sql >> Databasteknik >  >> NoSQL >> HBase

Operativ databassäkerhet – Del 1

I det här blogginlägget kommer vi att ta en titt på några av de OpDB-relaterade säkerhetsfunktionerna i en CDP Private Cloud Base-distribution. Vi kommer att prata om kryptering, autentisering och auktorisering.

Data-at-rest-kryptering

Transparent data-at-rest-kryptering är tillgänglig via funktionen Transparent Data Encryption (TDE) i HDFS.

TDE tillhandahåller följande funktioner:

  • Transparent, end-to-end-kryptering av data
  • Skillnad mellan uppgifter mellan kryptografiskt och administrativt ansvar
  • Mogna nyckelfunktioner för livscykelhantering

Huvudnyckeln för att kryptera själva EZK:erna kan placeras i deposition i en hårdvarusäkerhetsmodul (HSM), såsom Safenet Luna, Amazon KMS eller Thales nShield.

Dessutom kan våra molninstallationer för molnbaserade butiker också stödja deposition av krypteringsnyckel med infrastruktur som tillhandahålls av molnleverantörer, såsom AWS KMS eller Azure Key Vault.

Over-the-wire-kryptering

OpDB använder säkerhetsprotokollet Transport Layer Security (TLS) för trådkryptering. Det ger autentisering, integritet och dataintegritet mellan applikationer som kommunicerar över ett nätverk. OpDB stöder Auto-TLS-funktionen som avsevärt förenklar processen för att aktivera och hantera TLS-kryptering på ditt kluster. Både Apache Phoenix och Apache HBase (Web UIs, Thrift Server och REST Server) stöder Auto-TLS.

Ranger Key Management Service

Ranger KMS innehåller de krypteringszonnycklar (EZK) som krävs för att dekryptera de datakrypteringsnycklar som är nödvändiga för att läsa dekrypterat innehåll i filer. Genom RangerKMS kan användare implementera policyer för nyckelåtkomst som separeras och skiljer sig från åtkomsten till underliggande data. EZK:erna lagras i en säker databas inom KMS. Denna databas kan distribueras i ett säkert läge selektivt i klusternoderna.

EZK:erna är krypterade med en huvudnyckel som externiseras till HSM:er för ytterligare säkerhet. Gränssnitten för konfiguration och policyhantering möjliggör nyckelrotation och nyckelversionering. Åtkomstgranskningar i Apache Ranger stöder spårning av åtkomstnycklar.

Dekryptering

Dekryptering sker endast hos klienten och ingen zonnyckel lämnar KMS under dekrypteringsprocessen.

På grund av separeringen av arbetsuppgifter (till exempel kan plattformsoperatörer inte få tillgång till krypterad data i vila) kan det kontrolleras vem som kan komma åt dekrypterat innehåll under vilka förhållanden på en mycket finkornig nivå. Denna separation hanteras inbyggt i Apache Ranger genom finkorniga policyer för att begränsa operatörers åtkomst till dekrypterad data.

Nyckelrotation och rollover kan utföras från samma hanteringsgränssnitt som finns i Ranger KMS.

Säkerhetscertifieringsstandarder

Clouderas plattform tillhandahåller flera av de viktigaste efterlevnads- och säkerhetskontrollerna som krävs för specifika kundinstallationer för att certifieras för överensstämmelse med standarder för PCi, HIPAA, GDPR, ISO 270001 och mer.

Till exempel kräver många av dessa standarder kryptering av data i vila och i rörelse. Robust skalbar kryptering för data i vila genom HDFS TDE och data i rörelse genom Auto-TLS-funktionen tillhandahålls inbyggt i vår plattform. Ranger KMS tillhandahålls också som möjliggör policyer, livscykelhantering och nyckeldeponering till manipuleringssäkra HSM:er. Nyckeldeposition stöds också med infrastruktur som tillhandahålls av molnleverantörer.

I kombination med andra AAA-kontroller (Authentication, Authorization and Audits) tillgängliga för vår plattform, i en CDP Data Center-distribution kan vår OpDB uppfylla många av kraven i PCI, HIPAA, ISO 27001 och mer.

Våra operationella tjänster är också certifierade för SOC-efterlevnad. För mer information, se Drifttjänster.

Autentisering

Användarautentisering

Clouderas plattform stöder följande former av användarautentisering:

  • Kerberos
  • LDAP-användarnamn/lösenord
  • SAML
  • OAuth (med Apache Knox)

Auktorisering

Attributbaserad åtkomstkontroll

Clouderas OpDBMS tillhandahåller rollbaserad åtkomstkontroll (RBAC) och attributbaserad åtkomstkontroll (ABAC) genom Apache Ranger som ingår som en del av plattformen.

