Trong bài đăng trên blog này, chúng ta sẽ xem xét một số tính năng bảo mật liên quan đến OpDB của việc triển khai CDP Private Cloud Base. Chúng ta sẽ nói về mã hóa, xác thực và ủy quyền.
Mã hóa dữ liệu lúc nghỉ
Mã hóa dữ liệu trong suốt khi nghỉ có sẵn thông qua tính năng Mã hóa dữ liệu minh bạch (TDE) trong HDFS.
TDE cung cấp các tính năng sau:
- Mã hóa dữ liệu đầu cuối, minh bạch
- Phân tách nhiệm vụ giữa trách nhiệm hành chính và mật mã
- Các tính năng quản lý vòng đời chính hoàn thiện
Khóa chính để mã hóa chính EZKs có thể được đặt trong ký quỹ trong mô-đun bảo mật phần cứng (HSM), chẳng hạn như Safenet Luna, Amazon KMS hoặc Thales nShield.
Ngoài ra, việc triển khai đám mây của chúng tôi cho các cửa hàng gốc trên đám mây cũng có thể hỗ trợ ký quỹ khóa mã hóa với cơ sở hạ tầng do nhà cung cấp đám mây cung cấp, chẳng hạn như AWS KMS hoặc Azure Key Vault.
Mã hóa qua dây
OpDB sử dụng giao thức bảo mật Bảo mật lớp truyền tải (TLS) để mã hóa dây. Nó cung cấp xác thực, quyền riêng tư và tính toàn vẹn dữ liệu giữa các ứng dụng giao tiếp qua mạng. OpDB hỗ trợ tính năng Auto-TLS giúp đơn giản hóa quá trình bật và quản lý mã hóa TLS trên cụm của bạn. Cả Apache Phoenix và Apache HBase (Web UIs, Thrift Server và REST Server) đều hỗ trợ Auto-TLS.
Dịch vụ Quản lý Chìa khóa Kiểm lâm
Ranger KMS chứa các khóa vùng mã hóa (EZK) cần thiết để giải mã các khóa mã hóa dữ liệu cần thiết để đọc nội dung được giải mã trong tệp. Thông qua RangerKMS, người dùng có thể thực hiện các chính sách cho quyền truy cập chính và tách biệt với quyền truy cập vào dữ liệu cơ bản. Các EZK được lưu trữ trong một cơ sở dữ liệu an toàn trong KMS. Cơ sở dữ liệu này có thể được triển khai ở chế độ bảo mật một cách chọn lọc trong các nút cụm.
Các EZK được mã hóa bằng khóa chính được ngoại hóa vào HSM để tăng cường bảo mật. Các giao diện quản lý chính sách và cấu hình cho phép xoay khóa và lập phiên bản khóa. Kiểm tra truy cập trong Apache Ranger hỗ trợ theo dõi các khóa truy cập.
Giải mã
Việc giải mã chỉ xảy ra ở máy khách và không có khóa vùng nào rời khỏi KMS trong quá trình giải mã.
Do sự tách biệt giữa các nhiệm vụ (ví dụ:các nhà khai thác nền tảng không thể truy cập vào dữ liệu được mã hóa ở chế độ nghỉ), nó có thể được kiểm soát ai có thể truy cập nội dung được giải mã trong những điều kiện ở mức rất chi tiết. Sự tách biệt này được xử lý nguyên bản trong Apache Ranger thông qua các chính sách chi tiết để hạn chế người vận hành truy cập vào dữ liệu được giải mã.
Có thể thực hiện xoay và chuyển phím từ cùng một giao diện quản lý được cung cấp trong Ranger KMS.
Tiêu chuẩn Chứng nhận Bảo mật
Nền tảng của Cloudera cung cấp một số biện pháp kiểm soát tuân thủ và bảo mật quan trọng cần thiết cho việc triển khai của khách hàng cụ thể để được chứng nhận tuân thủ các tiêu chuẩn cho PCi, HIPAA, GDPR, ISO 270001 và hơn thế nữa.
Ví dụ, nhiều tiêu chuẩn này yêu cầu mã hóa dữ liệu ở trạng thái nghỉ và chuyển động. Mã hóa có khả năng mở rộng mạnh mẽ cho dữ liệu ở trạng thái nghỉ thông qua HDFS TDE và dữ liệu đang chuyển động thông qua tính năng Auto-TLS được cung cấp nguyên bản trong nền tảng của chúng tôi. Ranger KMS cũng được cung cấp cho phép thực hiện các chính sách, quản lý vòng đời và ký quỹ chìa khóa vào HSM chống giả mạo. Ký quỹ khóa cũng được hỗ trợ với cơ sở hạ tầng do nhà cung cấp dịch vụ đám mây cung cấp.
Kết hợp với các kiểm soát AAA (Xác thực, Ủy quyền và Kiểm tra) khác có sẵn cho nền tảng của chúng tôi, trong việc triển khai Trung tâm dữ liệu CDP, OpDB của chúng tôi có thể đáp ứng nhiều yêu cầu của PCI, HIPAA, ISO 27001 và hơn thế nữa.
Các dịch vụ Dịch vụ Hoạt động của chúng tôi cũng được chứng nhận tuân thủ SOC. Để biết thêm thông tin, hãy xem Dịch vụ hoạt động.
Xác thực
Xác thực Người dùng
Nền tảng của Cloudera hỗ trợ các hình thức xác thực người dùng sau:
- Kerberos
- Tên người dùng / mật khẩu LDAP
- SAML
- OAuth (sử dụng Apache Knox)
Ủy quyền
Kiểm soát truy cập dựa trên thuộc tính
Cloudera’s OpDBMS cung cấp Kiểm soát truy cập dựa trên vai trò (RBAC) và Kiểm soát truy cập dựa trên thuộc tính (ABAC) thông qua Apache Ranger, được bao gồm như một phần của nền tảng.
