HBase
 sql >> Baza danych >  >> NoSQL >> HBase

Bezpieczeństwo operacyjne bazy danych – część 1

W tym poście na blogu przyjrzymy się niektórym funkcjom bezpieczeństwa związanym z OpDB we wdrożeniu CDP Private Cloud Base. Porozmawiamy o szyfrowaniu, uwierzytelnianiu i autoryzacji.

Szyfrowanie danych w spoczynku

Przejrzyste szyfrowanie danych w spoczynku jest dostępne za pośrednictwem funkcji przezroczystego szyfrowania danych (TDE) w systemie HDFS.

TDE zapewnia następujące funkcje:

  • Przejrzyste, kompleksowe szyfrowanie danych
  • Rozdzielenie obowiązków między zadaniami kryptograficznymi i administracyjnymi
  • Dojrzałe kluczowe funkcje zarządzania cyklem życia

Klucz główny do szyfrowania samych EZK można umieścić w depozycie w sprzętowym module bezpieczeństwa (HSM), takim jak Safenet Luna, Amazon KMS lub Thales nShield.

Ponadto nasze wdrożenia w chmurze dla sklepów natywnych dla chmury mogą również obsługiwać depozyt kluczy szyfrowania z infrastrukturą dostarczoną przez dostawcę chmury, taką jak AWS KMS lub Azure Key Vault.

Szyfrowanie przez sieć przewodową

OpDB używa protokołu bezpieczeństwa Transport Layer Security (TLS) do szyfrowania przewodowego. Zapewnia uwierzytelnianie, prywatność i integralność danych między aplikacjami komunikującymi się w sieci. OpDB obsługuje funkcję Auto-TLS, która znacznie upraszcza proces włączania szyfrowania TLS i zarządzania nim w klastrze. Zarówno Apache Phoenix, jak i Apache HBase (interfejsy internetowe, serwer Thrift i serwer REST) ​​obsługują Auto-TLS.

Usługa zarządzania kluczami Ranger

Ranger KMS zawiera klucze strefy szyfrowania (EZK) wymagane do odszyfrowania kluczy szyfrowania danych, które są niezbędne do odczytania odszyfrowanej zawartości w plikach. Dzięki RangerKMS użytkownicy mogą wdrażać zasady dostępu do kluczy, które oddzielają i różnią się od dostępu do podstawowych danych. EZK są przechowywane w bezpiecznej bazie danych w ramach KMS. Ta baza danych może być selektywnie wdrażana w trybie zabezpieczonym w węzłach klastra.

EZK są szyfrowane za pomocą klucza głównego, który jest przekazywany do modułów HSM w celu dodatkowego zabezpieczenia. Interfejsy zarządzania konfiguracją i zasadami umożliwiają rotację kluczy i ich wersjonowanie. Audyty dostępu w Apache Ranger obsługują śledzenie kluczy dostępu.

Odszyfrowywanie

Deszyfrowanie odbywa się tylko u klienta i żaden klucz strefy nie opuszcza KMS podczas procesu deszyfrowania.

Ze względu na rozdzielenie obowiązków (na przykład operatorzy platformy nie mogą uzyskać dostępu do zaszyfrowanych danych w spoczynku) można kontrolować, kto może uzyskać dostęp do odszyfrowanej zawartości na jakich warunkach, na bardzo precyzyjnym poziomie. Ta separacja jest obsługiwana natywnie w Apache Ranger za pomocą szczegółowych zasad ograniczających dostęp operatorów do odszyfrowanych danych.

Rotację klawiszy i najazd można wykonać z tego samego interfejsu zarządzania, który zapewnia Ranger KMS.

Standardy certyfikacji bezpieczeństwa

Platforma Cloudera zapewnia kilka kluczowych kontroli zgodności i bezpieczeństwa wymaganych dla określonych wdrożeń klientów, które mają być certyfikowane pod kątem zgodności ze standardami PCi, HIPAA, GDPR, ISO 270001 i nie tylko.

Na przykład wiele z tych standardów wymaga szyfrowania danych w spoczynku i ruchu. Solidne, skalowalne szyfrowanie danych w spoczynku za pomocą HDFS TDE i danych w ruchu za pomocą funkcji Auto-TLS jest dostarczane natywnie na naszej platformie. Dostępna jest również usługa Ranger KMS, która umożliwia tworzenie polityk, zarządzanie cyklem życia i przechowywanie kluczy w zabezpieczonych HSM-ach. Depozyt kluczy jest również obsługiwany przez infrastrukturę dostarczoną przez dostawcę chmury.

W połączeniu z innymi kontrolami AAA (uwierzytelnianie, autoryzacja i audyty) dostępnymi dla naszej platformy, we wdrożeniu CDP Data Center nasza OpDB może spełnić wiele wymagań PCI, HIPAA, ISO 27001 i innych.

Nasze oferty usług operacyjnych są również certyfikowane pod kątem zgodności z SOC. Aby uzyskać więcej informacji, zobacz Usługi operacyjne.

Uwierzytelnianie

Uwierzytelnianie użytkownika

Platforma Cloudera obsługuje następujące formy uwierzytelniania użytkowników:

  • Kerber
  • nazwa użytkownika/hasło LDAP
  • SAML
  • OAuth (przy użyciu Apache Knox)

Autoryzacja

Kontrola dostępu oparta na atrybutach

OpDBMS firmy Cloudera zapewnia kontrolę dostępu opartą na rolach (RBAC) i kontrolę dostępu opartą na atrybutach (ABAC) za pośrednictwem Apache Ranger, który jest częścią platformy.

