用配置有深入的了解。對(duì)于     存儲(chǔ)桶、日志、秘密和卷以及所有數(shù)據(jù)存儲(chǔ)，企業(yè)需要熟悉KMS CMK最佳實(shí)踐，并對(duì)動(dòng)態(tài)和靜態(tài)數(shù)據(jù)進(jìn)行加密。如果企業(yè)整合的不是由云提供商所提供的服務(wù)，那么就需要提供自己的證書(shū)。無(wú)論是哪種情況，企業(yè)都有必要制定證書(shū)輪換的方法，例如每90天輪換一次。

8. 漏洞管理

無(wú)論企業(yè)使用什么樣的分析堆棧和云提供商，都要確保數(shù)據(jù)湖倉(cāng)基礎(chǔ)設(shè)施中的全部實(shí)例都安裝了最新的安全補(bǔ)丁。落實(shí)定期操作系統(tǒng)和軟件包補(bǔ)丁策略，包括定期對(duì)基礎(chǔ)設(shè)施中的各部分進(jìn)行安全掃描。企業(yè)可以關(guān)注云提供商的安全公告更新，并根據(jù)自身的安全補(bǔ)丁管理計(jì)劃安裝補(bǔ)丁。如果已經(jīng)制定了漏洞管理解決方案，則應(yīng)根據(jù)既定方案掃描數(shù)據(jù)湖倉(cāng)環(huán)境。

?

9. 合規(guī)監(jiān)控和突發(fā)事件響應(yīng)

合規(guī)監(jiān)控與突發(fā)事件響應(yīng)能提供早期檢測(cè)、調(diào)查和響應(yīng)，是所有安全框架的基石。如果企業(yè)有現(xiàn)有的本地安全信息和事件管理（SIEM）基礎(chǔ)設(shè)施，可將其用于云監(jiān)控。領(lǐng)先的SIEM系統(tǒng)都能獲取并分析所有重大的云平臺(tái)事件。事件監(jiān)控系統(tǒng)會(huì)觸發(fā)威脅和違規(guī)行為警報(bào)，幫助提高云基礎(chǔ)設(shè)施的合規(guī)性。此類系統(tǒng)還可用于確認(rèn)失陷指標(biāo)（IOC）。

?

10. 數(shù)據(jù)損失預(yù)防

為確保數(shù)據(jù)的完整性和可用性，云數(shù)據(jù)湖倉(cāng)應(yīng)將數(shù)據(jù)持久存儲(chǔ)在擁有安全經(jīng)濟(jì)的冗余存儲(chǔ)、持續(xù)的吞吐量和高可用性的云對(duì)象存儲(chǔ)上（如Amazon S3）。其他功能中，內(nèi)置留存生命周期的對(duì)象版本管理功能可對(duì)意外刪除和對(duì)象更換進(jìn)行修復(fù)。所有管理和存儲(chǔ)數(shù)據(jù)的服務(wù)都要經(jīng)過(guò)評(píng)估，防止數(shù)據(jù)丟失。為了最大程度地減少終端用戶的數(shù)據(jù)丟失威脅，限制刪除與更新權(quán)限的強(qiáng)大授權(quán)實(shí)踐至關(guān)重要。總之，企業(yè)應(yīng)當(dāng)創(chuàng)建符合預(yù)算、審計(jì)和架構(gòu)需求的備份與留存計(jì)劃，將數(shù)據(jù)放在可用性與冗余度較高的存儲(chǔ)庫(kù)中，減少用戶出錯(cuò)的機(jī)會(huì)。?

綜合全面的數(shù)據(jù)湖倉(cāng)安全至關(guān)重要

云數(shù)據(jù)湖倉(cāng)是一個(gè)超越存儲(chǔ)的復(fù)雜分析環(huán)境，需要專業(yè)的知識(shí)、計(jì)劃和規(guī)定來(lái)進(jìn)行有效保障。作為自身數(shù)據(jù)的最終責(zé)任人，企業(yè)需要考慮如何將云數(shù)據(jù)湖倉(cāng)轉(zhuǎn)換成在公有云上運(yùn)行的“專用數(shù)據(jù)湖倉(cāng)”。

Cloudera的客戶可以通過(guò)??Cloudera Data Platform??（CDP）公有云來(lái)運(yùn)行云數(shù)據(jù)湖倉(cāng)，其具有世界級(jí)的獨(dú)家安全性。Cloudera非常重視商業(yè)資產(chǎn)保護(hù)，深知安全對(duì)客戶聲譽(yù)的重要性，并以此作為為企業(yè)提供最佳安全實(shí)踐的驅(qū)動(dòng)力。