如何使用Sentry实现Hive/Impala的数据脱敏
如何使用Sentry实现Hive/Impala的数据脱敏
温馨提示:要看高清无码套图,请使用手机打开并单击图片放大查看。 Fayson的github:https://github.com/fayson/cdhproject 提示:代码块部分可以左右滑动查看噢
1.文档编写目的
本文主要描述如何使用Sentry实现数据的脱敏(masking of sensitive data elements),高大上的叫法也就是Data Masking。数据脱敏主要是指将原始数据的全部或者部分敏感值进行替换。这样避免了用户未经授权而直接访问原始的值,并保留了底层数据的schema。
灵活的数据脱敏方案应该是底层数据真实的值没有被脱敏,当有用户查询数据时则判断是否屏蔽,取决于用户的具体权限。我们可以使用Sentry控制视图的权限来实现数据脱敏。
本文Fayson会以一个简单的实操例子来介绍如何使用Sentry实现Hive/Impala的数据脱敏。
- 内容概述
1.环境准备及描述
2.创建脱敏视图
3.权限分配及测试
4.总结
- 测试环境
1.CM和CDH版本为5.13.1
- 前置条件
1.集群已启用Kerberos
2.集群已启用Sentry
2.环境准备
准备数据节点使用Hive的超级管理用户来创建employees表及employees_mask视图。
1.准备测试数据
[root@ip-172-31-16-68 datamasking]# vim employees.csv
1,John Smith,123-55-4567,25000.0
2,Jim Bloggs,999-88-7777,35000.0
3,Jane Doe,808-88-0880,45000.0(可左右滑动)
2.创建一个Hive外部表
CREATE EXTERNAL TABLE employees
(key INT, fullname STRING, ssn STRING, salary FLOAT)
ROW FORMAT DELIMITED
FIELDS TERMINATED BY ','
LOCATION '/extwarehouse/data/employees/';(可左右滑动)
在命令行是用beeline连接HiveServer2
[root@ip-172-31-16-68 datamasking]# beeline
beeline> !connect jdbc:hive2://ip-172-31-24-169.ap-southeast-1.compute.internal:10099/;principal=hive/ip-172-31-24-169.ap-southeast-1.compute.internal@FAYSON.COM(可左右滑动)
3.将数据加载到外部表employees的HDFS目录
[root@ip-172-31-16-68 ~]# cd datamasking/
[root@ip-172-31-16-68 datamasking]# ll
total 8
-rw-r--r-- 1 root root 97 Mar 15 23:12 employees.csv
-rw-r--r-- 1 root root 173 Mar 15 23:22 employees.sql
[root@ip-172-31-16-68 datamasking]# hadoop fs -put employees.csv /extwarehouse/data/employees/
[root@ip-172-31-16-68 datamasking]# hadoop fs -ls /extwarehouse/data/employees/
Found 1 items
-rwxrwx--x+ 3 hive hive 97 2018-03-15 23:28 /extwarehouse/data/employees/employees.csv
[root@ip-172-31-16-68 datamasking]# (可左右滑动)
4.验证employees表数据是否正常
3.创建脱敏视图
1.通过视图的方式将employees表中的ssn数据进行脱敏处理,SQL如下:
CREATE VIEW employees_masked AS
SELECT key,
fullname,
CONCAT('***-**-', SUBSTR(ssn, 8, 4)) AS ssn,
"PRIVATE" AS salary
FROM employees;(可左右滑动)
2.在命令行通过Beeline使用Hive管理员用户登录HiveServer2,进行创建视图操作
3.执行SQL查看视图数据
4.创建未脱敏视图
CREATE VIEW employees_unmasked AS
SELECT key, fullname, ssn, salary
FROM employees;(可左右滑动)
查看未脱敏视图数据
4.权限分配及测试
如上图所示,我们现在访问数据一共有4个入口包括HDFS文件,表以及2个视图。最终用户不能访问文件或者表,仅仅被赋权访问视图,然后视图对应到相应的数据遮蔽逻辑。我们通过Sentry来控制Hive/Impala的表或视图的访问,通过Sentry的HDFS ACL同步功能防止用户绕过Hive/Impala去直接访问底层文件。
通过上图可以看出Group A可以访问视图employees_unmasked里未经遮蔽的数据,但是不能直接访问表employees,当然也不能访问底层文件。当然Group A也被授权可以访问视图employees_masked,比如他想将数据下发时做敏感数据脱敏,则也可以从这个视图里取出数据。
而Group B只能访问employees_masked视图里的数据,这个是有敏感数据被屏蔽了的,因为Sentry的控制,他没权限直接访问employees表或者通过HDFS文件去获取真实的被屏蔽的值。
1.创建faysona和faysonb用户对应上图的Group A和Group B
2.使用Hue管理员账号登录创建faysona和faysonb用户
3.使用hive用户登录Hue给faysona和faysonb用户分别授权
4.使用faysona用户登录Hue查看employees_unmasked和employees_masked视图数据
Hive引擎查询employees_masked脱敏视图数据
Hive引擎查询employees_unmasked未脱敏视图
Impala引擎查询employees_masked脱敏视图数据
Impala引擎查询employees_unmasked未脱敏视图数据
在命令行使用faysona用户访问employees表的数据文件
[root@ip-172-31-16-68 ~]# kinit faysona
[root@ip-172-31-16-68 ~]# hadoop fs -cat /extwarehouse/data/employees/employees.csv(可左右滑动)
5.使用faysonb用户登录Hue
Impala引擎查询employees_masked脱敏视图数据
Hive引擎查询employees_masked脱敏视图数据
在命令行使用faysonb用户访问employees表的数据文件
[root@ip-172-31-16-68 ~]# kinit faysonb
[root@ip-172-31-16-68 ~]# hadoop fs -cat /extwarehouse/data/employees/employees.csv(可左右滑动)
5.总结
- 为Hive数据进行脱敏处理可以使用regexp_replace()函数通过正则表达式的方式敏感数据屏蔽,也可以通过自定义的UDF函数来等方式来实现敏感数据脱敏。
- 通过脱敏SQL创建视图,使用Sentry权限控制将脱敏数据的视图提供给不同的用户访问
- 授权访问视图(即使授权ALL)的用户也无权限访问相应表的底层数据文件。
参考:
http://blog.cloudera.com/blog/2013/07/with-sentry-cloudera-fills-hadoops-enterprise-security-gap/
提示:代码块部分可以左右滑动查看噢 为天地立心,为生民立命,为往圣继绝学,为万世开太平。 温馨提示:要看高清无码套图,请使用手机打开并单击图片放大查看。
推荐关注Hadoop实操,第一时间,分享更多Hadoop干货,欢迎转发和分享。
原创文章,欢迎转载,转载请注明:转载自微信公众号Hadoop实操