BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: ¿Hacia dónde van la analítica y big data en las empresas?
Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Asegure big data en la nube con controles de acceso en las BD

Asegure sus datos privados utilizando Amazon DynamoDB y otras bases de datos populares para el análisis de big data en la nube.

Conforme la información confidencial se ponga a disposición de varios usuarios para el análisis de datos en la nube, los controles de seguridad se vuelven vitales. Las bases de datos NoSQL son opciones populares para trabajar con grandes conjuntos de datos, pero las primeras versiones de los almacenes de datos NoSQL eran ligeros en cuanto a las características de seguridad de datos. Ahora, los administradores de big data pueden aprovechar los beneficios de NoSQL y aún  mantener cierto control sobre quién puede acceder a los subconjuntos de datos en la nube.

Los administradores de TI y los especialistas en la nube pueden implementar una variedad de controles de acceso NoSQL de grano fino que varían según el modelo de datos de la base de datos. Antes de que involuntariamente divulgue datos potencialmente personales, considere los controles de acceso a datos integrados de NoSQL.

Hay tres formas diferentes para asegurar los almacenes de datos NoSQL, cada una con sus propias ventajas y desventajas: controles de acceso basados en células de Accumulo, el uso de Amazon DynamoDB de las políticas de gestión de acceso por identidad (IAM) de AWS y los controles de compartimientos y privilegios de ejecución de MarkLogic.

Almacén de datos Accumulo

Accumulo es un almacén de datos distribuido, con valor clave, basado en Big Table de Google. Esta opción de código abierto fue creado por la NSA y lanzado en 2011. Accumulo es un proyecto de Apache y se ejecuta en el entorno de Hadoop, con características adicionales que no se encuentran en Big Table, incluyendo controles de acceso basados en células.

Las claves de Accumulo incluyen un atributo de visibilidad que especifica las etiquetas de seguridad, tales como administración, finanzas o gerente. Debido a que cada clave está asociada con un único valor, el equivalente a una fila en una tabla relacional, los controles de acceso basados en claves limitan el conjunto de filas que un usuario puede consultar o manipular. A los usuarios se les asignan autorizaciones que especifican ciertas etiquetas de seguridad, que se pueden combinar en expresiones lógicas para crear controles de acceso según sea necesario. Por ejemplo, a un gerente en el departamento de finanzas se le asignaría las etiquetas tanto de "manager" como de "Finanzas".

Los administradores de aplicaciones y bases de datos determinan el conjunto de etiquetas y cómo se aplican sobre la base de las políticas de seguridad de la organización.

Las autorizaciones de usuario se almacenan en servidores de autenticación de terceros de confianza. Cuando una aplicación ejecuta una operación –como una consulta o una actualización– las autorizaciones de los usuarios se recuperan desde la tercera parte y pasan a Accumulo. Por lo tanto, cuando se ejecuta una operación, el conjunto de autorizaciones de usuario se compara con las celdas de datos, y el conjunto de filas accesibles está limitado para ese usuario particular.

Amazon DynamoDB

La base de datos de Amazon Dynamo (DB) es una de las ofertas crecientes de Amazon Web Services (AWS). DynamoDB es un servicio de almacenamiento de datos con valor clave que proporciona escalabilidad automatizada e IOPS aprovisionadas. Amazon DynamoDB es una buena opción para los desarrolladores y administradores de aplicaciones que prefieren un servicio alojado para administrar su propia base de datos NoSQL. Puede ser especialmente atractivo para los usuarios de AWS que han invertido tiempo y recursos estableciendo políticas de IAM, ya que estas pueden ser utilizadas para controlar finamente el acceso a los datos almacenados en Amazon DynamoDB.

Para mantener el control de acceso de grano fino en Amazon DynamoDB, los administradores deben especificar las condiciones en una política de IAM. Las condiciones permiten o deniegan el acceso a los elementos y atributos particulares en el almacén de datos de valor clave. Este esquema limita el acceso a los valores o filas particulares, tales como los datos asociados a una cuenta de cliente en particular, para que los clientes solo pueden ver sus datos. También permite a los administradores de aplicaciones definir reglas de acceso a los atributos particulares. Por ejemplo, una política puede especificar que solo los empleados, y no los clientes, pueden ver un atributo de categoría en la base de datos.

MarkLogic

Las bases de datos NoSQL basadas en documentos, como MarkLogic, pueden extender los controles de acceso basados en roles a roles y documentos del grupo en compartimentos. Los compartimentos permiten verificaciones de control de acceso y controles estándares basados en funciones. Si un documento tiene un compartimiento asignado, solo los usuarios con ese compartimiento asignado a ellos pueden acceder al documento.

MarkLogic también proporciona control de acceso sobre la ejecución de las operaciones. La base de datos incluye un conjunto de privilegios de ejecución predefinido que se ocupa de las operaciones de gestión de datos, seguridad y otras administrativas. Los administradores de bases de datos pueden controlar la capacidad de ejecutar consultas mediante la creación de privilegios de ejecución. Un privilegio de ejecución se incluye en la definición de una consulta y también se asigna a roles. Solo los usuarios con los roles que tienen el privilegio necesario para ejecutar podrán ejecutar las consultas.

Sobre el autor: Dan Sullivan cuenta con una Maestría en Ciencias y es autor, arquitecto de sistemas y consultor con más de 20 años de experiencia en TI. Él ha tenido compromisos de analítica avanzada, arquitectura de sistemas, diseño de base de datos, seguridad empresarial e inteligencia empresarial, y ha trabajado en una amplia gama de industrias, incluyendo servicios financieros, manufactura, productos farmacéuticos, desarrollo de software, gobierno, retail y educación. Dan ha escrito extensamente sobre temas que van desde el almacenamiento de datos, computación en nube y análisis avanzado para la gestión de la seguridad, la colaboración y la minería de texto.

Investigue más sobre Big data (Grandes datos)

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close