NoSQL等于没有安全?大数据安全隐患分析

本文涉及的产品
云原生数据库 PolarDB PostgreSQL 版,标准版 2核4GB 50GB
云原生大数据计算服务MaxCompute,500CU*H 100GB 3个月
云原生大数据计算服务 MaxCompute,5000CU*H 100GB 3个月
简介:
本文讲的是 NoSQL等于没有安全?大数据安全隐患分析, IT世界正在迅速拥抱“大数据”。庞大的数据存储将是大数据分析的下一个讨论话题,因为大数据正变得越来越大,例如,初创公司正在使用这些系统来对数以万亿计的DNA检测条进行分析以研究人类演化史。虽然大数据(及其底层技术NoSQL)正成为信息系统界的流行语,但目前关于大数据的安全隐患并没有太多讨论。

  大数据概述

  NoSQL指的是非关系型数据库,是包含大量不同类型结构化数据和非结构化数据的数据存储。由于数据多样性,这些数据存储并不是通过标准SQL语音进行访问的。此前,我们经常会将数据存储分为两种:关系型数据库(RDBMS)和文件服务器。而NoSQL打开了我们的眼界,与传统关系型概念不同,NoSQL并不遵循结构化形式。这种NoSQL数据存储方法的主要优点是数据的可扩展性和可用性,以及数据存储的灵活性。每个数据存储都镜像存储在不同地点以确保数据持续可用性和没有数据丢失,这样的存储系统通常用于趋势分析,但这些系统并不适用于需要实时更新的金融交易,金融机构可以使用这个系统来分析最有效或业务最繁忙的分支机构。

  NoSQL等于没有安全?

  很多人可能会说,不同NoSQL系统的开发人员会有针对性地将安全因素从其系统中剔除。例如,Cassandra只有基本的内置身份认证程序,他们的想法是数据库管理员不需要担心安全问题,安全问题应该交由专门的团队来处理。在我们看来,NoSQL带来以下安全挑战:

   模式成熟度. 目前的标准SQL技术包括严格的访问控制和隐私管理工具,而在NoSQL模式中,并没有这样的要求。事实上,NoSQL无法沿用SQL的模式,它应该要有自己的新模式。例如,与传统SQL数据存储相比,在NoSQL数据存储中,列和行级的安全性更为重要。此外,NoSQL允许不断对数据记录添加属性,所以前瞻安全性变得非常重要,企业需要为这些未来属性定义安全。

   软件成熟度. 多年来,在饱受各种安全问题的困扰后,数据库和文件服务器系统已经变得比较成熟。虽然NoSQL可以从这些系统中取得一些经验教训,并且NoSQL数据存储的复杂性有所减少,但我们相信至少在五年内NoSQL仍然会存在各种漏洞,毕竟它使用的是新代码。

   员工成熟度. 即使是最有经验的数据库管理员也是NoSQL的新手。这意味着这些人员首先要着眼于如何让它运作(这已经够难了),也许以后有时间才会考虑安全问题。当到那个时候,他们肯定会犯很多整合错误。

   客户端软件. 由于NoSQL服务器软件没有内置足够的安全,因此,必须对访问这些软件的应用程序内建安全因素,这反过来又会导致大量的安全问题:

   增加身份验证和授权过程到应用程序。这需要更多的安全考虑,而这只会让应用程序更复杂。例如,应用程序将需要定义用户和角色。基于这种类型的数据,应用程序可以决定是否向用户授权对系统的访问权限。

   输入验证。再一次,我们看到困扰着关系型数据库应用程序的问题又来继续困扰NoSQL数据库。例如,在去年的黑帽会议上,研究人员展示了黑客如何利用“NoSQL注入”来访问受限制的信息。虽然2012年黑帽大会的时间还没有确定,我们非常期待今年看到更多关于NoSQL的展示。

