sql >> Database teknologi >  >> NoSQL >> HBase

Operationel databasesikkerhed – del 1

I dette blogindlæg vil vi tage et kig på nogle af de OpDB-relaterede sikkerhedsfunktioner i en CDP Private Cloud Base-implementering. Vi skal tale om kryptering, autentificering og autorisation.

Data-at-rest-kryptering

Transparent data-at-rest-kryptering er tilgængelig via funktionen Transparent Data Encryption (TDE) i HDFS.

TDE giver følgende funktioner:

  • Transparent, ende-til-ende-kryptering af data
  • Opgaveadskillelse mellem kryptografisk og administrativt ansvar
  • Modne nøglefunktioner til livscyklusstyring

Hovednøglen til at kryptere selve EZK'erne kan placeres i escrow i et hardwaresikkerhedsmodul (HSM), såsom Safenet Luna, Amazon KMS eller Thales nShield.

Derudover kan vores cloud-implementeringer til cloud-native butikker også understøtte krypteringsnøgledeponering med cloud-leverandør-leveret infrastruktur, såsom AWS KMS eller Azure Key Vault.

Over-the-wire-kryptering

OpDB bruger Transport Layer Security (TLS) sikkerhedsprotokol til trådkryptering. Det giver godkendelse, privatliv og dataintegritet mellem applikationer, der kommunikerer over et netværk. OpDB understøtter Auto-TLS-funktionen, som i høj grad forenkler processen med at aktivere og administrere TLS-kryptering på din klynge. Både Apache Phoenix og Apache HBase (Web UI'er, Thrift Server og REST Server) understøtter Auto-TLS.

Ranger Key Management Service

Ranger KMS huser de krypteringszonenøgler (EZK'er), der er nødvendige for at dekryptere de datakrypteringsnøgler, der er nødvendige for at læse dekrypteret indhold i filer. Gennem RangerKMS kan brugere implementere politikker for nøgleadgang, der adskiller og adskiller sig fra adgangen til underliggende data. EZK'erne er gemt i en sikker database i KMS. Denne database kan implementeres i en sikret tilstand selektivt i klyngens noder.

EZK'erne er krypteret med en hovednøgle, som eksternaliseres til HSM'er for yderligere sikkerhed. Konfigurations- og politikstyringsgrænsefladerne muliggør nøglerotation og nøgleversionering. Adgangsaudit i Apache Ranger understøtter sporing af adgangsnøgler.

Dekryptering

Dekryptering sker kun hos klienten, og ingen zonenøgle forlader KMS'et under dekrypteringsprocessen.

På grund af adskillelsen af ​​opgaver (for eksempel kan platformoperatører ikke få adgang til krypterede data i hvile), kan det kontrolleres, hvem der kan få adgang til dekrypteret indhold under hvilke forhold på et meget finmasket niveau. Denne adskillelse håndteres indbygget i Apache Ranger gennem finkornede politikker for at begrænse operatørers adgang til dekrypterede data.

Nøglerotation og rollover kan udføres fra den samme administrationsgrænseflade, som findes i Ranger KMS.

Sikkerhedscertificeringsstandarder

Clouderas platform giver flere af de vigtigste overholdelses- og sikkerhedskontroller, der kræves for specifikke kundeimplementeringer, for at blive certificeret til overholdelse af standarder for PCi, HIPAA, GDPR, ISO 270001 og mere.

For eksempel kræver mange af disse standarder kryptering af data i hvile og i bevægelse. Robust skalerbar kryptering for data i hvile gennem HDFS TDE og data i bevægelse gennem Auto-TLS-funktionen leveres indbygget i vores platform. Ranger KMS leveres også, som muliggør politikker, livscyklusstyring og nøgledeponering til manipulationssikre HSM'er. Key escrow understøttes også med cloud-leverandør-leveret infrastruktur.

Kombineret med andre AAA (Authentication, Authorization and Audits) kontroller, der er tilgængelige for vores platform, kan vores OpDB i en CDP Data Center-implementering opfylde mange af kravene i PCI, HIPAA, ISO 27001 og mere.

Vores Operational Services-tilbud er også certificeret til SOC-overholdelse. For mere information, se Operationelle tjenester.

Godkendelse

Brugergodkendelse

Clouderas platform understøtter følgende former for brugergodkendelse:

  • Kerberos
  • LDAP-brugernavn/adgangskode
  • SAML
  • OAuth (ved hjælp af Apache Knox)

Godkendelse

Attributbaseret adgangskontrol

Clouderas OpDBMS giver rollebaseret adgangskontrol (RBAC) og attributbaseret adgangskontrol (ABAC) gennem Apache Ranger, som er inkluderet som en del af platformen.

