随着云计算中多个用户访问机密信息以便于执行数据分析工作的情况越来越多,安全性控制也变得日益重要了。NoSQL数据库是大型数据集应用中最受欢迎的数据库选择,但是NoSQL数据存储的早期版本并未重视数据安全性方面的功能。目前,大数据管理员们不仅可以利用NoSQL的优点,而且还仍然保持对某些能够访问云计算中数据子集人员的控制权限。 根据数据库中数据的不同模式,IT管理员们和云计算专家们能够实施各种不同粗细粒度的NoSQL访问控制措施。
在你无意中泄漏个人数据之前,可以考虑采用NoSQL的内置数据访问控制措施。确保NoSQL数据存储的安全性有三种不同的方法,而其中每一种方法都有其各自的优缺点:Accum……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
随着云计算中多个用户访问机密信息以便于执行数据分析工作的情况越来越多,安全性控制也变得日益重要了。NoSQL数据库是大型数据集应用中最受欢迎的数据库选择,但是NoSQL数据存储的早期版本并未重视数据安全性方面的功能。目前,大数据管理员们不仅可以利用NoSQL的优点,而且还仍然保持对某些能够访问云计算中数据子集人员的控制权限。
根据数据库中数据的不同模式,IT管理员们和云计算专家们能够实施各种不同粗细粒度的NoSQL访问控制措施。在你无意中泄漏个人数据之前,可以考虑采用NoSQL的内置数据访问控制措施。
确保NoSQL数据存储的安全性有三种不同的方法,而其中每一种方法都有其各自的优缺点:Accumulo基于单元的访问控制、亚马逊DynamoDB使用AWS的身份访问管理(IAM)策略以及MarkLogic的隔离间控制与执行权限。
Accumulo数据存储
Accumulo是一个基于谷歌Big Table、采用键值的分布式数据存储。这个开源选项是由美国国家安全局开发,并于2011年发布的。Accumulo是一个可在Hadoop环境中运行的Apache项目,它具有Big Table中所没有的功能,其中被包括了基于单元的访问控制。
Accumulo的键包括了一个指定安全性标签的可见属性,例如管理员、财务或管理员等。因为每一个键都与一个值相关,相当于关系型表格中的一行,所以基于键的访问控制也就限制了用户能够查询或操作的行的集合。然后,用户就会被分配指定某种安全性标签的授权,它可被组合在逻辑表达式中以便于创建所需的访问控制。例如,一个财务部的经理就会被分配“经理”和“财务”两个标签。
应用程序和数据库管理员们将确定标签组以及是如何根据企业的安全性政策具体实施它们的。
用户授权就存储在受信任的第三方授权服务器上。当一个应用程序执行操作(例如一次查询或一次更新)时,用户授权就会从第三方被找回并发送回Accumulo。因此,当执行一个操作时,将把用户授权集与数据单元进行比较,那么对于特定用户所能访问的行集合是有限的。
亚马逊DynamoDB
亚马逊的Dynamo数据库(DB)是增长速度最快的亚马逊网络服务(AWS)产品之一。DynamoDB是一个提供自动化的可扩展性和配置IOPS的键-值数据存储服务。对于开发人员和更喜欢使用一个托管服务来管理他们自己的NoSQL数据库的应用程序管理员来说,亚马逊的DynamDB是一个不错的选择。对于已经投入时间和资源建立IAM策略的AWS用户来说,这是特别有吸引力的,因为他们可以精细地控制对保存在亚马逊DynamoDB中数据的访问。
为了在亚马逊DynamoDB中保持细粒度的访问控制,管理员们必须在IAM策略中指定条件。条件可以允许或拒绝对键-值数据存储中特定项和属性的访问。这一模式限制了对特定值或行的访问,例如与特定客户账户相关的数据,这样一来客户就只能查看他们自己的数据了。它还允许应用程序管理员们为访问特定属性而定义规则。例如,一个策略可以指定只有甘愿而非顾客可以查看数据库中的一个类别属性。
MarkLogic
基于文档的NoSQL数据库(例如MarkLogic)可以扩展基于角色的访问控制以便于把角色和文档归入不同的隔离间。隔离间可允许访问控制检查和标准的基于角色的控制。如果一个文档被分配了一个隔离间,那么只有被分配了相同隔离间的用户才能够访问这个文档。
MarkLogic还提供了对对操作执行的访问控制。这个数据库包括了一组可处理数据管理、安全性以及其他管理操作的预定义执行权限。数据库管理员们能够通过创建执行权限来控制执行查询的能力。在查询的定义中包含了一个执行权限,并被分配给角色。只有被分配了拥有必要执行权限的角色的用户才能够执行查询操作。
作者简介:
Dan Sullivan,理学硕士,他是一名拥有超过20年IT经验的作家、系统架构师和顾问。他曾从事高级分析、系统架构、数据库设计、企业安全以及商业智能等工作,他曾在很多行业工作,其中包括金融服务业、制造业、制药业、软件开发业、政府部门、零售业以及教育业。Dan曾就多个主题撰写了大量文章,如数据仓库、与安全管理相关的云计算技术和先进分析、协作以及文本挖掘。
作者
Dan Sullivan是一名作家、系统架构师和顾问,拥有超过20年关于先进的分析、系统架构、数据库设计、企业安全、商业智能的IT从业经验。他的从业范围广泛,包括金融服务业、制造业、医药、软件开发、政府、零售、天然气和石油生产、发电、生命科学和教育。
相关推荐
-
哪一种云存储系统与你的数据相匹配?
一些公共云提供商,如亚马逊、微软和谷歌,会定期添加一些新功能来吸引企业客户,毫无疑问,基于云的存储有很多选择。
-
AWS的DynamoDB有应用的吗?能不能介绍一下具体的场景?
-
你会在AWS上运行图数据库Titan吗?
Facebook和LinkedIn都对社交应用使用了图数据库。但是企业在用AWS进行工作时应该考虑一下像Titan这样的数据库。
-
真正的云数据安全价格不菲
当含有敏感数据的IT系统被攻击的事件不断增加时,云安全变成了大家最关心的课题。不幸的是,最佳安全实践从不打折。