   应用程序意识。在每个应用程序需要管理安全的情况下,应用程序必须意识到所有其他应用程序。这能够禁止对所有非应用程序数据的访问。

   当新数据类型被添加到数据存储时,数据存储管理员必须弄清楚哪些应用程序不能访问特定的数据。

   容易产生漏洞的代码。市面上有很多NoSQL产品,但又更多应用程序和应用程序服务器产品。应用程序越多,容易产生漏洞的代码就越多。

   数据冗余性和分散性. 关系型数据库安全基础知识谈论的是数据正常化---在单个位置存储一块数据。但大数据系统完全改变了这种模式。这些系统的固有模式是复制数据到很多表以优化查询处理。数据分散在不同地理位置的不同服务器的不同的数据仓库中,企业将很难定位这些数据和保护所有机密信息。

   隐私问题. 隐私问题并不是因为安全问题而受到推动,而是因为大数据的这种使用情况:即对来自不同系统的不同应用程序的不同活动的数据进行关联。就拿谷歌举例来说,他们在几个月前对其隐私条款进行了修改,新条款允许谷歌融合来自所有服务中的信息。作为个人而言,这严重影响了我们逃避企业跟踪的能力,即使我们使用多个身份。不过,这些企业现在面临着风险。一方面,他们试图将这些数据保存在其企业范围内,主要因为所有权和监管的需要。然而,最近,科学家开始对这种做法表示担心,要求企业透露这些数据集以验证其研究结果。

  总结

  NoSQL仍然处于起步阶段,在未来一年左右,我们可能都无法看到任何NoSQL安全解决方案。对于想自己开发NoSQL解决方案企业而言,他们首先应该仔细选择其开发团队,该团队应该包括具有安全观念的业界资深人士。另外,还应该进行代码审查以确保软件的安全性。

