The Doppler Quarterly (DEUTSCHE) Sommer 2017 - Page 17

Sicherheitskonzept Wie bei jeder cloudbasierten Bereitstellung ist die Sicherheit für einen Enterprise Data Lake von ent- scheidender Bedeutung und muss von Anfang an berücksichtigt werden. Zudem kann die Sicherheit für einen Data Lake nur erfolgreich greifen, wenn sie im Rahmen der gesamten Sicherheitsinfrastruktur und -steuerung des Unternehmens bereitgestellt und verwaltet wird. Im Allgemeinen gibt es drei primäre Sicherheitsdomänen, die für eine Data-Lake-Bereit- stellung relevant sind: • Verschlüsselung • Sicherheit auf Netzwerkebene • Zugriffssteuerung Verschlüsselung – Praktisch jedes Großunterneh- men benötigt die Verschlüsselung von gespeicherten Daten; wenn nicht voll umfänglich, dann zumindest für die meisten Datenklassifikationen, die nicht öffentlich verfügbar sind. Alle führenden Cloud-An- bieter unterstützen die Verschlüsselung ihrer primä- ren Objektspeichertechnologien (z. B. AWS S3) ent- weder standardmäßig oder als Option. Ebenso bieten die Technologien, die für andere Speicherebenen verwendet werden, wie z. B. sekundäre Daten- speicher zur Datennutzung, ebenfalls eine Verschlüsselung. Das Schlüsselmanagement spielt dabei ebenfalls eine wichtige Rolle, wobei die Anforderungen in der Regel von den allgemeinen Sicherheitskontrollen des Unternehmens festgelegt werden. Zu den Optionen gehören Schlüssel, die vom Cloud-Anbieter erstellt und verwaltet werden, vom Kunden generierte Schlüssel, die vom Cloud-Anbieter verwaltet werden, und Schlüssel, die vom Kunden vor Ort erstellt und verwaltet werden. Der letzte damit zusammenhängende Aspekt ist Ver- schlüsselung während der Übertragung. Dies umfasst Daten, die über das Netzwerk zwischen Geräten und Services verschoben werden. In den meisten Fällen kann diese Verschlüsselung problemlos mit bereits integrierten Optionen für jeden Service oder mithilfe von Standard-TLS/SSL mit zugehörigen Zertifikaten konfiguriert werden. Sicherheit auf Netzwerkebene – Eine weitere wich- tige Sicherheitsebene befindet sich auf der Netzwer- kebene. Cloud-native Konstrukte, wie Sicherheits- gruppen sowie traditionelle Methoden wie Netzwerk-ACLs und CIDR-Block-Restriktionen, spie- len bei der Implementierung einer zuverlässigen Strategie für detaillierte Abwehrmaßnahmen eine wichtige Rolle, indem unpassende Zugriffspfade auf der Netzwerkebene umfangreich abgewehrt werden. Diese Implementierung sollte einheitlich zu dem gesamten Sicherheitsframework eines Unterneh- mens sein. Zugriffssteuerung – Diese bezieht sich auf die Authentifizierung (Wer sind Sie?) und Autorisierung (Was dürfen Sie tun?). Praktisch jedes Unternehmen verfügt bereits über Standard-Authentifizierungs- und Benutzerverzeichnis-Technologien, wie Active Directory zum Beispiel. Ebenso unterstützt jeder führende Cloud-Anbieter Methoden zur Zuordnung der Corporate Identity-Infrastruktur auf die Berech- tigungsinfrastruktur der Ressourcen und des Ser- vices des Cloud-Anbieters. Auch wenn die Installa- tion kompliziert sein kann, können die mit der Zugriffsverwaltungsinfrastruktur des Cloud-Anbie- ters (wie IAM auf AWS) verknüpften Rollen von authentifizierten Benutzern übernommen werden, sodass eine fein abgestimmte Berechtigungssteue- rung über autorisierte Vorgänge ermöglicht wird. Dasselbe gilt üblicherweise auch für Produkte von Drittanbietern, die in der Cloud ausgeführt werden, z. B. Reporting- und BI-Tools. LDAP und/oder Active Directory werden normalerweise zur Authentifizie- rung unterstützt und die toolinternen Autorisierun- gen und Rollen können mit den Identitäten der authentifizierten Benutzer korreliert und von diesen gesteuert werden. Etablierung von Governance Üblicherweise bezieht sich die Data Governance auf die gesamte Verwaltung der Verfügbarkeit, Nutzbar- keit, Integrität und Sicherheit der in einem Unter- nehmen verwendeten Daten. Sie basiert sowohl auf Unternehmensrichtlinien als auch auf technische Verfahren. Ähnlich wie bei anderen beschriebenen Aspekten einer Cloud-Bereitstellung muss auch die Data Governance für einen Enterprise Data Lake von übergeordneten Verfahren und Richtlinien für das gesamte Unternehmen gesteuert werden und mit diesen konsistent sein. In herkömmlichen Data Warehouse-Infrastrukturen wird die Kontrolle über Datenbankinhalte in der Regel mit den Geschäftsdaten abgeglichen und nach Geschäftseinheit oder Systemfunktion in Silos aufge- teilt. Um die Vorteile der Zentralisierung von Unter- nehmensdaten optimal zu nutzen, ist jedoch eine zentrale Ansicht der Data Governance erforderlich. Selbst wenn das Unternehmen in seinen Data Gover- nance-Verfahren noch nicht vollständig ausgereift ist, ist es von entscheidender Bedeutung, dass ein SOMMER 2017 | THE DOPPLER | 15