HBase
 sql >> Database >  >> NoSQL >> HBase

Sicurezza del database operativo – Parte 1

In questo post del blog, daremo un'occhiata ad alcune delle funzionalità di sicurezza relative a OpDB di una distribuzione di CDP Private Cloud Base. Parleremo di crittografia, autenticazione e autorizzazione.

Crittografia dei dati inattivi

La crittografia trasparente dei dati inattivi è disponibile tramite la funzione Transparent Data Encryption (TDE) in HDFS.

TDE fornisce le seguenti funzionalità:

  • Crittografia dei dati end-to-end trasparente
  • Separazione dei compiti tra responsabilità crittografica e amministrativa
  • Funzionalità di gestione del ciclo di vita chiave mature

La chiave principale per crittografare gli EZK può essere collocata in deposito a garanzia in un modulo di sicurezza hardware (HSM), come Safenet Luna, Amazon KMS o Thales nShield.

Inoltre, le nostre implementazioni cloud per i negozi nativi del cloud possono anche supportare l'escrow delle chiavi di crittografia con l'infrastruttura fornita dal fornitore del cloud, come AWS KMS o Azure Key Vault.

Crittografia over-the-wire

OpDB utilizza il protocollo di sicurezza Transport Layer Security (TLS) per la crittografia dei cavi. Fornisce autenticazione, privacy e integrità dei dati tra le applicazioni che comunicano su una rete. OpDB supporta la funzione Auto-TLS che semplifica notevolmente il processo di abilitazione e gestione della crittografia TLS sul tuo cluster. Sia Apache Phoenix che Apache HBase (UI Web, Thrift Server e REST Server) supportano Auto-TLS.

Servizio di gestione delle chiavi del ranger

Ranger KMS ospita le chiavi della zona di crittografia (EZK) necessarie per decrittografare le chiavi di crittografia dei dati necessarie per leggere il contenuto decrittografato nei file. Attraverso RangerKMS, gli utenti possono implementare politiche per l'accesso alle chiavi che separano e si distinguono dall'accesso ai dati sottostanti. Gli EZK sono archiviati in un database sicuro all'interno del KMS. Questo database può essere distribuito in modalità protetta in modo selettivo nei nodi del cluster.

Gli EZK sono crittografati con una chiave master che viene esternalizzata negli HSM per una maggiore sicurezza. Le interfacce di configurazione e gestione dei criteri consentono la rotazione delle chiavi e il controllo delle versioni delle chiavi. Gli audit di accesso in Apache Ranger supportano il tracciamento delle chiavi di accesso.

Decrittografia

La decrittografia avviene solo sul client e nessuna chiave di zona lascia il servizio di gestione delle chiavi durante il processo di decrittografia.

A causa della separazione dei compiti (ad esempio, gli operatori della piattaforma non possono accedere ai dati crittografati inattivi), è possibile controllare chi può accedere al contenuto decrittografato in quali condizioni a un livello molto fine. Questa separazione viene gestita in modo nativo in Apache Ranger attraverso politiche a grana fine per limitare l'accesso degli operatori ai dati decrittografati.

La rotazione e il rollover delle chiavi possono essere eseguiti dalla stessa interfaccia di gestione fornita in Ranger KMS.

Standard di certificazione di sicurezza

La piattaforma di Cloudera fornisce molti dei controlli chiave di conformità e sicurezza richiesti per le implementazioni dei clienti specifiche per essere certificate per la conformità agli standard per PCI, HIPAA, GDPR, ISO 270001 e altro.

Ad esempio, molti di questi standard richiedono la crittografia dei dati inattivi e in movimento. La solida crittografia scalabile per i dati inattivi tramite HDFS TDE e i dati in movimento tramite la funzione Auto-TLS sono forniti in modo nativo nella nostra piattaforma. Viene inoltre fornito il servizio di gestione delle chiavi di Ranger che consente politiche, gestione del ciclo di vita e deposito di chiavi in ​​moduli HSM a prova di manomissione. Il deposito a garanzia delle chiavi è supportato anche con l'infrastruttura fornita dal fornitore cloud.

In combinazione con altri controlli AAA (autenticazione, autorizzazione e audit) disponibili per la nostra piattaforma, in un'implementazione CDP Data Center il nostro OpDB può soddisfare molti dei requisiti di PCI, HIPAA, ISO 27001 e altro.

Le nostre offerte di servizi operativi sono anche certificate per la conformità SOC. Per ulteriori informazioni, vedere Servizi operativi.

Autenticazione

Autenticazione utente

La piattaforma di Cloudera supporta le seguenti forme di autenticazione utente:

  • Kerberos
  • nome utente/password LDAP
  • SAML
  • OAuth (usando Apache Knox)

Autorizzazione

Controllo dell'accesso basato sugli attributi

L'OpDBMS di Cloudera fornisce il controllo dell'accesso basato sul ruolo (RBAC) e il controllo dell'accesso basato sugli attributi (ABAC) tramite Apache Ranger, che è incluso come parte della piattaforma.

