截至2012年12月，全球互聯(lián)網(wǎng)用戶達(dá)到24億；2012年，智能手機(jī)出貨量達(dá)到4.27億部。在IT迅速變革的今天，看看一分鐘之內(nèi)會(huì)有多少事發(fā)生吧：27.8萬條Twitter信息發(fā)出，2.04億封電子郵件被發(fā)出，15000條歌曲從iTunes上被下載，571個(gè)新網(wǎng)站被創(chuàng)建。今天，我們已經(jīng)進(jìn)入數(shù)據(jù)爆炸式增長期，而80%能訪問到的數(shù)據(jù)都是過去2年生成。

據(jù)預(yù)測，2020年，電子數(shù)據(jù)存儲(chǔ)量將在2009年的基礎(chǔ)上增加44倍，達(dá)到35萬億GB。進(jìn)入大數(shù)據(jù)時(shí)代，我們就不能不提Hadoop。很多組織意識(shí)到，利用Hadoop構(gòu)建大數(shù)據(jù)項(xiàng)目，會(huì)讓自身獲得新的發(fā)展制高點(diǎn)。不過，Hadoop的安全隱患卻被很多人忽略。

被忽略的Hadoop安全隱患

Hadoop是一種用于大數(shù)據(jù)的應(yīng)用程序，建立在MapReduce（用于超級(jí)計(jì)算的普通方法）基礎(chǔ)上，能讓用戶訪問部署在一系列計(jì)算機(jī)集群上的數(shù)據(jù)，并做簡單編程，對(duì)所使用的數(shù)據(jù)進(jìn)行簡單分析，由此對(duì)大數(shù)據(jù)進(jìn)行管控。

不過今天，除了少數(shù)互聯(lián)網(wǎng)公司把Hadoop用得較好之外，中國很多Hadoop用戶，還只是用Hadoop來做日志事件處理。人們對(duì)于Hadoop的關(guān)注點(diǎn)仍然停留在比較基礎(chǔ)的階段，如：算法怎么寫，分布式系統(tǒng)軟件如何部署，數(shù)據(jù)應(yīng)該怎么規(guī)劃等。Hadoop自身的安全問題尚未受到普遍重視。而一旦Hadoop被用于對(duì)商業(yè)決策有重要影響的事情時(shí)，計(jì)算結(jié)果的準(zhǔn)確與否就變得至關(guān)重要，如果出錯(cuò)，用戶可能就會(huì)犯下發(fā)展方向上的錯(cuò)誤。在此階段，Hadoop自身安全問題尤其不容忽視。

Hadoop出現(xiàn)之初，并不是一個(gè)企業(yè)級(jí)工具，并未被考慮到太多安全性問題，體現(xiàn)在：安全策略管理較弱，訪問控制較弱，沒有合規(guī)性設(shè)計(jì)，授權(quán)也做得不足。雖然也有做授權(quán)認(rèn)證的Kerberos工具，但Kerberos的配置太難太復(fù)雜，以至于一些用戶選擇放棄使用Kerberos。

Hadoop有很多Web接口，所有應(yīng)用都可能出現(xiàn)能被黑客利用的缺陷和漏洞。Hadoop還提供了很多衍生應(yīng)用程序，但每當(dāng)在一個(gè)應(yīng)用程序上再疊加一個(gè)應(yīng)用程序，也就增加了一層風(fēng)險(xiǎn)。數(shù)據(jù)安全方面，Hadoop數(shù)據(jù)不加密，數(shù)據(jù)很容易被竊取或被泄露；Hadoop數(shù)據(jù)完整性不能保證，極易被篡改，組織一旦用了被篡改的數(shù)據(jù)就會(huì)得到錯(cuò)誤的數(shù)據(jù)分析結(jié)果，從而產(chǎn)生錯(cuò)誤的業(yè)務(wù)決策。

