BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Resuelva cinco riesgos de seguridad de Hadoop con Active Directory e IM

Al integrar Hadoop con Active Directory, se puede mejorar la seguridad alrededor de cinco riesgos típicos del entorno usando una solución de gestión de identidad (IM).

Aunque implementar Hadoop puede traer muchas ventajas en una estrategia de big data, hay que tener en cuenta que, como con cualquier otra infraestructura que almacena datos valiosos de una organización, es esencial que las empresas estén conscientes de los riesgos potenciales de seguridad que vienen con esta tecnología, y que tomen los pasos adecuados para enfrentarlos. Uno de los primeros pasos para asegurar Hadoop, de acuerdo con Centrify, es implementar una gestión de identidad efectiva.

Hay algunos riesgos de seguridad específicos asociados con Hadoop que pueden abordarse integrando el cluster en Active Directory. En un entorno Hadoop totalmente en Windows, la integración en Active Directory es un proceso relativamente simple, y puede entregar una gestión de acceso efectivo. En entornos Hadoop Linux más comunes, se puede emplear una solución adicional para lograr la integración entre el clúster de Linux –o cualquier cluster que no sea Windows– y Active Directory”, señaló la empresa en un documento.

Pero el acceso es solo la mitad de la ecuación, pues también se requiere gestionar la identidad de forma integral y centralizada, con capacidades de gestión de privilegios y de auditoría en todo el entorno Hadoop. El resultado debe ser una gestión y seguridad significativamente mejores, así como la habilidad de evitar los riesgos típicos de los entornos Hadoop. Estos riesgos son los siguientes:

1. Otro silo más de identidad de aplicaciones

Muchos equipos de big data están construyendo infraestructuras de gestión de identidad complejas y dispares (silos de identidad), lo que resulta en una mayor exposición de seguridad y riesgo, y en un aumento en los gastos de ejecución y operación alrededor de los despliegues de big data y de gestión de identidad.

A los silos de identidad en entornos Hadoop les falta control de acceso empresarial integrado para usuarios y administradores, y les falta visibilidad sobre la actividad de los usuarios y las aplicaciones cliente de Hadoop que envían datos. Eso aumenta el riesgo de fallar en las auditorías  de cumplimiento, y coloca presión adicional sobre los recursos de TI.

Una infraestructura centralizada y multiplataforma de gestión de identidad elimina la necesidad de silos de identidad en los clusters, nodos y servicios Hadoop. Implementando una solución que aproveche Active Directory, TI puede permitir el acceso a clusters de Hadoop usando identidades existentes y pertenencias a grupos, en lugar de crear nuevas identidades para los usuarios en cada clúster Hadoop.

2. Mayor potencial de amenazas internas y externas

Sin un control centralizado sobre quién puede acceder a los clusters Hadoop (incluyendo nodos de datos), cómo y cuándo estos usuarios pueden tener acceso al clúster, y lo que pueden hacer con él, las organizaciones están dejando la puerta trasera abierta para que ocurran ataques internos y externos.

Pero, al integrar el entorno Hadoop en la infraestructura de gestión de identidad existente, la autenticación de usuario se simplifica y el acceso se refuerza. Para el acceso al trabajo y a los datos, se puede requerir tanto la identidad del usuario, como la pertenencia a un grupo, e incluso aquellos con credenciales son limitados a acceder a los resultados de sus propios datos y trabajos de MapReduce. A los usuarios autenticados se les concede la posibilidad de acceder a los nodos de Nombre y a cualquier nodo de Datos a los que se les requiere acceder, pero un usuario no puede ver los resultados del trabajo de los otros.

Asimismo, se puede aprovechar las capacidades de auditoría de una solución de gestión de identidad para vincular toda la actividad de un usuario a un individuo específico, lo que permite identificar fácilmente quién hizo qué en los clusters, nodos y servicios Hadoop.

