HBase
 sql >> Base de Dados >  >> NoSQL >> HBase

Segurança Operacional do Banco de Dados - Parte 1


Nesta postagem do blog, veremos alguns dos recursos de segurança relacionados ao OpDB de uma implantação CDP Private Cloud Base. Vamos falar sobre criptografia, autenticação e autorização.

Criptografia de dados em repouso


A criptografia transparente de dados em repouso está disponível por meio do recurso Transparent Data Encryption (TDE) no HDFS.

O TDE fornece os seguintes recursos:
  • Criptografia de dados transparente e completa
  • Separação de tarefas entre responsabilidades criptográficas e administrativas
  • Recursos principais de gerenciamento de ciclo de vida maduros

A chave mestra para criptografar os EZKs em si pode ser colocada em custódia em um módulo de segurança de hardware (HSM), como Safenet Luna, Amazon KMS ou Thales nShield.

Além disso, nossas implantações de nuvem para lojas nativas de nuvem também podem oferecer suporte a custódia de chave de criptografia com infraestrutura fornecida pelo fornecedor de nuvem, como AWS KMS ou Azure Key Vault.

Criptografia sem fio


O OpDB usa o protocolo de segurança TLS (Transport Layer Security) para criptografia de fio. Ele fornece autenticação, privacidade e integridade de dados entre aplicativos que se comunicam em uma rede. O OpDB é compatível com o recurso Auto-TLS , que simplifica bastante o processo de habilitar e gerenciar a criptografia TLS em seu cluster. Tanto o Apache Phoenix quanto o Apache HBase (UIs da Web, Thrift Server e REST Server) suportam Auto-TLS.

Serviço de gerenciamento de chaves do Ranger


O Ranger KMS abriga as chaves de zona de criptografia (EZKs) necessárias para descriptografar as chaves de criptografia de dados necessárias para ler o conteúdo descriptografado em arquivos. Por meio do RangerKMS, os usuários podem implementar políticas de acesso de chave que se separam e diferem do acesso aos dados subjacentes. Os EZKs são armazenados em um banco de dados seguro dentro do KMS. Esse banco de dados pode ser implantado em um modo seguro seletivamente nos nós do cluster.

Os EZKs são criptografados com uma chave mestra que é externalizada em HSMs para segurança adicional. As interfaces de configuração e gerenciamento de políticas permitem a rotação de chaves e o controle de versão de chaves. As auditorias de acesso no Apache Ranger suportam o rastreamento de chaves de acesso.

Descriptografia


A descriptografia acontece apenas no cliente e nenhuma chave de zona sai do KMS durante o processo de descriptografia.

Devido à separação de funções (por exemplo, os operadores da plataforma não podem acessar dados criptografados em repouso), pode ser controlado quem pode acessar o conteúdo descriptografado sob quais condições em um nível muito refinado. Essa separação é tratada nativamente no Apache Ranger por meio de políticas refinadas para limitar o acesso dos operadores aos dados descriptografados.

A rotação e o rollover da chave podem ser realizados a partir da mesma interface de gerenciamento fornecida no Ranger KMS.

Padrões de certificação de segurança


A plataforma da Cloudera fornece vários dos principais controles de conformidade e segurança necessários para que implantações específicas de clientes sejam certificadas quanto à conformidade com os padrões de PCI, HIPAA, GDPR, ISO 270001 e muito mais.

Por exemplo, muitos desses padrões exigem criptografia de dados em repouso e em movimento. Criptografia robusta e escalável para dados em repouso por meio de HDFS TDE e dados em movimento por meio do recurso Auto-TLS são fornecidos nativamente em nossa plataforma. O Ranger KMS também é fornecido, o que permite políticas, gerenciamento de ciclo de vida e custódia de chaves em HSMs à prova de adulteração. O depósito de chaves também é compatível com a infraestrutura fornecida pelo fornecedor da nuvem.

Combinado com outros controles AAA (Autenticação, Autorização e Auditorias) disponíveis para nossa plataforma, em uma implantação de CDP Data Center, nosso OpDB pode atender a muitos dos requisitos de PCI, HIPAA, ISO 27001 e muito mais.

Nossas ofertas de Serviços Operacionais também são certificadas para conformidade com SOC. Para obter mais informações, consulte Serviços operacionais.

