Функции безопасности Hadoop --------------------------- Для организаций, которые хранят конфиденциальные данные в экосистеме **Hadoop**, например, запатентованные или персональные данные, которые подлежат соблюдению нормативных требований (**HIPPA**, **PCI**, **DSS**, **FISAM** и т.д.), безопасность очень важна. Многие организации также должны придерживаться строгой внутренней политики безопасности. **Arenadata Hadoop** (далее – **ADH**) обеспечивает комплексный подход к безопасности в следующих ключевых областях: безопасность периметра, аутентификация, авторизация, отчетность, защита данных. Безопасность периметра ^^^^^^^^^^^^^^^^^^^^^^ **ADH** позволяет изолировать кластер **Hadoop** с помощью шлюза и правильно настроенных правил брандмауэра. **ADH** поддерживает следующую защиту периметра: + Apache Knox Gateway; + Клиенты шлюза. Аутентификация ^^^^^^^^^^^^^^ **ADH** предоставляет единую точку аутентификации для сервисов и пользователей, которая интегрируется с существующими системами идентификации предприятия и доступа. **ADH** поддерживает следующие службы аутентификации: + Kerberos; + LDAP; + Локальная система Unix; + SSO (по периметру через Apache Knox Gateway). Авторизация (контроль доступа) ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ **ADH** предоставляет функции, позволяющие системным администраторам контролировать доступ к данным **Hadoop** с использованием авторизации на основе ролей. **ADH** поддерживает следующие модели авторизации: + Высококачественное управление доступом для данных, хранящихся в HDFS; + Контроль доступа на уровне ресурсов для YARN; + Контроль доступа на крупнозернистом уровне для операций MapReduce; + Контроль доступа на уровне семейства таблиц и столбцов для данных HBase; + Контроль доступа на уровне таблицы для наборов данных Apache Hive. Отчетность (аудит и мониторинг безопасности) ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ **ADH** позволяет отслеживать активность **Hadoop**, используя Native Auditing, журналы аудита безопасности периметра на шлюзе **Knox**, и из центрального расположения консоли администрирования **ADH**, включая: + Запросы доступа; + Операции обработки данных; + Изменение данных. Защита данных ^^^^^^^^^^^^^ **ADH** предоставляет механизмы для шифрования данных при их передаче и требует использования партнерских решений для шифрования данных в состоянии покоя, их поиска и маскирования. **ADH** поддерживает следующие методы шифрования: + SSL для компонентов ADH (данный режим подходит не для всех окружений и сервисов стека, в частности возможны проблемы при взаимодействии внутренних сервисов по данному протоколу); + Шифрование RPC; + Протокол передачи данных.