In diesem Blogbeitrag werfen wir einen Blick auf einige der OpDB-bezogenen Sicherheitsfunktionen einer CDP Private Cloud Base-Bereitstellung. Wir werden über Verschlüsselung, Authentifizierung und Autorisierung sprechen.
Data-at-Rest-Verschlüsselung
Transparente Data-at-Rest-Verschlüsselung ist über die Funktion Transparent Data Encryption (TDE) in HDFS verfügbar.
TDE bietet die folgenden Funktionen:
- Transparente Ende-zu-Ende-Verschlüsselung von Daten
- Aufgabentrennung zwischen kryptografischen und administrativen Verantwortlichkeiten
- Ausgereifte Schlüssellebenszyklusverwaltungsfunktionen
Der Hauptschlüssel zum Verschlüsseln der EZKs selbst kann in einem Hardwaresicherheitsmodul (HSM) wie Safenet Luna, Amazon KMS oder Thales nShield hinterlegt werden.
Darüber hinaus können unsere Cloud-Bereitstellungen für Cloud-native Stores auch die Hinterlegung von Verschlüsselungsschlüsseln mit einer von Cloud-Anbietern bereitgestellten Infrastruktur wie AWS KMS oder Azure Key Vault unterstützen.
Over-the-Wire-Verschlüsselung
OpDB verwendet das Sicherheitsprotokoll Transport Layer Security (TLS) für die Kabelverschlüsselung. Es bietet Authentifizierung, Datenschutz und Datenintegrität zwischen Anwendungen, die über ein Netzwerk kommunizieren. OpDB unterstützt die Auto-TLS-Funktion, die das Aktivieren und Verwalten der TLS-Verschlüsselung in Ihrem Cluster erheblich vereinfacht. Sowohl Apache Phoenix als auch Apache HBase (Web-UIs, Thrift-Server und REST-Server) unterstützen Auto-TLS.
Ranger-Schlüsselverwaltungsdienst
Ranger KMS enthält die Verschlüsselungszonenschlüssel (EZKs), die zum Entschlüsseln der Datenverschlüsselungsschlüssel erforderlich sind, die zum Lesen entschlüsselter Inhalte in Dateien erforderlich sind. Über RangerKMS können Benutzer Richtlinien für den Schlüsselzugriff implementieren, die sich vom Zugriff auf zugrunde liegende Daten trennen und unterscheiden. Die EZKs werden in einer sicheren Datenbank innerhalb des KMS gespeichert. Diese Datenbank kann selektiv in den Cluster-Knoten in einem gesicherten Modus bereitgestellt werden.
Die EZKs werden mit einem Hauptschlüssel verschlüsselt, der für zusätzliche Sicherheit in HSMs ausgelagert wird. Die Konfigurations- und Richtlinienverwaltungsschnittstellen ermöglichen Schlüsselrotation und Schlüsselversionierung. Zugriffsprüfungen in Apache Ranger unterstützen die Nachverfolgung von Zugriffsschlüsseln.
Entschlüsselung
Die Entschlüsselung erfolgt nur auf dem Client, und während des Entschlüsselungsprozesses verlässt kein Zonenschlüssel den KMS.
Durch die Aufgabentrennung (z. B. können Plattformbetreiber keinen Zugriff auf verschlüsselte Daten im Ruhezustand erhalten) lässt sich sehr feingranular steuern, wer unter welchen Bedingungen auf entschlüsselte Inhalte zugreifen darf. Diese Trennung wird nativ in Apache Ranger durch feinkörnige Richtlinien gehandhabt, um den Zugriff von Operatoren auf entschlüsselte Daten zu beschränken.
Schlüsselrotation und Rollover können über die gleiche Verwaltungsschnittstelle durchgeführt werden, die in Ranger KMS bereitgestellt wird.
Sicherheitszertifizierungsstandards
Die Plattform von Cloudera bietet mehrere der wichtigsten Compliance- und Sicherheitskontrollen, die für bestimmte Kundenimplementierungen erforderlich sind, um für die Einhaltung von Standards für PCI, HIPAA, GDPR, ISO 270001 und mehr zertifiziert zu werden.
Beispielsweise erfordern viele dieser Standards die Verschlüsselung von Daten im Ruhezustand und in Bewegung. Robuste, skalierbare Verschlüsselung für ruhende Daten durch HDFS TDE und Daten in Bewegung durch die Auto-TLS-Funktion werden nativ in unserer Plattform bereitgestellt. Ranger KMS wird ebenfalls bereitgestellt, das Richtlinien, Lebenszyklusmanagement und Schlüsselhinterlegung in manipulationssicheren HSMs ermöglicht. Die Schlüsselhinterlegung wird auch mit der vom Cloud-Anbieter bereitgestellten Infrastruktur unterstützt.
In Kombination mit anderen AAA-Kontrollen (Authentifizierung, Autorisierung und Audits), die für unsere Plattform verfügbar sind, kann unsere OpDB in einer CDP-Rechenzentrumsbereitstellung viele der Anforderungen von PCI, HIPAA, ISO 27001 und mehr erfüllen.
Unsere Operational Services-Angebote sind auch für die SOC-Konformität zertifiziert. Weitere Informationen finden Sie unter Betriebsdienste.
Authentifizierung
Benutzerauthentifizierung
Die Plattform von Cloudera unterstützt die folgenden Formen der Benutzerauthentifizierung:
- Kerberos
- LDAP-Benutzername/Passwort
- SAML
- OAuth (unter Verwendung von Apache Knox)
Autorisierung
Attributbasierte Zugriffskontrolle
OpDBMS von Cloudera bietet rollenbasierte Zugriffskontrolle (RBAC) und attributbasierte Zugriffskontrolle (ABAC) über Apache Ranger, der Teil der Plattform ist.