3. Privilegios de administrador fugitivo

Dar a los administradores más privilegios de los que necesitan para hacer su trabajo es riesgoso en cualquier situación. Pero darles más privilegios de los que requieren en entornos Hadoop puede ser desastroso, dada la gran cantidad de datos de gran valor disponibles y el hecho de que las amenazas internas representan 50% de las brechas actualmente.

Por ello, es esencial que, una vez dentro del clúster, a los administradores se les conceda un conjunto más estrecho de accesos y privilegios de lo que permitiría la cuenta local de raíz (root account). El acceso de administrador debe seguir una política de privilegios mínimos —estrictamente limitados a las acciones específicas y los comandos necesarios para ejecutar sus funciones de trabajo y responsabilidades— no acceso completo al clúster y todos sus datos.

Esta forma granular de otorgar privilegios se puede realizar con una solución de gestión de identidad, una vez integrado Hadoop con Active Directory. También se puede permitir a los auditores ganar mucho más visibilidad de las acciones del personal de TI, desarrolladores y usuarios a través del monitoreo de sesiones, que atribuye todas las acciones privilegiadas a una cuenta individual de Active Directory claramente identificada.

Cuando los usuarios requieren privilegios de acceso adicionales para un solo proyecto, un papel temporal, o para participar en un programa fuera de su ámbito de trabajo normal, se puede elevar los privilegios a usuarios o roles específicos de Hadoop durante un tiempo específico. Con esto, los usuarios y administradores pueden ampliar sus derechos de privilegios explícitos como sea necesario, sin dar nunca la cuenta raíz de usuario.

4. Menores capacidades de mitigación y remediación

Sin visibilidad de lo que está sucediendo en todo el cluster Hadoop, es prácticamente imposible  identificar, mitigar y remediar los problemas de seguridad potenciales. Por ello es imperativo auditar la actividad de los usuarios en el cluster, particularmente en aquellos grupos que contienen datos de negocios confidenciales o información de identificación personal.

Una solución de gestión de identidad con todas sus funciones proporciona el monitoreo de sesión de usuario, que incluye la captura detallada de toda la actividad del usuario. Con ello, la empresa podrá identificar cualquier actividad sospechosa, así como solucionar los fallos del sistema mediante la reproducción de las acciones para el análisis de causa raíz, e informar sobre la actividad histórica de los usuarios.

Una auditoría eficaz puede detectar fraudes, derechos inapropiados, intentos de acceso no autorizados y varias otras anomalías que pueden perderse con el monitoreo de registro de eventos normal. Así, las organizaciones pueden reducir la gravedad de las brechas internas y externas, ayudar a determinar las acciones específicas asociadas con el ataque, descubrir la responsabilidad y prevenir ataques futuros.

5. Cumplimiento regulatorio disminuido

En empresas internacionales, los clusters Hadoop incorrectamente desplegados y administrados pueden aumentar el riesgo de no cumplir con auditorías de SOX, GLBA, PCI DSS, HIPAA, FISMA, NERC y MAS.

Muchas de estas regulaciones incluyen, como componentes clave, estrechos controles de acceso, con la aplicación de una política de acceso de mínimos privilegios y auditoría de sesión de usuario, así que es esencial que las organizaciones permitan auditorías y cumplimiento en toda la empresa que incluyan las soluciones de big data en todos los nodos.

En este caso, aprovechar Active Directory con una solución de gestión de identidad puede ayudar a agilizar el cumplimiento normativo en todo el ecosistema Hadoop con controles de acceso firmemente establecidos, políticas de seguridad de mínimos privilegios gestionadas centralmente y auditorías de actividad del usuario asociada con las cuentas de usuario individual de AD.

Cabe señalar, finalmente, que al aprovechar la infraestructura existente de Active Directory, los conjuntos de habilidades y las inversiones ya realizadas en Hadoop, el departamento de TI puede lograr también un ahorro en costos.

Próximos pasos

Más sobre Hadoop:

Big data y Hadoop en Brasil, ¿qué les depara el 2016?

Explorando distribuciones Hadoop para gestionar big data

Spark vs. Hadoop: ¿es el motor de big data una parte de reemplazo?

Investigue más sobre Big data (Grandes datos)

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close