Autenticação

Autenticação do usuário


A plataforma da Cloudera suporta as seguintes formas de autenticação de usuário:
  • Kerberos
  • Nome de usuário/senha do LDAP
  • SAML
  • OAuth (usando Apache Knox)

Autorização

Controle de acesso baseado em atributos


O OpDBMS da Cloudera fornece controle de acesso baseado em função (RBAC) e controle de acesso baseado em atributo (ABAC) por meio do Apache Ranger, que está incluído como parte da plataforma.

A autorização pode ser fornecida em nível de célula, nível de família de colunas, nível de tabela, nível de namespace ou globalmente. Isso permite flexibilidade na definição de funções como administradores globais, administradores de namespace, administradores de tabela ou ainda mais granularidade ou qualquer combinação desses escopos.

O Apache Ranger fornece a estrutura centralizada para definir, administrar e gerenciar políticas de segurança de forma consistente em todo o ecossistema de big data. As políticas baseadas em ABAC podem incluir uma combinação de assunto (usuário), ação (por exemplo, criar ou atualizar), recurso (por exemplo, tabela ou família de colunas) e propriedades ambientais para criar uma política refinada para autorização.

O Apache Ranger também fornece alguns recursos avançados, como zonas de segurança (divisão lógica de políticas de segurança), políticas de negação e período de expiração de política (configurando uma política que é habilitada apenas por tempo limitado). Esses recursos, em combinação com outros recursos descritos acima, criam uma base sólida para definir políticas de segurança OpDBMS eficazes, escaláveis ​​e gerenciáveis.

Para ambientes OpDB de grande escala, os atributos descritivos podem ser usados ​​para controlar com precisão o acesso ao OpDBMS usando um conjunto mínimo de políticas de controle de acesso. A seguir estão atributos descritivos:
  • Grupo do Active Directory (AD)
  • Tags ou classificações baseadas no Apache Atlas
  • localização geográfica e outros atributos dos assuntos, recursos e propriedades do ambiente 

Uma vez definidas, as políticas do Apache Ranger também podem ser exportadas/importadas para outro ambiente OpDBMS que requer o mesmo controle de acesso com esforços mínimos.

Essa abordagem permite que a equipe de conformidade e os administradores de segurança definam políticas de segurança precisas e intuitivas exigidas por regulamentos, como o GDPR, em um nível refinado.

Autorização do administrador do banco de dados


O Apache Ranger fornece controle refinado para permitir a administração específica de bancos de dados usando políticas ou esquemas específicos, como mecanismos de concessão e revogação. Ele também fornece mapeamento de permissão refinado para usuários e grupos específicos. Isso possibilita autorizar DBAs para recursos específicos (colunas, tabelas, famílias de colunas e assim por diante) apenas com as permissões necessárias.

Além disso, quando os recursos TDE são usados ​​para criptografar dados no HDFS, os administradores ou operadores podem ser bloqueados seletivamente para não descriptografar os dados. Isso é obtido com políticas específicas de acesso à chave, o que significa que, embora possam executar operações administrativas, não podem visualizar ou alterar os dados criptografados subjacentes porque não têm acesso à chave.

Detecção e bloqueio de uso não autorizado 


Vários dos mecanismos de consulta da Cloudera têm vinculação variável e compilação de consulta, tornando o código menos vulnerável à entrada do usuário e evitando injeções de SQL. Testes de penetração dinâmicos e varreduras de código estático são realizados em nossa plataforma para detectar injeção de SQL e outras vulnerabilidades para cada versão voltada para o cliente e corrigidas em cada componente.

O uso não autorizado pode ser bloqueado por políticas adequadas usando a estrutura de segurança abrangente do Apache Ranger.

Modelo de privilégio mínimo


O Apache Ranger fornece um comportamento de negação padrão no OpDB. Se um usuário não tiver permissão explicitamente concedida por nenhuma política para acessar um recurso, ele será negado automaticamente.

Operações privilegiadas explícitas devem ser autorizadas por políticas. Usuários e operações privilegiados são mapeados para funções específicas.

Os recursos de administração delegada também estão disponíveis no Apache Ranger para fornecer operações e gerenciamento de privilégios explícitos para grupos de recursos específicos por meio de políticas.

Conclusão


Esta foi a Parte 1 da postagem do blog Operational Database Security. Analisamos vários recursos e recursos de segurança que o OpDB da Cloudera oferece.

Para obter mais informações sobre os recursos e recursos relacionados à segurança do OpDB da Cloudera, uma postagem no blog da Parte 2 está disponível em breve!

Para obter mais informações sobre a oferta de banco de dados operacional da Cloudera, consulte Banco de dados operacional da Cloudera.