Die Autorisierung kann auf Zellebene, Spaltenfamilienebene, Tabellenebene, Namespace-Ebene oder global bereitgestellt werden. Dies ermöglicht Flexibilität bei der Definition von Rollen als globale Administratoren, Namespace-Administratoren, Tabellenadministratoren oder sogar eine weitere Granularität oder eine beliebige Kombination dieser Bereiche.
Apache Ranger bietet das zentralisierte Framework, um Sicherheitsrichtlinien konsistent im gesamten Big-Data-Ökosystem zu definieren, zu verwalten und zu verwalten. ABAC-basierte Richtlinien können eine Kombination aus Betreff (Benutzer), Aktion (z. B. Erstellen oder Aktualisieren), Ressource (z. B. Tabellen- oder Spaltenfamilie) und Umgebungseigenschaften enthalten, um eine feinkörnige Richtlinie für die Autorisierung zu erstellen.
Apache Ranger bietet auch einige erweiterte Funktionen wie Sicherheitszonen (logische Unterteilung von Sicherheitsrichtlinien), Verweigerungsrichtlinien und Ablaufzeitraum für Richtlinien (Einrichten einer Richtlinie, die nur für eine begrenzte Zeit aktiviert ist). Diese Funktionen schaffen in Kombination mit anderen oben beschriebenen Funktionen eine starke Basis, um effektive, skalierbare und verwaltbare OpDBMS-Sicherheitsrichtlinien zu definieren.
Für große OpDB-Umgebungen können beschreibende Attribute verwendet werden, um den OpDBMS-Zugriff mit einem minimalen Satz von Zugriffssteuerungsrichtlinien genau zu steuern. Die folgenden sind beschreibende Attribute:
- Active Directory (AD)-Gruppe
- Apache Atlas-basierte Tags oder Klassifizierungen
- geografischer Standort und andere Attribute der Themen, Ressourcen und Umgebungseigenschaften
Einmal definiert, können Apache Ranger-Richtlinien auch mit sehr minimalem Aufwand in eine andere OpDBMS-Umgebung exportiert/importiert werden, die die gleiche Zugriffskontrolle erfordert.
Dieser Ansatz ermöglicht es Compliance-Mitarbeitern und Sicherheitsadministratoren, präzise und intuitive Sicherheitsrichtlinien, die von Vorschriften wie der DSGVO gefordert werden, auf feingranularer Ebene zu definieren.
Datenbankadministrator-Autorisierung
Apache Ranger bietet eine feinkörnige Steuerung, um eine spezifische Verwaltung von Datenbanken mithilfe von Richtlinien oder spezifischen Schemata wie Gewährungs- und Widerrufsmechanismen zu ermöglichen. Es bietet auch eine feinkörnige Berechtigungszuordnung für bestimmte Benutzer und Gruppen. Dadurch ist es möglich, DBAs für bestimmte Ressourcen (Spalten, Tabellen, Spaltenfamilien usw.) nur mit den erforderlichen Berechtigungen zu autorisieren.
Wenn TDE-Fähigkeiten zum Verschlüsseln von Daten in HDFS verwendet werden, können die Administratoren oder Bediener außerdem selektiv daran gehindert werden, Daten zu entschlüsseln. Dies wird durch spezifische Schlüsselzugriffsrichtlinien erreicht, was bedeutet, dass sie zwar Verwaltungsvorgänge ausführen können, aber die zugrunde liegenden verschlüsselten Daten nicht anzeigen oder ändern können, da sie keinen Schlüsselzugriff haben.
Unberechtigte Nutzung erkennen und blockieren
Mehrere der Abfrage-Engines von Cloudera verfügen über Variablenbindung und Abfragekompilierung, wodurch der Code weniger anfällig für Benutzereingaben ist und SQL-Injektionen verhindert werden. Dynamische Penetrationstests und statische Code-Scans werden auf unserer gesamten Plattform durchgeführt, um SQL-Injection und andere Schwachstellen für jede kundenseitige Version zu erkennen und in jeder Komponente zu beheben.
Die nicht autorisierte Nutzung kann durch geeignete Richtlinien unter Verwendung des umfassenden Sicherheits-Frameworks von Apache Ranger blockiert werden.
Least-Privilege-Modell
Apache Ranger stellt in OpDB ein standardmäßiges Deny-Verhalten bereit. Wenn einem Benutzer durch keine Richtlinie ausdrücklich die Berechtigung zum Zugriff auf eine Ressource erteilt wurde, wird ihm dies automatisch verweigert.
Explizite privilegierte Operationen müssen durch Richtlinien autorisiert werden. Privilegierte Benutzer und Vorgänge werden bestimmten Rollen zugeordnet.
Delegierte Verwaltungsfunktionen sind auch in Apache Ranger verfügbar, um explizite Privilegienoperationen und -verwaltung für bestimmte Ressourcengruppen durch Richtlinien bereitzustellen.
Schlussfolgerung
Dies war Teil 1 des Blogbeitrags Operational Database Security. Wir haben uns verschiedene Sicherheitsfunktionen und -funktionen angesehen, die OpDB von Cloudera bietet.
Weitere Informationen zu den sicherheitsrelevanten Funktionen und Fähigkeiten von Clouderas OpDB finden Sie in Kürze in einem Blogbeitrag zu Teil 2!
Weitere Informationen zu Clouderas Operational Database-Angebot finden Sie unter Cloudera Operational Database.