大資料需要大的安全管理改革

在hadoop/spark方面，我們隻有基于角色的、有限的通路控制清單(acl)。但我相信有一條可以更進一步的道路：在更廣泛的安全市場采用已經出現的基于政策的方法。為了探索這一方法要如何才能奏效，我們需要重新審視通路控制的曆史，以及其如何演變，進而産生了基于政策的模型。

回顧通路控制的曆史

盡管在最開始的時候，會有使用者名和密碼的身份驗證，以防止任何人的随便進入通路，理查德·斯托曼說。

但這樣的通路身份驗證登入系統存在一個固有的問題。即我們的使用者/密碼組合的數量會随着新的應用程式的不斷增加而趨于出現爆炸似增長，是以我們最終必須以不同的使用者名/密碼來登入到每一款不同的應用程式。更糟糕的是，一些應用程式甚至要求了不同的密碼，以達到不同級别的安全性。

我們開始變得更加聰明，通過使用者名來區分我們的“角色”。例如，我們有一套“使用者名/密碼”，但為了通路某些管理功能，則需要該使用者名/密碼具有“管理者”的作用。然而，鑒于每一款應用程式都傾向于有自己的部署方式，是以您仍然需要記住越來越多的各種密碼清單。

我們甚至變得更聰明，創造了中央系統，最終成為ldap、活動目錄等等。這些統一的使用者名/密碼被存儲在一個核心庫，并建立一個位置，能夠針對給定使用者的角色來查找相應的使用者名/密碼——但這隻是以一個問題代替了另一個問題。

在一個理想的世界中，每一款新的應用程式都會在活動目錄中

檢視角色清單，并将其映射到應用程式角色中，是以便會有一個幹淨、一對一的關系。但在現實中，大多數應用程式對于角色的了解都是不同的，這非常簡單，因為您可能是某一款應用程式的管理者，但這并不意味着您應該是另一款應用程式的管理者。最終的結果是，您會有各種爆炸增長的角色，來取代爆炸似增長的使用者名/密碼組合。

這就引出了一個問題：最終要由誰來負責添加新的角色?其往往是承擔了行政職能或人力資源管理職能的it管理人員。而由于從事這些諸如負責添加新的角色等瑣碎的工作任務的人員，對于相關的應用程式并沒有很好的了解，使得這樣的工作往往最終成為了一個“經理審查準許”或“橡皮圖章”了，而并非如他們所說那樣好。

許多仍然存在角色問題的應用程式采用ad進行身份驗證，并讓應用程式處理自己的本地角色的實作問題。關于這種方法有很多值得探讨的地方，因為這很顯然，應用程式的管理者知道誰應該有什麼權限級别的通路。

同時，有明确的規則不适合于使用者/角色系統。在其最簡單的方面，例如，不能因為我是某家銀行的客戶，就意味着我可以從任何帳戶取錢，即使我有“可以從該銀行取錢”的角色。角色通常需要與資料相關聯，這就是為什麼我們要用acl映射到我們的資料存儲條目的原因所在了。也就是說，帳戶1234需要進行一個關聯，确定了我作為該1234帳戶的所有者，同時我的配偶作為一個授權的帳戶管理者。

然而，一些企業有比“這是您的嗎?”或者“您在這方面有什麼權限?”更複雜的規則。相反，他們會使用您可能稱之為“基于環境”或“基于政策的”安全規則。換句話說，當我在美國本土的時候，我可能有取錢的權限。這在一個acl或基于角色的模型是沒辦法表達的。相反，我們已經有了跨基于政策的安全性。

當您隻能在特定的時間執行一些工作

基于政策的安全性通常存在于一個中央存儲庫，并且依賴于中央認證機制(ldap、kerberos等等)。所不同的是，并非保持一個簡單的角色(如可以取錢)，每個使用者都與一組政策相關聯。該政策是基于與使用者相關的一組屬性所制定的，其也被稱為基于屬性的通路控制(abac)。這些政策不能集中強制執行，因為他們是完全依賴于應用程式的。

目前已經有相應的标準對其進行支援了，部分原因是由于國防業及其他相關行業的選擇所推動的。其中的一個标準便是可擴充通路控制标記語言(xacml)，其允許您表達一組管理政策。執行通常是基于應用程式的，使用某種算法或規則系統。xacml是一種相當全面的标準化的語言，用于表達甚至處理諸如政策沖突或兩種算法執行一種政策的沖突等異常。

通常這些abac驅動的政策，在rbac的情況下，都是基于資料的，而不是單獨基于應用程式功能的(您隻能當您在美國為特定企業工作，并且是一名工作良好、遵紀守法的信譽公民時才可以通路f-22示意圖)。應用該政策的第一個步驟之一就是身份識别，并“标記”政策規則應适用的資料。

為什麼要關心先進的安全攻擊問題

顯然，利用abac模式的政策和xacml較之rbac無疑是向前邁進了一大步。哪怕僅僅隻是為了避免1億美元的高額罰款，您也應該有這樣做的動機。我所指的這裡的1億美元罰款，那裡的1億美元罰款，過不了多久加起來就會讓您損失慘重。

此外，一些企業組織有複雜的規則和資料的所有權。由于這些公司越來越多地轉移到成為資料驅動的企業，但又不能分析一切的資料，無需集中，他們所需要的是超越了今天一般性的rbac模型的系統。此外，為了使其方案是可行的，他們将需要标記和庫，讓他們能夠适用相關的政策，表達諸如xacml以及集中管理政策的工具，同時将其應用到局部有意義的地方。

當我們來看看今天的大資料産品，如ranger和sentry時，沒有哪一款産品能夠很好的解決上述問題。即使是基于關系資料庫的系統解決方案也往往是專有的、昂貴的，往往是不完整的。制定了高安全性與複雜的安全規則的企業組織必須強制自己實施這一規則。但是，諸如大資料系統如hadoop這樣的資料标注工具仍處于起步階段。

換句話說，對于供應商們而言，有一個巨大的市場機會。顯然，國防工業的企業或将成為他們的第一個客戶，因為他們已經有做這方面的必要性了。随着越來越多的企業為大資料分析創造中央資料倉庫，基于政策的安全需求将會進一步增長。

本文轉自d1net（轉載）