Dalam posting blog ini, kita akan melihat beberapa fitur keamanan terkait OpDB dari penerapan CDP Private Cloud Base. Kita akan berbicara tentang enkripsi, otentikasi dan otorisasi.
Enkripsi data tidak aktif
Enkripsi data saat istirahat transparan tersedia melalui fitur Enkripsi Data Transparan (TDE) di HDFS.
TDE menyediakan fitur berikut:
- Enkripsi data yang transparan dan menyeluruh
- Pemisahan tugas antara tanggung jawab kriptografi dan administrasi
- Fitur manajemen siklus hidup utama yang matang
Kunci master untuk mengenkripsi EZK itu sendiri dapat ditempatkan di escrow dalam modul keamanan perangkat keras (HSM), seperti Safenet Luna, Amazon KMS, atau Thales nShield.
Selain itu, penerapan cloud kami untuk toko cloud-native juga dapat mendukung escrow kunci enkripsi dengan infrastruktur yang disediakan vendor cloud, seperti AWS KMS atau Azure Key Vault.
Enkripsi melalui kabel
OpDB menggunakan protokol keamanan Transport Layer Security (TLS) untuk enkripsi kawat. Ini memberikan otentikasi, privasi, dan integritas data antara aplikasi yang berkomunikasi melalui jaringan. OpDB mendukung fitur Auto-TLS yang sangat menyederhanakan proses pengaktifan dan pengelolaan enkripsi TLS di cluster Anda. Baik Apache Phoenix dan Apache HBase (Web UI, Thrift Server, dan REST Server) mendukung Auto-TLS.
Layanan Manajemen Kunci Ranger
Ranger KMS menampung kunci zona enkripsi (EZKs) yang diperlukan untuk mendekripsi kunci enkripsi data yang diperlukan untuk membaca konten yang didekripsi dalam file. Melalui RangerKMS, pengguna dapat menerapkan kebijakan untuk akses kunci yang terpisah dan berbeda dari akses ke data pokok. EZK disimpan dalam database yang aman di dalam KMS. Database ini dapat digunakan dalam mode aman secara selektif di node cluster.
EZK dienkripsi dengan kunci master yang dieksternalisasi ke dalam HSM untuk keamanan tambahan. Konfigurasi dan antarmuka manajemen kebijakan memungkinkan rotasi kunci dan pembuatan versi kunci. Audit akses di Apache Ranger mendukung pelacakan kunci akses.
Dekripsi
Dekripsi hanya terjadi pada klien dan tidak ada kunci zona yang keluar dari KMS selama proses dekripsi.
Karena pemisahan tugas (misalnya, operator platform tidak bisa mendapatkan akses ke data terenkripsi saat istirahat), dapat dikontrol siapa yang dapat mengakses konten yang didekripsi dalam kondisi apa pada tingkat yang sangat halus. Pemisahan ini ditangani secara native di Apache Ranger melalui kebijakan terperinci untuk membatasi akses operator ke data yang didekripsi.
Rotasi dan rollover kunci dapat dilakukan dari antarmuka manajemen yang sama yang disediakan di Ranger KMS.
Standar Sertifikasi Keamanan
Platform Cloudera menyediakan beberapa kepatuhan utama dan kontrol keamanan yang diperlukan untuk penerapan pelanggan tertentu agar disertifikasi agar sesuai dengan standar untuk PCI, HIPAA, GDPR, ISO 270001, dan lainnya.
Misalnya, banyak dari standar ini memerlukan enkripsi data saat diam dan bergerak. Enkripsi skalabel yang kuat untuk data diam melalui HDFS TDE dan data bergerak melalui fitur Auto-TLS disediakan secara native di platform kami. Ranger KMS juga disediakan yang memungkinkan kebijakan, manajemen siklus hidup, dan escrow kunci menjadi HSM yang tahan gangguan. Escrow kunci juga didukung dengan infrastruktur yang disediakan vendor cloud.
Dikombinasikan dengan kontrol AAA (Autentikasi, Otorisasi, dan Audit) lain yang tersedia untuk platform kami, dalam penerapan Pusat Data CDP, OpDB kami dapat memenuhi banyak persyaratan PCI, HIPAA, ISO 27001, dan lainnya.
Penawaran Layanan Operasional kami juga disertifikasi untuk kepatuhan SOC. Untuk informasi lebih lanjut, lihat Layanan Operasional.
Otentikasi
Otentikasi Pengguna
Platform Cloudera mendukung bentuk otentikasi pengguna berikut:
- Kerberos
- Nama pengguna/sandi LDAP
- SAML
- OAuth (menggunakan Apache Knox)
Otorisasi
Kontrol Akses Berbasis Atribut
OpDBMS Cloudera menyediakan Kontrol Akses Berbasis Peran (RBAC) dan Kontrol Akses Berbasis Atribut (ABAC) melalui Apache Ranger yang disertakan sebagai bagian dari platform.