Auktorisering kan tillhandahållas på cellnivå, kolumnfamiljnivå, tabellnivå, namnområdesnivå eller globalt. Detta ger flexibilitet när det gäller att definiera roller som globala administratörer, namnområdesadministratörer, tabelladministratörer, eller till och med ytterligare granularitet eller vilken kombination av dessa omfattningar som helst.

Apache Ranger tillhandahåller det centraliserade ramverket för att definiera, administrera och hantera säkerhetspolicyer konsekvent över big data-ekosystemet. ABAC-baserade policyer kan inkludera en kombination av ämne (användare), åtgärd (till exempel skapa eller uppdatera), resurs (till exempel tabell- eller kolumnfamilj) och miljöegenskaper för att skapa en finmaskig policy för auktorisering.

Apache Ranger tillhandahåller även några avancerade funktioner som säkerhetszoner (logisk uppdelning av säkerhetspolicyer), Neka policyer och policys utgångsperiod (inrätta en policy som endast är aktiverad under begränsad tid). Dessa funktioner, i kombination med andra funktioner som beskrivs ovan, skapar en stark bas för att definiera effektiva, skalbara och hanterbara säkerhetspolicyer för OpDBMS.

För storskaliga OpDB-miljöer kan beskrivande attribut användas för att exakt kontrollera   OpDBMS-åtkomst med en minimal uppsättning åtkomstkontrollpolicyer. Följande är beskrivande attribut:

  • Active Directory (AD)-grupp
  • Apache Atlas-baserade taggar eller klassificeringar
  • geografisk plats och andra attribut för ämnena, resurserna och miljöegenskaperna 

När de väl har definierats kan Apache Ranger-policyer också exporteras/importeras till en annan OpDBMS-miljö som kräver samma åtkomstkontroll med mycket minimala ansträngningar.

Detta tillvägagångssätt gör det möjligt för efterlevnadspersonal och säkerhetsadministratörer att definiera exakta och intuitiva säkerhetspolicyer som krävs av förordningar, såsom GDPR, på en finkornig nivå.

Auktorisering av databasadministratör

Apache Ranger tillhandahåller finkornig kontroll för att tillåta specifik administration av databaser med hjälp av policyer eller specifika system såsom beviljande och återkallande mekanismer. Den tillhandahåller också finkornig behörighetskartläggning för specifika användare och grupper. Det gör det möjligt att auktorisera DBA:er för specifika resurser (kolumner, tabeller, kolumnfamiljer och så vidare) med endast de nödvändiga behörigheterna.

Dessutom, när TDE-funktioner används för att kryptera data i HDFS, kan administratörer eller operatörer selektivt blockeras från att kunna dekryptera data. Detta uppnås med specifika nyckelåtkomstpolicyer, vilket innebär att även om de kan utföra administrativa operationer kan de inte se eller ändra de underliggande krypterade data eftersom de inte har nyckelåtkomst.

Upptäcker och blockerar obehörig användning 

Flera av Clouderas frågemotorer har variabel bindning och frågekompilering vilket gör koden mindre sårbar för användarinmatning och förhindrar SQL-injektioner. Dynamisk penetrationstestning och statisk kodskanning utförs över vår plattform för att upptäcka SQL-injektion och andra sårbarheter för varje kundvänd utgåva och åtgärdas i varje komponent.

Otillåten användning kan blockeras av lämpliga policyer som använder Apache Rangers omfattande säkerhetsramverk.

Last Privilege Model

Apache Ranger tillhandahåller ett standardförnekabeteende i OpDB. Om en användare inte uttryckligen har gett tillstånd av någon policy att få åtkomst till en resurs nekas de automatiskt.

Explicit privilegierad verksamhet måste godkännas av policyer. Privilegerade användare och operationer mappas till specifika roller.

Delegerade administrationsfaciliteter finns också tillgängliga i Apache Ranger för att tillhandahålla explicita privilegier operationer och hantering för specifika resursgrupper genom policyer.

Slutsats

Detta var del 1 av blogginlägget Operational Database Security. Vi tittade på olika säkerhetsfunktioner och funktioner som Clouderas OpDB tillhandahåller.

För mer information om de säkerhetsrelaterade funktionerna och funktionerna i Clouderas OpDB kommer ett del 2-blogginlägg snart!

För mer information om Clouderas Operational Database-erbjudande, se Cloudera Operational Database.


  1. Hur man stoppar mongo DB med ett kommando

  2. Hur man distribuerar Percona Server för MongoDB för hög tillgänglighet

  3. Implementera autoslutförande på MongoDB

  4. Automatiska återförsök