Quyền có thể được cung cấp ở cấp ô, cấp họ cột, cấp bảng, cấp không gian tên hoặc toàn cầu. Điều này cho phép sự linh hoạt trong việc xác định các vai trò như quản trị viên toàn cầu, quản trị viên không gian tên, quản trị viên bảng hoặc thậm chí chi tiết hơn nữa hoặc bất kỳ sự kết hợp nào của các phạm vi này.
Apache Ranger cung cấp khuôn khổ tập trung để xác định, điều hành và quản lý các chính sách bảo mật một cách nhất quán trên toàn hệ sinh thái dữ liệu lớn. Các chính sách dựa trên ABAC có thể bao gồm sự kết hợp của chủ đề (người dùng), hành động (ví dụ:tạo hoặc cập nhật), tài nguyên (ví dụ:bảng hoặc họ cột) và thuộc tính môi trường để tạo ra một chính sách chi tiết cho ủy quyền.
Apache Ranger cũng cung cấp một số tính năng nâng cao như vùng bảo mật (phân chia hợp lý các chính sách bảo mật), chính sách Từ chối và thời gian hết hạn chính sách (thiết lập chính sách chỉ được bật trong thời gian giới hạn). Các tính năng này, kết hợp với các tính năng khác được mô tả ở trên, tạo cơ sở vững chắc để xác định các chính sách bảo mật OpDBMS hiệu quả, có thể mở rộng và quản lý được.
Đối với môi trường OpDB quy mô lớn, các thuộc tính mô tả có thể được sử dụng để kiểm soát chính xác quyền truy cập OpDBMS bằng cách sử dụng một bộ chính sách kiểm soát truy cập tối thiểu. Sau đây là các thuộc tính mô tả:
- Nhóm Active Directory (AD)
- Thẻ hoặc phân loại dựa trên Apache Atlas
- vị trí địa lý và các thuộc tính khác của đối tượng, thuộc tính tài nguyên và môi trường
Sau khi được xác định, các chính sách của Apache Ranger cũng có thể được xuất / nhập vào một môi trường OpDBMS khác yêu cầu kiểm soát truy cập tương tự với nỗ lực rất nhỏ.
Cách tiếp cận này cho phép nhân viên tuân thủ và quản trị viên bảo mật xác định các chính sách bảo mật chính xác và trực quan theo yêu cầu của các quy định, chẳng hạn như GDPR, ở mức chi tiết.
Ủy quyền của Quản trị viên Cơ sở dữ liệu
Apache Ranger cung cấp khả năng kiểm soát chi tiết để cho phép quản lý cơ sở dữ liệu cụ thể bằng cách sử dụng các chính sách hoặc chương trình cụ thể như cơ chế cấp và thu hồi. Nó cũng cung cấp ánh xạ quyền chi tiết cho người dùng và nhóm cụ thể. Điều đó làm cho nó có thể ủy quyền DBA cho các tài nguyên cụ thể (cột, bảng, họ cột, v.v.) chỉ với các quyền được yêu cầu.
Ngoài ra, khi các khả năng TDE được sử dụng để mã hóa dữ liệu trong HDFS, quản trị viên hoặc nhà điều hành có thể bị chọn lọc chặn khả năng giải mã dữ liệu. Điều này đạt được với các chính sách truy cập khóa cụ thể, có nghĩa là mặc dù họ có thể thực hiện các thao tác quản trị, họ không thể xem hoặc thay đổi dữ liệu được mã hóa cơ bản vì họ không có quyền truy cập khóa.
Phát hiện và chặn việc sử dụng trái phép
Một số công cụ truy vấn của Cloudera có liên kết biến và biên dịch truy vấn làm cho mã ít bị tấn công bởi người dùng nhập và ngăn chặn việc đưa vào SQL. Kiểm tra thâm nhập động và quét mã tĩnh được thực hiện trên nền tảng của chúng tôi để phát hiện chèn SQL và các lỗ hổng bảo mật khác cho mọi bản phát hành dành cho khách hàng và được khắc phục trong từng thành phần.
Việc sử dụng trái phép có thể bị chặn bằng các chính sách phù hợp sử dụng khung bảo mật toàn diện của Apache Ranger.
Mô hình Đặc quyền Ít nhất
Apache Ranger cung cấp một hành vi từ chối mặc định trong OpDB. Nếu người dùng không được bất kỳ chính sách nào cấp quyền rõ ràng để truy cập tài nguyên, họ sẽ tự động bị từ chối.
Các hoạt động đặc quyền rõ ràng phải được các chính sách cho phép. Người dùng đặc quyền và các hoạt động được ánh xạ tới các vai trò cụ thể.
Các cơ sở quản trị được ủy quyền cũng có sẵn trong Apache Ranger để cung cấp các hoạt động và quản lý đặc quyền rõ ràng cho các nhóm tài nguyên cụ thể thông qua các chính sách.
Kết luận
Đây là Phần 1 của bài đăng trên blog Bảo mật Cơ sở dữ liệu Hoạt động. Chúng tôi đã xem xét các tính năng và khả năng bảo mật khác nhau mà OpDB của Cloudera cung cấp.
Để biết thêm thông tin về các tính năng và khả năng liên quan đến bảo mật của OpDB của Cloudera, một bài đăng trên blog Phần 2 sẽ sớm ra mắt!
Để biết thêm thông tin về việc cung cấp Cơ sở dữ liệu hoạt động của Cloudera, hãy xem Cơ sở dữ liệu hoạt động của Cloudera.