|
大数据应用模式及安全风险分析本文分析了在不同云计算部署模式下,Hadoop不同阶段操作过程中,不可信主体对数据服务和隐私安全构成的威胁,并给出对应的威胁模型实例。最后根据上述安全风险给出对应的安全策略。 2. 2 威胁模型 上面提到的是提供Hadoop服务的C SP和使用Hadoop的Use:之间的安全风险,接下来对使用Ha-doop的用户Use:角色进行细化,分析他们之间对数据隐私的窃取产生的安全问题。在云中搭建Hadoop提供服务的应用场景下,数据使用者收集数据拥有者的数据,并将数据分块存储于HDFS中,数据计算者提供对数据分析的代码,CSP提供数据存储和分析平台。因此涉及4类主体,数据拥有者、数据使用者、数据计算者和云服务提供商CSP。这里的不可信实体包括数据计算者和C SP。笔者通过实际的例子给出Hadoop中获取隐私信息的可能途径。 依据Airavat系统中描述的威胁场景,给出对应的安全威胁模型: 图 2 数据非法获取位置分析 一个在线零售商BigShop ,拥有大量的客户交易数据库。现在假定所有记录是以<客户、订单、日期>的形式存在数据库中,每个客户一份记录。一个机器学习专家Researcher,付给BigShop一些钱用来对特定的交易模式进行数据挖掘。BigShop加载数据到Hadoop框架中,Bob写MapReduce代码分析它。这里按照对角色的划分,BigShop属于数据使用者和CSP,客户为数据拥有者,Researche:为数据计算者。 假设Researche:想要得到特殊日子D的订单数口。他写了一个Mappe:用来读取每份记录,如果记录日期D,就输出键/值对} K是字符串序列,reduce仅仅汇总与之有关的每个关键字K,并输出结果。 这种情况下,对于BigShop的主要风险就是Re-searche:的代码是不可信的,可能是有无意的漏洞或者是主动恶意漏洞。由于Researche:的Mappe:程序直接访问BigShop专有的交易记录,它可以存储部分数据到某个文件中,过后由Researche:取走;或者程序把数据发送到网络上。 这样的泄露可能使得BigShop在商业上处于不利的地位并且由于没有经过客户的同意把交易数据公开而遭受信誉问题。输出的计算结果可能也会泄露信息。例如,Researche:的Mappe:程序可能会在输人的数据库中标记存在的(或者不存在)的一个特定客户,通过操控特定日期的订单数口:如果该客户的记录在这个数据集中,Mappe:程序输出一个一百万的订单数口;否则,输出0。很明显,这个结果泄露了客户的隐私。 上述提到的安全风险来自于数据计算者,这里的CSP是BigShop自身,数据由BigShop进行维护,并在其上进行计算,因此不存在安全问题。但是如果Big-Shop自身没有相应存储和计算设施或并未搭建和使用Hadoop框架,则需要应用外包服务模式,利用其它云服务商提供的Hadoop服务,此时安全风险除了来自数据计算者,还有C SP对数据的窃取,以及云平台由于出现漏洞受到黑客攻击,例如黑客通过Root-kith "}方式强迫口标操作系统安装它的Hypervisor,并把口标操作系统移人一个普通的虚拟机中运行,由于在虚拟化环境中Hypervisor拥有最高特权,因此Ro-otkit可以获得整个物理机的控制权,对数据安全构成威胁。 因此上述威胁可以归纳为: 1)恶意的PaaS级CSP通过给自己设定权限对数据进行窃取,或通过备份中间数据到其他位置进行访问,或不彻底删除放人云中的数据,留作他用。 2)在平台安全机制失效的情况下,黑客通过某些途径获得root权限随意读取数据,或伪造数据使用者身份读取数据或进行篡改。 3)数据计算者通过map过程输出某些敏感信息,并使用MapReduee进行统计。 3、安全策略 在大数据应用模式下,对文件及文件系统的保护称为数据服务安全保护,对存储的键值内容及计算输出结果的保护称为隐私保护。从行为角度考虑服务安全性的同时,同样需要考虑数据隐私安全问题。 对上面提到的安全问题,本文提出以下安全策略: 首先,需要对CSP和Use:的身份及平台进行完整性验证。Kerberos的双向认证可以保证用户和CSP双方身份安全,这是在请求发起时所作的认证。 其次,在保障了身份的可靠性后,还需要验证平台的安全性,平台安全性可以通过可信计算技术,利用TPM搭建可信云计算环境,对平台环境进行度量,建立可信链,将可信链从物理层扩展到虚拟化层,保障云平台的安全性。 最后,需要在数据使用过程中对行为请求进行监控,建立监控机制可以保障CSP对数据的非法请求,同时可以监控数据计算者对数据的非法运算和输出。可以通过使用LSM ( Linux Security Module)设立相应的访问控制策略,利用hook函数对内核调用进行控制[n},允许合法行为对数据的访问,拒绝非法的不可信行为,保障数据流向合法请求主体。 4、结束语 本文首先提出大数据的应用模式是在云计算环境下使用Hadoop计算框架对大数据进行存储和分析。给出在不同云计算部署模式下,Hadoop不同阶段操作过程中,不可信主体对数据服务和隐私安全构成的威胁,并给出了对应的威胁模型实例,得出在平台环境可信的情况下,风险主要来自于CSP及数据计算者。CSP可以在不被用户知晓的情况下更改文件权限获取数据内容,数据计算者可以通过计算程序输出隐私字段等方式获取相关数据,因此需要保障数据服务及隐私安全。最后对相关安全问题给出了对应解决策略。 责编:李玉琴 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|