為Hadoop構(gòu)建安全模型

Hadoop安全模型 

在趨勢(shì)科技全球核心技術(shù)總監(jiān)Jon Clay看來，構(gòu)建Hadoop的安全模型可采用分層方式進(jìn)行。在最外層必須進(jìn)行良好的訪問控制，確保只有有相關(guān)權(quán)限的人才可訪問Hadoop數(shù)據(jù)；第二層是網(wǎng)絡(luò)威脅防御，設(shè)定相關(guān)機(jī)制，防止網(wǎng)絡(luò)受到入侵；第三層是應(yīng)用層程序升級(jí)，確保沒有漏洞；第四層是數(shù)據(jù)保密，防止數(shù)據(jù)被竊?。坏谖鍖邮潜ＷC數(shù)據(jù)的完整性，使數(shù)據(jù)不會(huì)受到篡改。基于上述五層保護(hù)策略，就可獲得基于Hadoop結(jié)構(gòu)的安全策略模型。

[[83371]] 

趨勢(shì)科技全球核心技術(shù)總監(jiān)Jon Clay

基于五層安全保護(hù)策略，趨勢(shì)科技正致力于為用戶提供Deep Security的Hadoop版本。趨勢(shì)科技中國區(qū)業(yè)務(wù)發(fā)展總監(jiān)童寧表示，現(xiàn)有的DeepSecurity解決方案中有防火墻功能，也可進(jìn)行入侵阻止，并進(jìn)行網(wǎng)絡(luò)防護(hù)。Deep Security的Hadoop版本將會(huì)被加入數(shù)據(jù)加密功能，及完整性監(jiān)控及日志檢查功能。這一解決方案可被用于物理機(jī)上，也可被用于虛擬機(jī)上。

Deep Security解決方案的Hadoop版本可以實(shí)現(xiàn)：第一層的訪問控制，Deep Security防火墻功能可進(jìn)行訪問控制、授權(quán)等；第二層的網(wǎng)絡(luò)威脅防御，它提供了IDS/IPS功能；第三層的系統(tǒng)應(yīng)用程序威脅防御，能提供虛擬補(bǔ)丁、Web應(yīng)用防護(hù)及防惡意軟件；第四層的數(shù)據(jù)加密；第五層的數(shù)據(jù)完整性保護(hù)，完整性監(jiān)控策略可幫助用戶快速找到相應(yīng)文件，并確保這些文件不會(huì)被篡改。另外，Deep Security的Hadoop版本中的日志檢查方式可幫助用戶瀏覽有無異常行為發(fā)生。通過提供適用于虛擬化Hadoop環(huán)境的無代理安全，趨勢(shì)科技能幫助用戶監(jiān)控虛機(jī)之間通訊，并高效利用資源，簡化管理，降低成本。

在多數(shù)廠商仍在邏輯和概念層面討論大數(shù)據(jù)安全時(shí)，趨勢(shì)科技已經(jīng)計(jì)劃在一年內(nèi)推出Deep Security的Hadoop版本，率先讓大數(shù)據(jù)安全實(shí)現(xiàn)落地。這跟趨勢(shì)科技自身使用Hadoop計(jì)算系統(tǒng)構(gòu)建智能安全防護(hù)網(wǎng)絡(luò)密不可分。2007年，隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)威脅事件快速增長，傳統(tǒng)安全方法不足以應(yīng)對(duì)，趨勢(shì)科技一改傳統(tǒng)的序列化數(shù)據(jù)處理方式，引進(jìn)Hadoop計(jì)算系統(tǒng)，把所有接收到的事件進(jìn)行分類和交叉處理，并利用Hadoop系統(tǒng)進(jìn)行運(yùn)算，由此形成智能網(wǎng)絡(luò)防護(hù)云。也正是在對(duì)Hadoop的使用過程中，趨勢(shì)科技發(fā)現(xiàn)了其中的安全隱患，并開始研究安全策略，并由此較早在大數(shù)據(jù)安全方面有實(shí)際成果。