sql >> Database >  >> NoSQL >> HBase

Operationele databasebeveiliging - deel 1

In deze blogpost gaan we enkele van de OpDB-gerelateerde beveiligingsfuncties van een CDP Private Cloud Base-implementatie bekijken. We gaan het hebben over encryptie, authenticatie en autorisatie.

Data-at-rest-codering

Transparante versleuteling van gegevens in rust is beschikbaar via de functie Transparante gegevensversleuteling (TDE) in HDFS.

TDE biedt de volgende functies:

  • Transparante, end-to-end encryptie van gegevens
  • Scheiding van taken tussen cryptografische en administratieve verantwoordelijkheden
  • Volwassen belangrijke functies voor levenscyclusbeheer

De hoofdsleutel voor het versleutelen van de EZK's zelf kan in escrow worden geplaatst in een hardwarebeveiligingsmodule (HSM), zoals Safenet Luna, Amazon KMS of Thales nShield.

Bovendien kunnen onze cloudimplementaties voor cloud-native winkels ook de escrow van encryptiesleutels ondersteunen met een door de cloudleverancier geleverde infrastructuur, zoals AWS KMS of Azure Key Vault.

Over-the-wire-codering

OpDB gebruikt het Transport Layer Security (TLS)-beveiligingsprotocol voor draadcodering. Het biedt authenticatie, privacy en gegevensintegriteit tussen applicaties die via een netwerk communiceren. OpDB ondersteunt de Auto-TLS-functie die het proces voor het inschakelen en beheren van TLS-versleuteling op uw cluster aanzienlijk vereenvoudigt. Zowel Apache Phoenix als Apache HBase (Web UI's, Thrift Server en REST Server) ondersteunen Auto-TLS.

Ranger-sleutelbeheerservice

Ranger KMS bevat de versleutelingszonesleutels (EZK's) die nodig zijn om de gegevensversleutelingssleutels te ontsleutelen die nodig zijn om ontsleutelde inhoud in bestanden te lezen. Via RangerKMS kunnen gebruikers beleidsregels voor sleuteltoegang implementeren die los staan ​​van en zich onderscheiden van de toegang tot onderliggende gegevens. De EZK's worden opgeslagen in een beveiligde database binnen het KMS. Deze database kan selectief in een beveiligde modus worden geïmplementeerd in de clusterknooppunten.

De EZK's zijn versleuteld met een hoofdsleutel die wordt geëxternaliseerd in HSM's voor extra beveiliging. De interfaces voor configuratie en beleidsbeheer maken sleutelrotatie en sleutelversiebeheer mogelijk. Toegangscontroles in Apache Ranger ondersteunen het volgen van toegangssleutels.

Decodering

Decodering gebeurt alleen bij de client en geen zonesleutel verlaat de KMS tijdens het decoderingsproces.

Door de scheiding van taken (platformoperators kunnen bijvoorbeeld geen toegang krijgen tot versleutelde data in rust), kan op een zeer fijnmazig niveau worden gecontroleerd wie onder welke voorwaarden toegang heeft tot ontsleutelde inhoud. Deze scheiding wordt native afgehandeld in Apache Ranger via fijnmazig beleid om de toegang van operators tot gedecodeerde gegevens te beperken.

Sleutelrotatie en rollover kunnen worden uitgevoerd vanuit dezelfde beheerinterface als in Ranger KMS.

Beveiligingscertificeringsnormen

Het platform van Cloudera biedt een aantal van de belangrijkste nalevings- en beveiligingscontroles die nodig zijn om specifieke klantimplementaties te certificeren voor naleving van de normen voor PCi, HIPAA, AVG, ISO 270001 en meer.

Veel van deze standaarden vereisen bijvoorbeeld versleuteling van gegevens in rust en in beweging. Robuuste schaalbare codering voor gegevens in rust via HDFS TDE en gegevens in beweging via de Auto-TLS-functie worden standaard in ons platform geleverd. Ranger KMS wordt ook geleverd waarmee beleid, levenscyclusbeheer en sleutelbewaring in fraudebestendige HSM's mogelijk zijn. Key escrow wordt ook ondersteund met door de cloudleverancier geleverde infrastructuur.

In combinatie met andere AAA-besturingselementen (authenticatie, autorisatie en audits) die beschikbaar zijn voor ons platform, kan onze OpDB in een CDP-datacenterimplementatie voldoen aan veel van de vereisten van PCI, HIPAA, ISO 27001 en meer.

Onze Operational Services-aanbiedingen zijn ook gecertificeerd voor SOC-compliance. Zie Operationele diensten voor meer informatie.

Verificatie

Gebruikersauthenticatie

Het platform van Cloudera ondersteunt de volgende vormen van gebruikersauthenticatie:

  • Kerberos
  • LDAP gebruikersnaam/wachtwoord
  • SAML
  • OAuth (met Apache Knox)

Autorisatie

Op kenmerken gebaseerde toegangscontrole

Cloudera's OpDBMS biedt Role-Based Access Control (RBAC) en Attribute-Based Access Control (ABAC) via Apache Ranger, dat deel uitmaakt van het platform.

