V tomto blogovém příspěvku se podíváme na některé bezpečnostní funkce související s OpDB nasazení CDP Private Cloud Base. Budeme mluvit o šifrování, autentizaci a autorizaci.
Šifrování v klidu dat
Transparentní šifrování dat v klidu je dostupné prostřednictvím funkce Transparent Data Encryption (TDE) v HDFS.
TDE poskytuje následující funkce:
- Transparentní šifrování dat typu end-to-end
- Rozdělení povinností mezi kryptografickou a administrativní odpovědnost
- Vyspělé klíčové funkce správy životního cyklu
Hlavní klíč pro šifrování samotných EZK lze uložit do úschovy v hardwarovém bezpečnostním modulu (HSM), jako je Safenet Luna, Amazon KMS nebo Thales nShield.
Naše cloudová nasazení pro cloudové nativní obchody navíc mohou také podporovat úschovu šifrovacího klíče s infrastrukturou poskytovanou dodavatelem cloudu, jako je AWS KMS nebo Azure Key Vault.
Šifrování po drátě
OpDB používá pro šifrování drátu bezpečnostní protokol Transport Layer Security (TLS). Poskytuje ověřování, soukromí a integritu dat mezi aplikacemi komunikujícími přes síť. OpDB podporuje funkci Auto-TLS, která výrazně zjednodušuje proces aktivace a správy šifrování TLS ve vašem clusteru. Apache Phoenix i Apache HBase (webová uživatelská rozhraní, Thrift Server a REST Server) podporují Auto-TLS.
Služba správy klíčů Ranger
Ranger KMS obsahuje klíče šifrovací zóny (EZK) potřebné k dešifrování klíčů šifrování dat, které jsou nezbytné pro čtení dešifrovaného obsahu v souborech. Prostřednictvím RangerKMS mohou uživatelé implementovat zásady pro přístup ke klíčům, které jsou oddělené a odlišné od přístupu k podkladovým datům. EZK jsou uloženy v zabezpečené databázi v rámci KMS. Tato databáze může být nasazena v zabezpečeném režimu selektivně v uzlech clusteru.
EZK jsou zašifrovány hlavním klíčem, který je externalizován do HSM pro další zabezpečení. Rozhraní pro správu konfigurace a zásad umožňují střídání klíčů a vytváření verzí klíčů. Audity přístupu v Apache Ranger podporují sledování přístupových klíčů.
Dešifrování
Dešifrování probíhá pouze u klienta a žádný klíč zóny neopustí KMS během procesu dešifrování.
Díky oddělení povinností (např. provozovatelé platforem nemohou získat přístup k zašifrovaným datům v klidu) lze na velmi jemné úrovni kontrolovat, kdo má za jakých podmínek přístup k dešifrovanému obsahu. Toto oddělení je v Apache Ranger řešeno nativně prostřednictvím jemně zpracovaných zásad, které omezují přístup operátorů k dešifrovaným datům.
Otočení klíče a převrácení lze provádět ze stejného rozhraní pro správu, které je k dispozici v Ranger KMS.
Standardy certifikace zabezpečení
Platforma Cloudera poskytuje několik klíčových kontrol dodržování předpisů a zabezpečení požadovaných pro konkrétní zákaznická nasazení, která mají být certifikována pro shodu s normami pro PCi, HIPAA, GDPR, ISO 270001 a další.
Mnoho z těchto standardů například vyžaduje šifrování dat v klidu a v pohybu. Naše platforma poskytuje nativně robustní škálovatelné šifrování pro data v klidu prostřednictvím HDFS TDE a data v pohybu pomocí funkce Auto-TLS. K dispozici je také Ranger KMS, který umožňuje zásady, správu životního cyklu a úschovu klíčů do HSM odolných proti neoprávněné manipulaci. U úschovy klíčů je podporována také infrastruktura poskytovaná dodavatelem cloudu.
V kombinaci s dalšími kontrolami AAA (Authentication, Authorization and Audits) dostupnými pro naši platformu může naše OpDB v nasazení CDP Data Center splnit mnoho požadavků PCI, HIPAA, ISO 27001 a dalších.
Naše nabídky provozních služeb jsou také certifikovány pro shodu se SOC. Další informace naleznete v části Provozní služby.
Ověření
Ověření uživatele
Platforma Cloudera podporuje následující formy ověřování uživatelů:
- Kerberos
- Uživatelské jméno/heslo LDAP
- SAML
- OAuth (pomocí Apache Knox)
Autorizace
Řízení přístupu na základě atributů
OpDBMS společnosti Cloudera poskytuje řízení přístupu založeného na rolích (RBAC) a řízení přístupu založeného na atributech (ABAC) prostřednictvím Apache Ranger, který je součástí platformy.