  最后,应该通过密集的输入验证和网络隔离以尽可能地减少平台暴露给用户。还好我们现在才进入大数据时代,现在存储的成本下降了,技术也允许我们能够方便地访问和分析数据。


作者: 邹铮/译
来源:it168网站
原文标题:NoSQL等于没有安全?大数据安全隐患分析
相关实践学习
基于MaxCompute的热门话题分析
本实验围绕社交用户发布的文章做了详尽的分析,通过分析能得到用户群体年龄分布,性别分布,地理位置分布,以及热门话题的热度。
SaaS 模式云数据仓库必修课
本课程由阿里云开发者社区和阿里云大数据团队共同出品,是SaaS模式云原生数据仓库领导者MaxCompute核心课程。本课程由阿里云资深产品和技术专家们从概念到方法,从场景到实践,体系化的将阿里巴巴飞天大数据平台10多年的经过验证的方法与实践深入浅出的讲给开发者们。帮助大数据开发者快速了解并掌握SaaS模式的云原生的数据仓库,助力开发者学习了解先进的技术栈,并能在实际业务中敏捷的进行大数据分析,赋能企业业务。 通过本课程可以了解SaaS模式云原生数据仓库领导者MaxCompute核心功能及典型适用场景,可应用MaxCompute实现数仓搭建,快速进行大数据分析。适合大数据工程师、大数据分析师 大量数据需要处理、存储和管理,需要搭建数据仓库?学它! 没有足够人员和经验来运维大数据平台,不想自建IDC买机器,需要免运维的大数据平台?会SQL就等于会大数据?学它! 想知道大数据用得对不对,想用更少的钱得到持续演进的数仓能力?获得极致弹性的计算资源和更好的性能,以及持续保护数据安全的生产环境?学它! 想要获得灵活的分析能力,快速洞察数据规律特征?想要兼得数据湖的灵活性与数据仓库的成长性?学它! 出品人:阿里云大数据产品及研发团队专家 产品 MaxCompute 官网 https://www.aliyun.com/product/odps 
相关文章
|
4天前
|
存储 大数据 测试技术
用于大数据分析的数据存储格式:Parquet、Avro 和 ORC 的性能和成本影响
在大数据环境中,数据存储格式直接影响查询性能和成本。本文探讨了 Parquet、Avro 和 ORC 三种格式在 Google Cloud Platform (GCP) 上的表现。Parquet 和 ORC 作为列式存储格式,在压缩和读取效率方面表现优异,尤其适合分析工作负载;Avro 则适用于需要快速写入和架构演化的场景。通过对不同查询类型(如 SELECT、过滤、聚合和联接)的基准测试,本文提供了在各种使用案例中选择最优存储格式的建议。研究结果显示,Parquet 和 ORC 在读取密集型任务中更高效,而 Avro 更适合写入密集型任务。正确选择存储格式有助于显著降低成本并提升查询性能。
28 1
用于大数据分析的数据存储格式:Parquet、Avro 和 ORC 的性能和成本影响
|
18天前
|
分布式计算 Hadoop 大数据
Jupyter 在大数据分析中的角色
【8月更文第29天】Jupyter Notebook 提供了一个交互式的开发环境,它不仅适用于 Python 编程语言,还能够支持其他语言,包括 Scala 和 R 等。这种多语言的支持使得 Jupyter 成为大数据分析领域中非常有价值的工具,特别是在与 Apache Spark 和 Hadoop 等大数据框架集成方面。本文将探讨 Jupyter 如何支持这些大数据框架进行高效的数据处理和分析,并提供具体的代码示例。
29 0
|
1天前
|
存储 分布式计算 Hadoop
大数据分析的工具
大数据是一个含义广泛的术语,是指数据集,如此庞大而复杂的,他们需要专门设计的硬件和软件工具进行处理。该数据集通常是万亿或EB的大小。这些数据集收集自各种各样的来源:传感器,气候信息,公开的信息,如杂志,报纸,文章。大数据产生的其他例子包括购买交易记录,网络日志,病历,军事监控,视频和图像档案,及大型电子商务。
16 8
|
11天前
|
存储 大数据 数据挖掘
【数据新纪元】Apache Doris:重塑实时分析性能,解锁大数据处理新速度,引爆数据价值潜能!
【9月更文挑战第5天】Apache Doris以其卓越的性能、灵活的架构和高效的数据处理能力,正在重塑实时分析的性能极限,解锁大数据处理的新速度,引爆数据价值的无限潜能。在未来的发展中,我们有理由相信Apache Doris将继续引领数据处理的潮流,为企业提供更快速、更准确、更智能的数据洞察和决策支持。让我们携手并进,共同探索数据新纪元的无限可能!
54 11
|
19天前
|
分布式计算 数据可视化 大数据
Vaex :突破pandas,快速分析100GB大数据集
Vaex :突破pandas,快速分析100GB大数据集
|
18天前
|
大数据 机器人 数据挖掘
这个云ETL工具配合Python轻松实现大数据集分析,附案例
这个云ETL工具配合Python轻松实现大数据集分析,附案例
|
18天前
|
数据采集 人工智能 安全
AI大数据处理与分析实战--体育问卷分析
本文是关于使用AI进行大数据处理与分析的实战案例,详细记录了对深圳市义务教育阶段学校“每天一节体育课”网络问卷的分析过程,包括数据概览、交互Prompt、代码处理、年级和学校维度的深入分析,以及通过AI工具辅助得出的分析结果和结论。
|
20天前
|
消息中间件 前端开发 安全
第三方数据平台技术选型分析
这篇文章分析了第三方数据平台的技术选型,涵盖了移动统计平台、自助分析平台和BI平台的不同代表厂商,讨论了它们的数据源、使用要求和适用场景。
32 2
|
21天前
|
存储 JSON 关系型数据库
MySQL与JSON的邂逅:开启大数据分析新纪元
MySQL与JSON的邂逅:开启大数据分析新纪元
|
16天前
|
存储 分布式计算 数据处理
MaxCompute 的成本效益分析与优化策略
【8月更文第31天】随着云计算技术的发展,越来越多的企业选择将数据处理和分析任务迁移到云端。阿里云的 MaxCompute 是一款专为海量数据设计的大规模数据仓库平台,它不仅提供了强大的数据处理能力,还简化了数据管理的工作流程。然而,在享受这些便利的同时,企业也需要考虑如何有效地控制成本,确保资源得到最优利用。本文将探讨如何评估 MaxCompute 的使用成本,并提出一些优化策略以降低费用,提高资源利用率。
15 0

热门文章

最新文章