Godkendelse kan gives på celleniveau, kolonnefamilieniveau, tabelniveau, navnerumsniveau eller globalt. Dette giver mulighed for fleksibilitet med hensyn til at definere roller som globale administratorer, navneområdeadministratorer, tabeladministratorer eller endda yderligere granularitet eller en hvilken som helst kombination af disse omfang også.

Apache Ranger leverer den centraliserede ramme til at definere, administrere og administrere sikkerhedspolitikker konsekvent på tværs af big data-økosystemet. ABAC-baserede politikker kan omfatte en kombination af emnet (bruger), handling (for eksempel oprette eller opdatere), ressource (for eksempel tabel- eller kolonnefamilie) og miljøegenskaber for at skabe en finmasket politik for godkendelse.

Apache Ranger giver også nogle avancerede funktioner som sikkerhedszoner (logisk opdeling af sikkerhedspolitikker), Afvisningspolitikker og politikudløbsperiode (opsætning af en politik, der kun er aktiveret i begrænset tid). Disse funktioner, i kombination med andre funktioner beskrevet ovenfor, skaber en stærk base til at definere effektive, skalerbare og håndterbare OpDBMS-sikkerhedspolitikker.

For store OpDB-miljøer kan beskrivende attributter bruges til præcist at kontrollere   OpDBMS-adgang ved hjælp af et minimalt sæt af adgangskontrolpolitikker. Følgende er beskrivende attributter:

  • Active Directory (AD) gruppe
  • Apache Atlas-baserede tags eller klassifikationer
  • geo-placering og andre attributter for emnerne, ressourcerne og miljøegenskaberne 

Når først de er defineret, kan Apache Ranger-politikker også eksporteres/importeres til et andet OpDBMS-miljø, som kræver den samme adgangskontrol med meget minimal indsats.

Denne tilgang gør det muligt for overholdelsespersonale og sikkerhedsadministratorer at definere præcise og intuitive sikkerhedspolitikker, der kræves af regler, såsom GDPR, på et finmasket niveau.

Databaseadministratorautorisation

Apache Ranger giver finmasket kontrol for at tillade specifik administration af databaser ved hjælp af politikker eller specifikke ordninger såsom bevillings- og tilbagekaldelsesmekanismer. Det giver også finmasket tilladelseskortlægning for specifikke brugere og grupper. Det gør det muligt at autorisere DBA'er til specifikke ressourcer (kolonner, tabeller, kolonnefamilier og så videre) med kun de nødvendige tilladelser.

Derudover, når TDE-funktioner bruges til at kryptere data i HDFS, kan administratorer eller operatører selektivt blokeres fra at være i stand til at dekryptere data. Dette opnås med specifikke nøgleadgangspolitikker, hvilket betyder, at selvom de kan udføre administrative handlinger, kan de ikke se eller ændre de underliggende krypterede data, fordi de ikke har nøgleadgang.

Detektering og blokering af uautoriseret brug 

Flere af Clouderas forespørgselsmotorer har variabel binding og forespørgselskompilering, hvilket gør koden mindre sårbar over for brugerinput og forhindrer SQL-injektioner. Dynamisk penetrationstest og statiske kodescanninger udføres på tværs af vores platform for at opdage SQL-injektion og andre sårbarheder for hver kundevendt udgivelse og afhjælpes i hver komponent.

Uautoriseret brug kan blokeres af passende politikker ved hjælp af Apache Rangers omfattende sikkerhedsramme.

Last Privilege Model

Apache Ranger giver en standard afvisningsadfærd i OpDB. Hvis en bruger ikke udtrykkeligt har givet tilladelse af nogen politik til at få adgang til en ressource, nægtes de automatisk.

Eksplicitte privilegerede operationer skal godkendes af politikker. Privilegerede brugere og operationer er knyttet til specifikke roller.

Delegerede administrationsfaciliteter er også tilgængelige i Apache Ranger for at give eksplicitte privilegier operationer og styring for specifikke ressourcegrupper gennem politikker.

Konklusion

Dette var del 1 af blogindlægget Operational Database Security. Vi har set på forskellige sikkerhedsfunktioner og muligheder, som Clouderas OpDB leverer.

For mere information om de sikkerhedsrelaterede funktioner og muligheder i Clouderas OpDB kommer et Del 2 blogindlæg snart!

For mere information om Clouderas Operational Database-tilbud, se Cloudera Operational Database.


  1. Sådan bruges Memcached With Yii2 Framework

  2. Filtrer underarrayet af et array efter nogle kriterier

  3. Problem med at returnere data hentet fra DB-forespørgsler kaldet i løkken

  4. Nodejs, venter ikke på, at Redis-forespørgslen er fuldført, før du fortsætter med eksekveringen