保障Hadoop數(shù)據(jù)安全的十大措施

以下是Dataguise給出的Hadoop項目實施的最佳安全實踐，尤其對項目初期的規(guī)劃階段有重要參考價值：

1.數(shù)據(jù)隱私措施越早越好。在規(guī)劃階段就明確數(shù)據(jù)隱私保護(hù)策略，最好在將數(shù)據(jù)導(dǎo)入Hadoop之前完成，這可以防患未然。

2.明確你所在企業(yè)中哪些數(shù)據(jù)元素屬于敏感數(shù)據(jù)。充分考慮企業(yè)的隱私政策，相關(guān)行業(yè)規(guī)定和政府法規(guī)。

3.審視分析環(huán)境和裝配Hadoop系統(tǒng)的過程中是否藏有/夾帶敏感數(shù)據(jù)。

4.收集足夠信息來明確風(fēng)險。

5.明確業(yè)務(wù)分析是否需要訪問真實數(shù)據(jù)，或“脫敏”數(shù)據(jù)能否使用。然后選擇合適的敏感信息遮擋和加密等矯正技術(shù) (masking or encryption)。遮擋(masking)技術(shù)提供最好的安全性能，而加密則更具靈活性，視將來的需要而定。

6.確保數(shù)據(jù)保護(hù)方案能夠同時支持遮擋和加密2種數(shù)據(jù)矯正技術(shù)，尤其是當(dāng)需要將經(jīng)過遮擋處理和未經(jīng)遮擋的兩個版本的數(shù)據(jù)分別存放于不同的Hadoop目錄下的時候。

7.確保數(shù)據(jù)保護(hù)技術(shù)對所有數(shù)據(jù)文件提供一致的masking方式，這樣可以保證在各個數(shù)據(jù)匯聚維度上的分析的準(zhǔn)確性。

8.確定特定數(shù)據(jù)集是否需要定制的保護(hù)方案，出于數(shù)據(jù)單元安全管理的需要，可以考慮將Hadoop目錄劃分成更小的群組。

9.確保你選擇的加密方案與企業(yè)的訪問控制技術(shù)能夠互操作，這樣特定級別和身份的用戶只能訪問Hadoop集群中特定的數(shù)據(jù)范圍。

10.當(dāng)需要使用加密技術(shù)的時候，確保部署合適的技術(shù)(Java、Pig等)實現(xiàn)無縫加密，同時確保對數(shù)據(jù)的無障礙訪問。