Autoryzacja może być udzielona na poziomie komórki, rodziny kolumn, tabeli, przestrzeni nazw lub globalnie. Pozwala to na elastyczność w definiowaniu ról jako administratorzy globalni, administratorzy przestrzeni nazw, administratorzy tabel, a nawet dalszą szczegółowość lub dowolną kombinację tych zakresów.

Apache Ranger zapewnia scentralizowaną platformę do definiowania, administrowania i spójnego zarządzania politykami bezpieczeństwa w całym ekosystemie Big Data. Zasady oparte na ABAC mogą obejmować kombinację tematu (użytkownika), działania (na przykład tworzenia lub aktualizowania), zasobu (na przykład rodziny tabeli lub kolumn) i właściwości środowiskowych w celu utworzenia szczegółowej zasady autoryzacji.

Apache Ranger zapewnia również pewne zaawansowane funkcje, takie jak strefy bezpieczeństwa (logiczny podział polityk bezpieczeństwa), polityki odmowy i okres wygaśnięcia polityki (konfigurowanie polityki, która jest włączona tylko przez ograniczony czas). Funkcje te, w połączeniu z innymi funkcjami opisanymi powyżej, tworzą mocną podstawę do definiowania skutecznych, skalowalnych i łatwych do zarządzania polityk bezpieczeństwa OpDBMS.

W przypadku środowisk OpDB na dużą skalę opisowe atrybuty mogą być używane do precyzyjnej kontroli dostępu OpDBMS przy użyciu minimalnego zestawu zasad kontroli dostępu. Poniżej znajdują się atrybuty opisowe:

  • grupa Active Directory (AD)
  • Tagi lub klasyfikacje oparte na Apache Atlas
  • lokalizacja geograficzna i inne atrybuty podmiotów, zasobów i właściwości środowiska

Po zdefiniowaniu polityki Apache Ranger można również eksportować / importować do innego środowiska OpDBMS, które wymaga tej samej kontroli dostępu przy bardzo minimalnym wysiłku.

Takie podejście umożliwia personelowi ds. zgodności i administratorom bezpieczeństwa zdefiniowanie precyzyjnych i intuicyjnych zasad bezpieczeństwa wymaganych przez przepisy, takie jak RODO, na drobnym poziomie.

Uprawnienie administratora bazy danych

Apache Ranger zapewnia szczegółową kontrolę, aby umożliwić określone administrowanie bazami danych przy użyciu polityk lub określonych schematów, takich jak mechanizmy przyznawania i unieważniania. Zapewnia również szczegółowe mapowanie uprawnień dla określonych użytkowników i grup. Dzięki temu można autoryzować administratorów baz danych dla określonych zasobów (kolumn, tabel, rodzin kolumn itd.) tylko z wymaganymi uprawnieniami.

Ponadto, gdy funkcje TDE są wykorzystywane do szyfrowania danych w HDFS, administratorzy lub operatorzy mogą być selektywnie blokowani przed możliwością odszyfrowania danych. Osiąga się to za pomocą określonych zasad dostępu do klucza, co oznacza, że ​​chociaż mogą wykonywać operacje administracyjne, nie mogą wyświetlać ani zmieniać podstawowych zaszyfrowanych danych, ponieważ nie mają dostępu do klucza.

Wykrywanie i blokowanie nieautoryzowanego użycia

Kilka silników zapytań Cloudera ma wiązanie zmiennych i kompilację zapytań, dzięki czemu kod jest mniej podatny na dane wejściowe użytkownika i zapobiega wstrzykiwaniu SQL. Dynamiczne testy penetracyjne i statyczne skanowanie kodu są przeprowadzane na naszej platformie w celu wykrycia wstrzyknięcia SQL i innych luk w zabezpieczeniach dla każdego wydania skierowanego do klienta i naprawionego w każdym komponencie.

Nieautoryzowane użycie może zostać zablokowane przez odpowiednie zasady wykorzystujące kompleksowe ramy bezpieczeństwa Apache Ranger.

Model z najniższymi uprawnieniami

Apache Ranger zapewnia domyślne zachowanie odmowy w OpDB. Jeśli użytkownik nie udzielił jawnie uprawnień dostępu do zasobu przez jakąkolwiek zasadę, zostanie automatycznie odrzucony.

Jawne operacje uprzywilejowane muszą być autoryzowane przez zasady. Uprzywilejowani użytkownicy i operacje są przypisywane do określonych ról.

Funkcje administracji delegowanej są również dostępne w Apache Ranger, aby zapewnić operacje na wyraźnych uprawnieniach i zarządzanie określonymi grupami zasobów za pomocą zasad.

Wniosek

To była część 1 wpisu na blogu dotyczącym bezpieczeństwa operacyjnej bazy danych. Przyjrzeliśmy się różnym funkcjom i możliwościom bezpieczeństwa, które zapewnia OpDB Cloudera.

Aby uzyskać więcej informacji na temat funkcji i możliwości związanych z bezpieczeństwem OpDB Cloudera, wkrótce pojawi się wpis na blogu Part 2!

Aby uzyskać więcej informacji o ofercie operacyjnej bazy danych Cloudera, zobacz Operacyjna baza danych Cloudera.


  1. Redis
    2.   
  2. MongoDB
    3.   
  3. Memcached
    4.   
  4. HBase
    5.   
  5. CouchDB

  1. Wtyczka Cloudera Replication umożliwia replikację x-platform dla Apache HBase

  2. Wykorzystanie inżynierii danych Cloudera do analizy danych programu ochrony wypłat

  3. Wprowadzenie do lokalizacji danych w Hadoop MapReduce

  4. Różnica między InputSplit a blokami w Hadoop

  5. Administracja operacyjną bazą danych