principales retos de NoSQL

 No hay duda de que los fabricantes de bases de datos NoSQL se han ganado el reconocimiento y prueba de ello es el hecho de que en el cuadrante Gartner de sistemas de gestión de bases de datos operacionales del pasado año ya se incluyeron 5 soluciones NoSQL (en particular alguna de ellas ya se ha convertido este año en uno de los referentes en soluciones de base de datos para data warehouse (DW)).

Autenticación.

La fortaleza de la autenticación es uno de los campos de batalla donde muchas implementaciones NoSQL muestran debilidad. Es común encontrar que la las bases de datos NoSQL incorporen credenciales por defecto, o incluso sin autenticación necesaria o deshabilitada (por ejemplo, Redis). En muchos casos se basan en entornos de confianza en lugar de autenticación de usuario. Dependiendo del software siempre será un punto fundamental a chequear.

Integridad de los datos.

Siguiendo una filosofía donde prima la disponibilidad y el rendimiento, se penaliza en la integridad de los datos. Por ello es necesario utilizar frecuentemente mecanismos complementarios ajenos al motor de la base de datos para asegurar la integridad.

Confidencialidad y cifrado en el almacenamiento.

Por lo general, el almacenamiento de los datos se realiza en texto plano y salvo escasas excepciones como por ejemplo Cassandra y su tecnología Transparent data encryption, no se incorporan mecanismos de cifrado integrados. En la mayoría de los casos sigue siendo necesario delegar el cifrado a procesos en la capa de aplicación o del propio sistema de ficheros.

Auditoria de datos

La mayoría de bases de datos NoSQL carecen de mecanismos propios y robustos de auditoría de datos, de gran peso a la hora de detectar posibles ataques mediante la observación de eventos sobre registros concretos tal y como se hace en bases de datos relacionales.

Seguridad en las comunicaciones.

El uso de cifrado y protocolo SSL es habitual en bases de datos relaciones, en cambio en sistemas NoSQL generalmente se encuentra deshabilitado por defecto, es opcional (por ejemplo Cassandra), o bien es necesaria una configuración específica en la instalación (MongoDB).

Vulnerabilidades clásicas en base de datos: Aún más inyección.

Finalmente, y haciendo hincapié en uno de los aspectos más ampliamente explotado como es la inyección de comandos debemos tener en cuenta que en las bases de datos NoSQL, las peticiones y llamadas se ejecutan invocando la API correspondiente formateada según una convención común, habitualmente JSON o XML. 

referencias 

A. El Abbadi, “. D. (2010). Big Data y Cloud Computing : New Wine or just New Bottles? The VLDB Endowment VLDB Endowment Hompage archive, 3(1), 1647-1648.

Abu-libdeh, H., & Weatherspoon, H. (2010). RACS : A Case for Cloud Storage Diversity. RACS: A Case for Cloud Storage Diversity, 229240.