Autorisatie kan worden verleend op celniveau, kolomfamilieniveau, tabelniveau, naamruimteniveau of globaal. Dit biedt flexibiliteit bij het definiëren van rollen als globale beheerders, naamruimtebeheerders, tabelbeheerders of zelfs meer granulariteit of een combinatie van deze scopes.

Apache Ranger biedt het gecentraliseerde raamwerk om beveiligingsbeleid consistent te definiëren, beheren en beheren in het big data-ecosysteem. Op ABAC gebaseerd beleid kan een combinatie van het onderwerp (gebruiker), actie (bijvoorbeeld maken of bijwerken), resource (bijvoorbeeld tabel- of kolomfamilie) en omgevingseigenschappen bevatten om een ​​fijnmazig beleid voor autorisatie te creëren.

Apache Ranger biedt ook enkele geavanceerde functies, zoals beveiligingszones (logische verdeling van beveiligingsbeleid), beleid voor weigeren en vervalperiode van beleid (een beleid instellen dat slechts voor een beperkte tijd is ingeschakeld). Deze functies, in combinatie met andere hierboven beschreven functies, vormen een sterke basis om een ​​effectief, schaalbaar en beheersbaar OpDBMS-beveiligingsbeleid te definiëren.

Voor grootschalige OpDB-omgevingen kunnen beschrijvende kenmerken worden gebruikt om de OpDBMS-toegang nauwkeurig te controleren met een minimale set toegangscontrolebeleidsregels. De volgende zijn beschrijvende kenmerken:

  • Active Directory (AD)-groep
  • Apache Atlas-gebaseerde tags of classificaties
  • geo-locatie en andere kenmerken van de onderwerpen, bronnen en omgevingseigenschappen 

Eenmaal gedefinieerd, kan Apache Ranger-beleid ook worden geëxporteerd / geïmporteerd in een andere OpDBMS-omgeving die dezelfde toegangscontrole vereist met zeer minimale inspanningen.

Deze aanpak stelt compliance-personeel en beveiligingsbeheerders in staat om nauwkeurig en intuïtief beveiligingsbeleid te definiëren dat vereist is door regelgeving, zoals de AVG, op een fijnmazig niveau.

Autorisatie databasebeheerder

Apache Ranger biedt fijnmazige controle om specifiek beheer van databases mogelijk te maken met behulp van beleidsregels of specifieke schema's zoals toekennings- en intrekkingsmechanismen. Het biedt ook fijnmazige machtigingstoewijzing voor specifieke gebruikers en groepen. Dat maakt het mogelijk om DBA's voor specifieke bronnen (kolommen, tabellen, kolomfamilies enzovoort) te autoriseren met alleen de vereiste machtigingen.

Bovendien, wanneer TDE-mogelijkheden worden gebruikt om gegevens in HDFS te versleutelen, kunnen beheerders of operators selectief worden geblokkeerd voor het ontsleutelen van gegevens. Dit wordt bereikt met een specifiek beleid voor sleuteltoegang, wat inhoudt dat hoewel ze administratieve handelingen kunnen uitvoeren, ze de onderliggende versleutelde gegevens niet kunnen bekijken of wijzigen omdat ze geen sleuteltoegang hebben.

Ongeautoriseerd gebruik detecteren en blokkeren 

Verschillende query-engines van Cloudera hebben variabele binding en query-compilatie, waardoor de code minder kwetsbaar is voor gebruikersinvoer en SQL-injecties worden voorkomen. Dynamische penetratietesten en statische codescans worden op ons platform uitgevoerd om SQL-injectie en andere kwetsbaarheden voor elke klantgerichte release te detecteren en in elk onderdeel verholpen.

Ongeautoriseerd gebruik kan worden geblokkeerd door geschikt beleid met behulp van het uitgebreide beveiligingsraamwerk van Apache Ranger.

Minste privilegemodel

Apache Ranger biedt een standaard weigeringsgedrag in OpDB. Als een gebruiker door geen enkel beleid expliciet toestemming heeft verleend voor toegang tot een bron, wordt deze automatisch geweigerd.

Expliciete geprivilegieerde bewerkingen moeten worden geautoriseerd door beleid. Bevoorrechte gebruikers en bewerkingen zijn toegewezen aan specifieke rollen.

Gedelegeerde beheerfaciliteiten zijn ook beschikbaar in Apache Ranger om expliciete privileges te bieden voor bewerkingen en beheer voor specifieke resourcegroepen via beleid.

Conclusie

Dit was deel 1 van de blogpost Operational Database Security. We hebben gekeken naar verschillende beveiligingsfuncties en -mogelijkheden die Cloudera's OpDB biedt.

Voor meer informatie over de beveiligingsgerelateerde functies en mogelijkheden van Cloudera's OpDB komt er binnenkort een deel 2 blogpost!

Voor meer informatie over Cloudera's Operational Database-aanbod, zie Cloudera Operational Database.


  1. Wat is een cursor in MongoDB?

  2. Ingegeven argument moet een enkele string van 12 bytes zijn

  3. Hoe importeer je gegevens van mongodb naar panda's?

  4. Hoe kan ik door live MongoDB-gegevens bladeren of deze opvragen?