01
—
Cloudera 安全概述
作为旨在支持大量和类型的数据的系统,Cloudera集群必须满足监管机构,政府,行业和公众提出的不断发展的安全要求。Cloudera集群包含Hadoop核心和生态系统组件,必须保护所有这些组件免受各种威胁,以确保所有集群服务和数据的机密性、完整性和可用性。
02
—
安全要求
数据管理系统的目标(例如机密性,完整性和可用性)要求在多个维度上对系统进行保护。可以根据总体操作目标和技术概念来表征这些特征,如下图所示:
确保集群安全以实现特定的组织目标涉及使用Hadoop生态系统固有的安全功能以及使用外部安全基础架构。各种安全机制可以在一定范围内应用。
03
—
安全等级
下图显示了可以为Cloudera集群实现的安全级别范围,从非安全(0)到最安全(3)。随着群集上数据的敏感度和数据量的增加,为群集选择的安全级别也应增加。
有了3级安全性,您的Cloudera集群就可以完全符合各种行业和法规要求,并可以在必要时进行审核。下表更详细地描述了这些级别:
级别 | 安全 | 特点 |
---|---|---|
0 | 不安全 | 未配置安全性。非安全集群绝对不能在生产环境中使用,因为它们容易受到任何和所有攻击和利用。 |
1个 | 最小 | 配置用于身份验证,授权和审核。首先配置身份验证,以确保用户和服务仅在证明其身份后才能访问群集。接下来,应用授权机制为用户和用户组分配特权。审核过程跟踪谁访问群集(以及如何访问)。 |
2 | 更多 | 敏感数据已加密。密钥管理系统处理加密密钥。已经为元存储中的数据设置了审核。定期检查和更新系统元数据。理想情况下,已经设置了集群,以便可以跟踪任何数据对象的沿袭(数据管理)。 |
3 | 最安全 | 安全企业数据中心(EDH)是其中所有数据(包括静态数据和传输中数据)都经过加密并且密钥管理系统具有容错能力的企业。审核机制符合行业,政府和法规标准(例如PCI,HIPAA和NIST),并从EDH扩展到与其集成的其他系统。群集管理员训练有素,安全程序已通过专家认证,并且群集可以通过技术审查。 |
04
—
Hadoop安全架构
下图是生产型Cloudera企业集群中许多工作组件中某些组件的示例。该图突出显示了需要保护可能从内部和外部数据馈送以及可能跨多个数据中心摄取数据的群集的安全性的需求。要确保群集安全,就需要在所有许多内部和内部连接中以及要查询,运行作业甚至查看群集中保存的数据的所有用户中应用身份验证和访问控制。
来源:https://docs.cloudera.com/cloudera-manager/7.0.3/security-overview/topics/cm-security-overview.html