Otorisasi dapat diberikan di tingkat sel, tingkat keluarga kolom, tingkat tabel, tingkat ruang nama, atau secara global. Hal ini memungkinkan fleksibilitas dalam menentukan peran sebagai admin global, admin namespace, admin tabel, atau bahkan perincian lebih lanjut atau kombinasi dari cakupan ini juga.
Apache Ranger menyediakan kerangka kerja terpusat untuk mendefinisikan, mengelola, dan mengelola kebijakan keamanan secara konsisten di seluruh ekosistem big data. Kebijakan berbasis ABAC dapat mencakup kombinasi subjek (pengguna), tindakan (misalnya membuat atau memperbarui), sumber daya (misalnya kelompok tabel atau kolom), dan properti lingkungan untuk membuat kebijakan berbutir halus untuk otorisasi.
Apache Ranger juga menyediakan beberapa fitur lanjutan seperti zona keamanan (pembagian logis dari kebijakan keamanan), kebijakan Tolak, dan periode kedaluwarsa kebijakan (menyiapkan kebijakan yang diaktifkan hanya untuk waktu terbatas). Fitur-fitur ini, dalam kombinasi dengan fitur lain yang dijelaskan di atas, menciptakan dasar yang kuat untuk menentukan kebijakan keamanan OpDBMS yang efektif, skalabel, dan dapat dikelola.
Untuk lingkungan OpDB skala besar, atribut deskriptif dapat digunakan untuk mengontrol akses OpDBMS secara tepat menggunakan serangkaian kebijakan kontrol akses minimal. Berikut ini adalah atribut deskriptif:
- Grup Direktori Aktif (AD)
- Tag atau klasifikasi berbasis Apache Atlas
- geo-location dan atribut lain dari subjek, resource, dan properti lingkungan
Setelah ditentukan, kebijakan Apache Ranger juga dapat diekspor/diimpor ke lingkungan OpDBMS lain yang memerlukan kontrol akses yang sama dengan upaya yang sangat minimal.
Pendekatan ini memungkinkan personel kepatuhan dan administrator keamanan untuk menentukan kebijakan keamanan yang tepat dan intuitif yang diwajibkan oleh peraturan, seperti GDPR, pada tingkat yang terperinci.
Otorisasi Administrator Basis Data
Apache Ranger menyediakan kontrol halus untuk memungkinkan administrasi database tertentu menggunakan kebijakan atau skema tertentu seperti mekanisme hibah dan pencabutan. Ini juga menyediakan pemetaan izin berbutir halus untuk pengguna dan grup tertentu. Itu memungkinkan untuk mengotorisasi DBA untuk sumber daya tertentu (kolom, tabel, keluarga kolom, dan sebagainya) hanya dengan izin yang diperlukan.
Selain itu, ketika kemampuan TDE digunakan untuk mengenkripsi data dalam HDFS, administrator atau operator dapat secara selektif diblokir agar tidak dapat mendekripsi data. Hal ini dicapai dengan kebijakan akses kunci tertentu, yang berarti bahwa meskipun mereka dapat melakukan operasi administratif, mereka tidak dapat melihat atau mengubah data terenkripsi yang mendasarinya karena mereka tidak memiliki akses kunci.
Mendeteksi dan memblokir penggunaan yang tidak sah
Beberapa mesin kueri Cloudera memiliki pengikatan variabel dan kompilasi kueri yang membuat kode tidak terlalu rentan terhadap input pengguna dan mencegah injeksi SQL. Pengujian penetrasi dinamis dan pemindaian kode statis dilakukan di seluruh platform kami untuk mendeteksi injeksi SQL dan kerentanan lainnya untuk setiap rilis yang dihadapi pelanggan dan diperbaiki di setiap komponen.
Penggunaan yang tidak sah dapat diblokir oleh kebijakan yang sesuai menggunakan kerangka kerja keamanan komprehensif Apache Ranger.
Model Hak Istimewa Terkecil
Apache Ranger menyediakan perilaku penolakan default di OpDB. Jika pengguna tidak secara eksplisit diberikan izin oleh kebijakan apa pun untuk mengakses sumber daya, mereka secara otomatis ditolak.
Operasi istimewa yang eksplisit harus disahkan oleh kebijakan. Pengguna dan operasi istimewa dipetakan ke peran tertentu.
Fasilitas administrasi yang didelegasikan juga tersedia di Apache Ranger untuk memberikan operasi dan manajemen hak istimewa eksplisit untuk grup sumber daya tertentu melalui kebijakan.
Kesimpulan
Ini adalah Bagian 1 dari posting blog Keamanan Database Operasional. Kami melihat berbagai fitur dan kemampuan keamanan yang disediakan oleh OpDB Cloudera.
Untuk informasi lebih lanjut tentang fitur dan kemampuan terkait keamanan OpDB Cloudera, postingan blog Bagian 2 akan segera hadir!
Untuk informasi lebih lanjut tentang penawaran Database Operasional Cloudera, lihat Database Operasional Cloudera.