L'autorizzazione può essere fornita a livello di cella, di famiglia di colonne, di tabella, di spazio dei nomi oa livello globale. Ciò consente flessibilità nella definizione di ruoli come amministratori globali, amministratori dello spazio dei nomi, amministratori di tabelle o anche ulteriore granularità o qualsiasi combinazione di questi ambiti.

Apache Ranger fornisce il framework centralizzato per definire, amministrare e gestire le policy di sicurezza in modo coerente nell'ecosistema dei big data. Le politiche basate su ABAC possono includere una combinazione di soggetto (utente), azione (ad esempio creazione o aggiornamento), risorsa (ad esempio tabella o famiglia di colonne) e proprietà ambientali per creare una politica a grana fine per l'autorizzazione.

Apache Ranger fornisce anche alcune funzionalità avanzate come le zone di sicurezza (divisione logica delle politiche di sicurezza), le politiche Nega e il periodo di scadenza delle politiche (impostazione di una politica che è abilitata solo per un periodo di tempo limitato). Queste funzionalità, in combinazione con altre funzionalità sopra descritte, creano una solida base per definire politiche di sicurezza OpDBMS efficaci, scalabili e gestibili.

Per ambienti OpDB su larga scala è possibile utilizzare attributi descrittivi per controllare con precisione l'accesso OpDBMS utilizzando un insieme minimo di criteri di controllo degli accessi. I seguenti sono attributi descrittivi:

  • Gruppo Active Directory (AD)
  • Tag o classificazioni basate su Apache Atlas
  • geo-localizzazione e altri attributi dei soggetti, delle risorse e delle proprietà ambientali 

Una volta definite, le politiche di Apache Ranger possono anche essere esportate/importate in un altro ambiente OpDBMS che richiede lo stesso controllo degli accessi con il minimo sforzo.

Questo approccio consente al personale addetto alla conformità e agli amministratori della sicurezza di definire politiche di sicurezza precise e intuitive richieste da normative, come il GDPR, a livello di grana fine.

Autorizzazione amministratore database

Apache Ranger fornisce un controllo granulare per consentire l'amministrazione specifica dei database utilizzando politiche o schemi specifici come meccanismi di concessione e revoca. Fornisce inoltre una mappatura delle autorizzazioni a grana fine per utenti e gruppi specifici. Ciò consente di autorizzare DBA per risorse specifiche (colonne, tabelle, famiglie di colonne e così via) solo con le autorizzazioni richieste.

Inoltre, quando le funzionalità TDE vengono utilizzate per crittografare i dati in HDFS, agli amministratori o agli operatori può essere selettivamente impedito di essere in grado di decrittografare i dati. Ciò si ottiene con politiche di accesso alle chiavi specifiche, il che significa che, anche se possono eseguire operazioni amministrative, non possono visualizzare o modificare i dati crittografati sottostanti perché non hanno accesso alle chiavi.

Rilevamento e blocco dell'utilizzo non autorizzato 

Molti dei motori di query di Cloudera hanno l'associazione di variabili e la compilazione di query, rendendo il codice meno vulnerabile all'input dell'utente e prevenendo le iniezioni SQL. I test di penetrazione dinamici e le scansioni del codice statico vengono eseguiti sulla nostra piattaforma per rilevare SQL injection e altre vulnerabilità per ogni versione rivolta ai clienti e corretti in ogni componente.

L'utilizzo non autorizzato può essere bloccato da politiche adeguate utilizzando il framework di sicurezza completo di Apache Ranger.

Modello con privilegi minimi

Apache Ranger fornisce un comportamento di negazione predefinito in OpDB. Se un utente non dispone dell'autorizzazione esplicitamente concessa da alcuna policy per accedere a una risorsa, viene automaticamente negato.

Le operazioni privilegiate esplicite devono essere autorizzate dalle politiche. Gli utenti e le operazioni con privilegi sono mappati a ruoli specifici.

In Apache Ranger sono disponibili anche strutture di amministrazione delegate per fornire operazioni e gestione di privilegi espliciti per gruppi di risorse specifici tramite policy.

Conclusione

Questa era la parte 1 del post sul blog sulla sicurezza del database operativo. Abbiamo esaminato varie funzionalità e funzionalità di sicurezza fornite da OpDB di Cloudera.

Per ulteriori informazioni sulle funzionalità e sulle funzionalità relative alla sicurezza di OpDB di Cloudera, sarà presto disponibile un post sul blog della Parte 2!

Per ulteriori informazioni sull'offerta del database operativo di Cloudera, vedere Database operativo di Cloudera.