nosql数据库做数据备份_保护NoSQL数据库：发挥作用

nosql数据库做数据备份

在最近的头条新闻中，世界上一些最大的公司和政府机构盗窃了数百万张信用卡记录和敏感的员工数据的报道，组织加倍努力降低安全性也就不足为奇了。 安全终于开始引起高层管理者的注意。 Ponemon Institute的2015年安全报告发现，有55％的高级管理人员将安全性视为重大问题，而前一年仅为13％。 毫无疑问，2014年发生的大量违反行为是这一变化的原因。

Ponemon 还报告说 ，过失的员工是端点风险的最大来源。 组织可以拥有世界上最好的安全技术，但是如果没有适当的策略和最佳实践来实施，那么它就是一无是处。

随着攻击范围和复杂程度的提高，计算机安全性也变得越来越复杂。 安全专家一致认为，结合了外围防护，访问控制和加密的多层方法最为有效。

随着NoSQL数据库的使用随着大数据的普及而增长，一个共同的主题是NoSQL技术的安全性不如更成熟的关系体系结构。 但这并不是普遍适用于所有NoSQL数据库。 而且大多数都带有一套强大的安全机制。 诀窍是理解和应用它们。

为了方便起见，开发人员很容易陷入将安全程序搁置一旁的陷阱，或者认为现有的边界防护已经足够。 但是，没有栅栏是不可穿透的。 《 Verizon 2015 数据泄露调查报告》发现，攻击者可能会在受到入侵的系统中潜伏数月甚至数年，从而在逃避检测的同时稳定收集信息。

这并不意味着您需要保护所有内容。 例如，使用公共数据的应用程序所需要的保护与提供敏感员工信息或财务信息的保护不同。 但是，请提前考虑将来如何使用该应用程序。 从一开始就将安全性纳入软件中，然后再将其置于顶层是更有效的。 您仍然需要有适当的流程和规则，以防止将房门钥匙放在欢迎垫下。 但是至少您软件中的安全控制可以使您开始保护数据。 这是NoSQL数据库的所有用户都可以采用的一些基本措施。

身份验证是信息安全的基础。 它验证用户的身份，并将其与指定访问权限的配置文件匹配。 这是所有其他安全措施的必需起点。

身份验证协议很多。 Kerberos是最著名的，几乎每个NoSQL实现都支持Kerberos 。 身份验证通常可以与LDAP和Active Directory之类的用户注册表集成在一起，以简化管理。

底层身份验证是访问控制。 诸如Apache HBase，Apache Accumulo和MapR-DB之类的高度安全的NoSQL数据库使您能够限制对记录的特定部分的访问。 例如，您可以使诸如邮政编码信息之类的数据公开，但将街道地址的可见性限制在较小的用户组中，并将社会安全号码的访问权限限制为少数。

如果您的数据库不允许这种级别的控制，则您将必须实现一种变通方法，例如在多个记录之间分配客户数据，这本身就带来了复杂性和安全性问题。 因此，在选择NoSQL数据库时，颗粒级控件是要考虑的重要因素。

您还可以通过使用查询工具来限制访问。 一个示例是Apache Drill ，这是一个查询引擎，它使可以在NoSQL数据库上执行类似关系SQL操作。 Drill支持视图，使您可以将记录中值的输出限制为特定的用户，角色或组。 如果您正在考虑像现在许多公司一样在分析环境中使用NoSQL，则Drill是一个不错的开源选择。 目前，它可以与少数NoSQL数据库一起使用，并且列表肯定会增加。

审核不会阻止坏人攻击，但可以帮助您快速发现并遏制可疑活动。 审计工具通过揭示有用的信息（例如，最常使用哪些数据集以及哪些操作正在造成瓶颈），提供了不仅仅是安全性的好处。 这对于性能调整很有用。

为了安全起见，审核日志可以识别活动中的异常峰值，来自未知IP地址的访问或反复尝试访问安全信息的尝试。 这些可能表明攻击正在进行中。 通过实时读取访问日志，您可以快速识别并遏制这些异常情况。 越来越多的基于分析的安全工具正在改善这种类型的分析的功能和复杂性。

某些NoSQL数据库内置了自动审核功能，为您提供了审核的所有好处，而不必担心通过应用程序级代码添加该功能。 如果您的数据库不具有本机审核功能，则您将不得不自己滚动它，而您可能不想这样做。

有些人错误地认为加密是访问控制的一种形式，但这不是其主要目的。 加密对数据进行加密，以使任何试图直接从存储设备访问数据的人都无法读取数据。 这包括保护数据，即使驱动器物理上被盗。 您可以使用多种形式的加密，具体取决于数据的敏感性和所需的访问速度，但是要了解的关键是，当数据位于存储介质上时，加密都是可用的（“静态数据” ”）以及遍历计算机总线或网络的时间（“动态数据”）。

部署静态数据加密的一种好方法是对基于Linux的部署使用自加密驱动器或Linux统一密钥设置（LUKS）。 还有许多其他基于硬件和软件的选项可用。 所有这些都在安全性和性能之间进行权衡，尤其是在密钥管理方面，因此请在选择时了解当前的需求和增长计划。

另一种静态数据加密在保留真实信息的同时保留了合法数据的外观。 例如，客户记录中的社会安全号码仍然有9位数字，但它们是错误的数字。 这些技术包括屏蔽，令牌化和格式保留加密。

你为什么想做这个？ 在某些情况下，信息加密后需要保留格式或字段长度。 分析应用程序中还具有可以识别模式而无需精确的基础数据的价值。 还有比你更可能是有史以来想知道关于这个话题在这里 。

发明了加密技术来保护动态数据（曾经见过《模仿游戏 》），但这仍然是最常用的方法。 每当敏感数据跨数据中心，群集中的服务器之间以及应用程序和服务器之间的网络上遍历网络时，自动启用此功能很重要。

安全性很困难，并且随着当今大数据部署的激增，安全性似乎会越来越难。 但是，据Ponemon估计 ，一次数据泄露的平均成本接近380万美元，这并不是一个“不错的选择”。 好消息是，只要您用正确的业务流程来补充这些控件，NoSQL数据库中的现有控件就可以为绝大多数用例提供足够的安全性。

翻译自: https://www.javacodegeeks.com/2016/08/securing-nosql-databases-use-force.html

nosql数据库做数据备份