Функции безопасности Hadoop

Для организаций, которые хранят конфиденциальные данные в экосистеме Hadoop, например, запатентованные или персональные данные, которые подлежат соблюдению нормативных требований (HIPPA, PCI, DSS, FISAM и т.д.), безопасность очень важна. Многие организации также должны придерживаться строгой внутренней политики безопасности.

Arenadata Hadoop (далее – ADH) обеспечивает комплексный подход к безопасности в следующих ключевых областях: безопасность периметра, аутентификация, авторизация, отчетность, защита данных.

Безопасность периметра

ADH позволяет изолировать кластер Hadoop с помощью шлюза и правильно настроенных правил брандмауэра. ADH поддерживает следующую защиту периметра:

  • Apache Knox Gateway;
  • Клиенты шлюза.

Аутентификация

ADH предоставляет единую точку аутентификации для сервисов и пользователей, которая интегрируется с существующими системами идентификации предприятия и доступа. ADH поддерживает следующие службы аутентификации:

  • Kerberos;
  • LDAP;
  • Локальная система Unix;
  • SSO (по периметру через Apache Knox Gateway).

Авторизация (контроль доступа)

ADH предоставляет функции, позволяющие системным администраторам контролировать доступ к данным Hadoop с использованием авторизации на основе ролей. ADH поддерживает следующие модели авторизации:

  • Высококачественное управление доступом для данных, хранящихся в HDFS;
  • Контроль доступа на уровне ресурсов для YARN;
  • Контроль доступа на крупнозернистом уровне для операций MapReduce;
  • Контроль доступа на уровне семейства таблиц и столбцов для данных HBase;
  • Контроль доступа на уровне таблицы для наборов данных Apache Hive.

Отчетность (аудит и мониторинг безопасности)

ADH позволяет отслеживать активность Hadoop, используя Native Auditing, журналы аудита безопасности периметра на шлюзе Knox, и из центрального расположения консоли администрирования ADH, включая:

  • Запросы доступа;
  • Операции обработки данных;
  • Изменение данных.

Защита данных

ADH предоставляет механизмы для шифрования данных при их передаче и требует использования партнерских решений для шифрования данных в состоянии покоя, их поиска и маскирования. ADH поддерживает следующие методы шифрования:

  • SSL для компонентов ADH (данный режим подходит не для всех окружений и сервисов стека, в частности возможны проблемы при взаимодействии внутренних сервисов по данному протоколу);
  • Шифрование RPC;
  • Протокол передачи данных.