Offcanvas

How To / 보안 / 빅데이터 | 애널리틱스

하둡 내 빅 데이터 보호 방법

2012.11.13 Thor Olavsrud   |  CIO
2. 어떤 데이터가 저장될 지 고려하라. 
하둡을 이용해 규제의 대상이 되는 데이터를 저장하고 분석하려 한다면, 특정 보안 요구사항에 부합할 필요가 있다. 저장하는 데이터가 자신의 규제관할에 속하지 않더라도, 개인식별정보(PII)를 상실할 경우 발생할 수 있는 잠재적 손실과 선의의 도난 또한 자신의 위험에 포함해서 산정해야 한다. 
 
3. 책임을 중앙화하라. 
현재, 자사의 데이터는 아마도 다양한 조직 사일로와 데이터 세트안에 나뉘어 존재하고 있을 것이다. 데이터 보안을 위해 책임을 중앙화하면 일관된 정책 집행과 이런 사일로들을 총괄하는 제어가 가능해진다.
 
4. 정적 동적 데이터 모두 암호화하라. 
파일 계층에서 명료한 데이터 암호화(transparent data encryption)을 추가하라. SSL 암호화는 노드와 애플리케이션 사이에서 이동하면서 빅 데이터를 보호할 수 있다. 
 
보안 연구 및 자문 업체 세큐로시스 CTO이자 애널리스트 애드리안 래인은 "파일 암호화는 보통의 애플리케이션 보안 제어를 회피하는 두 가지 공격 방식에 대응하게 해준다"고 말했다. 
 
암호화는 악성 이용자나 관리자가 데이터노드 접속권을 얻는 경우를 보호하고, 직접적으로 파일을 검사하며, 도난당한 파일이나 디스크 이미지를 읽을 수 없도록 한다. 암호화는 하둡과 애플리케이션들 모두에게 명료하고 클러스터가 성장함에 따라 확장된다. 이는 다수의 데이터 보안 위협에 저렴한 비용으로 대응하는 방법이다.
 
5. 키와 암호화 데이터를 분리하라. 
암호화 키를 암호화된 데이터와 동일한 서버에 보관하는 것은 현관문을 잠근 뒤 열쇠를 열쇠구멍 아래 달아두는 것과 같다. 키 관리 시스템은 암호화 키를 저장하려고 하는 데이터로부터 분리해 안전하게 저장해준다.
 
6. 케베로스(Keberos) 네트워크 인증 프로토콜을 사용하라. 
자신은 하둡 내부에 저장된 데이터에 접속할 수 있는 사람과 프로세스를 관장할 수 있어야 한다. 래인은 "이는 불량 노드와 애플리케이션을 자신의 클러스터에서 떨어트려놓는 효과적인 방법"이라고 말했다. 
 
그리고 이는 웹 콘솔 접속을 도울 수 있어, 운영자 기능을 안정화시켜준다. 케베로스가 셋업과 새로운 노드들과 애플리케이션의 (재)인증에 있어서 상당한 수고가 들어간다. 그러나 양-방향성 신뢰가 구축되어있지 않으면, 하둡을 속여, 악성 애플리케이션들이 클러스터로 들어가거나 데이터를 추가, 변경, 추출할 수 있는 악성 노드들을 수용하기가 너무 용이해진다. 
 
케베로스는 마음대로 이용할 수 있는 가장 효과적인 보안 통제 방법 가운데 하나이며, 하둡 인프라에 내재시킬 수 있으므로 이용하라.
 
7. 안전 자동화를 사용하라. 
현재 멀티-노드 환경과 마주하고 있기 때문에, 배치 일관성을 장담하기가 어렵다. 셰프(Chef), 퍼펫(Puppet)등과 같은 자동화 툴들은 패칭, 애플리케이션 설정, 하둡 스택 업데이트, 신뢰되는 기기 이미지 수집, 인증과 플랫폼 불일치 상황을 적절히 처리할 수 있게 해준다. 
 
래인은 "스크립트를 짜는 것은 준비 시간이 필요하지만 차후의 관리 시간 단축은 물론, 추가적으로 각각의 노드를 기준 보안이 마련된 상태로 만들어 그 노력의 효과를 볼 수 있다"고 말했다.
 
8. 로깅을 자신의 클러스터에 포함하라. 
래인은 "빅 데이터는 로그 데이터를 수집하고 관리하는데 잘 맞는다"고 전했다. 많은 웹 기업들은 특별히 로그 파일을 관리하기 위해 빅 데이터를 시작했다. 기존 클러스터 상에 로깅을 왜 추가하지 않는가? 그렇게 하면 무엇을 실패했을 때나, 누군가 해킹당했다고 생각하는 경우, 돌아볼 곳이 되어준다. 
 
사건 기록(event trace)이 없으면, 장님과도 같다. MR 요구와 다른 클러스터 활동로깅은 수행과 소단위로 스토리지와 프로세싱 수요에 따라 증가가 용이하지만, 데이터는 필요로 할 때 없어서는 안된다. 
 
9. 노드들 사이, 노드와 애플리케이션 사이의 안전 통신을 시행하라. 
이렇게 하기 위해서는, 서브셋뿐만이 아닌 모든 네트워크 통신을 보호하는 SSL/TLS 시행이 필요할 것이다. 클라우데라와 같은 일부 하둡 제공업체들과 많은 클라우드 제공업체들이 이를 이미 시행하고 있다. 셋업에 이런 기능이 없다면, 그 서비스를 애플리케이션 스택에 통합할 필요가 있다. editor@world.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.