保护大数据：基础设施支持

　　当然在其核心，这种新环境将需要对基础设施进行调整，使其能够收集和分析数据。

　　为了创建支持大数据环境的基础设施，我们需要一个安全且高速的网络来收集很多安全系统数据源，从而满足大数据收集要求。鉴于大数据基础设施的虚拟化和分布式性质，企业需要将虚拟网络作为底层通信基础设施。此外，从承载大数据的角度来看，在数据中心和虚拟设备之间使用VLAN等技术作为虚拟主机（已经部署了虚拟交换机）内的网络是最佳选择。由于防火墙需要检查通过防火墙的每个会话的每个数据包，它们成了大数据快速计算能力的瓶颈。因此，企业需要分离传统用户流量与构成大数据安全数据的流量。通过确保只有受信任的服务器流量流经加密网络通道以及消除之间的传统基础设施防火墙，这个系统就能够以所需要的不受阻碍的速度进行通信。

　　接着，这个安全数据仓库的虚拟服务器需要受到保护。最好的做法是，确保这些服务器按照NIST标准进行加强，卸载不必要的服务（例如FTP工具）以及确保有一个良好的补丁管理流程。鉴于这些服务器上的数据的重要性，我们还需要为大数据中心部署备份服务。此外，这些备份还必须加密--无论是通过磁带介质还是次级驱动器的备份，毕竟在很多时候，安全数据站点发生数据泄露事故都是因为备份媒介的丢失或者被盗。另外，应该定时进行系统更新，同时，为了进行集中监控和控制，还应该部署具有正式运营中心的系统监视工具。

　　大数据安全：整合现有工具和流程

　　为了确保大数据安全仓库位于安全事件生态系统的顶端，我们还必须整合现有安全工具和流程。当然，这些整合点应该平行于现有的连接，因为企业不能为了大数据的基础设施改组而放弃其安全分析功能。对于一项新部署，最好的方法是尽量减少连接数量—通过连接企业和/或业务线的SIEM工具的输出到大数据安全仓库。由于这些数据已经被预处理，它将允许企业开始测试其分析算法与加工后的数据集。

　　在与安全信息和事件管理工具的整合工作完成后，初始趋势和事件将开始显现，我们还需要开发一个程序来去耦SIEM工具的输入使其直接进入仓库。最好的做法是为输入选择一个良好定义的标准化数据格式，这将大大较少所需要的整合和规范化步骤，确保对数据仓库改善后的分析算法的持续验证。

　　随着时间的推移，改进的分析功能将使数据仓库成为企业安全工具的主要收集点，企业的安全办公室将拥有对安全事件分析的单一入口点。

　　最后，由于大数据在一个新的不同的环境运行，我们还需要为安全办公人员定制一个培训计划。培训计划应该着眼于新开发的分析和修复过程，因为安全大数据仓库将通过这些过程来标记和报告不寻常的活动和网络流量。大数据生态系统的实际操作有着非常标准化的功能，未经授权的更改或者访问将很容易被发现。

　　大数据将为安全团队带来新的工作方式，而不会出现科幻电影中“机器接管人类”的戏剧化的一幕。通过了解大数据的优势、制定切合实际的目标以及利用现有安全技术的优势，安全管理人员将会发现他们在大数据进行的投资是值得的。