Autorizace může být poskytnuta na úrovni buňky, na úrovni skupiny sloupců, na úrovni tabulky, na úrovni jmenného prostoru nebo globálně. To umožňuje flexibilitu při definování rolí jako globální správci, správci jmenného prostoru, správci tabulek nebo dokonce další podrobnosti nebo libovolnou kombinaci těchto rozsahů.
Apache Ranger poskytuje centralizovaný rámec pro konzistentní definování, správu a správu bezpečnostních politik v celém ekosystému velkých dat. Zásady založené na ABAC mohou zahrnovat kombinaci předmětu (uživatele), akce (například vytvořit nebo aktualizovat), zdroje (například rodina tabulky nebo sloupce) a vlastností prostředí za účelem vytvoření jemnozrnné zásady pro autorizaci.
Apache Ranger také poskytuje některé pokročilé funkce, jako jsou bezpečnostní zóny (logické rozdělení bezpečnostních politik), Deny policy a vypršení platnosti politiky (nastavení politiky, která je povolena pouze na omezenou dobu). Tyto funkce v kombinaci s dalšími funkcemi popsanými výše vytvářejí silnou základnu pro definování účinných, škálovatelných a spravovatelných bezpečnostních politik OpDBMS.
U rozsáhlých prostředí OpDB lze k přesnému řízení přístupu OpDBMS použít popisné atributy pomocí minimální sady zásad řízení přístupu. Následují popisné atributy:
- Skupina Active Directory (AD)
- Značky nebo klasifikace založené na Atlasu Apache
- geografická poloha a další atributy předmětů, zdrojů a vlastností prostředí
Jakmile jsou zásady Apache Ranger definovány, lze je také exportovat/importovat do jiného prostředí OpDBMS, které vyžaduje stejné řízení přístupu s minimálním úsilím.
Tento přístup umožňuje pracovníkům zajišťujícím dodržování předpisů a správcům zabezpečení definovat přesné a intuitivní zásady zabezpečení vyžadované předpisy, jako je GDPR, na jemné úrovni.
Oprávnění správce databáze
Apache Ranger poskytuje jemné ovládání, které umožňuje specifickou správu databází pomocí zásad nebo specifických schémat, jako jsou mechanismy udělování a odvolávání. Poskytuje také jemné mapování oprávnění pro konkrétní uživatele a skupiny. To umožňuje autorizovat správce databází pro konkrétní zdroje (sloupce, tabulky, rodiny sloupců atd.) pouze s požadovanými oprávněními.
Kromě toho, když se k šifrování dat v HDFS používají schopnosti TDE, mohou být správci nebo operátoři selektivně zablokováni v možnosti dešifrovat data. Toho je dosaženo pomocí specifických zásad přístupu ke klíčům, což znamená, že i když mohou provádět administrativní operace, nemohou prohlížet ani měnit základní šifrovaná data, protože nemají přístup ke klíčům.
Detekce a blokování neoprávněného použití
Několik dotazovacích strojů Cloudera má variabilní vazbu a kompilaci dotazů, díky čemuž je kód méně zranitelný vůči uživatelskému vstupu a zabraňuje injekcím SQL. Dynamické penetrační testování a statické skenování kódu se provádí napříč naší platformou, abychom odhalili SQL injection a další zranitelnosti pro každé vydání pro zákazníky a opravili je v každé komponentě.
Neoprávněné použití lze zablokovat vhodnými zásadami pomocí komplexního bezpečnostního rámce Apache Ranger.
Model s nejnižšími oprávněními
Apache Ranger poskytuje výchozí chování odmítnutí v OpDB. Pokud uživatel nemá explicitně uděleno oprávnění k přístupu ke zdroji jakoukoli zásadou, je mu automaticky odepřeno.
Explicitní privilegované operace musí být autorizovány zásadami. Privilegovaní uživatelé a operace jsou mapovány na konkrétní role.
V Apache Ranger jsou také k dispozici delegovaná administrační zařízení, která poskytují explicitní operace a správu oprávnění pro konkrétní skupiny prostředků prostřednictvím zásad.
Závěr
Toto byla část 1 blogového příspěvku Operational Database Security. Podívali jsme se na různé bezpečnostní funkce a možnosti, které Cloudera OpDB poskytuje.
Pro více informací o funkcích a možnostech souvisejících se zabezpečením OpDB Cloudera již brzy zveřejníme článek 2 na blogu!
Další informace o nabídce provozní databáze Cloudera naleznete v části Provozní databáze Cloudera.