由于Hadoop、HBase、Spark等大数据系统在设计之初对安全问题考虑不充分,需要对大数据平台进行安全加固,其中最重要的是建立大数据环境下的4A体系(账号Account、认证Authentication、授权Authorization、审计Audit)。

1 统一账号系统

大数据平台基于LDAP实现大数据统一账号系统,对大数据平台各个组件的系统账号、用户账号进行集中、安全的管理。

  1. 统一账号系统基于LDAP实现下面的账号管理功能:
  2. 系统管理员增、删、改、查用户和组账号
  3. 系统管理员设置组的组管理员
  4. 系统管理员设置密码安全策略
  5. 组管理员增、删、改、查对应组的用户账号
  6. 审计日志与统一审计系统对接,实现账号管理的集中审计

统一账号系统提供Web界面方便管理员进行日常操作,并提供RESTful https接口与大数据平台或者第三方组件与进行对接和账号打通,实现安全、集中的统一账号管理。

2 统一认证系统

大数据平台基于Kerberos和IP白名单实现大数据统一认证系统,从安全证书和网络IP两个维度交叉对平台用户进行身份认证,合法的用户可以进行操作,非法的用户会被拒绝不能进行操作。

平台实现了HDFS、HBase、Hive、YARN、MapReduce、YARN、Kafka、TransferX、BigManager、BigPlorer等组件的Kerberos认证机制。

为了防止Kerberos证书被泄露或者误用,大数据平台还在Kerberos基础上进行认证加固,基于IP白名单对访问者的IP进行认证,被授权合法的IP+用户组合才能访问平台,未授权的IP即使有Kerberos证书也无法正常访问平台,从而降低Kerberos证书被泄露的安全风险。

3 统一授权系统

大数据平台实现基于RBAC模型的大数据统一授权系统,通过角色和权限两个维度对平台用户进行身份授权,具有合法权限的用户可以进行操作,不具备权限的用户会被拒绝不能进行操作。

基于角色的访问控制RBAC授权系统实现如下的功能:

1、基于角色进行访问控制和授权,对角色进行的授权会对这个角色的所有用户生效,可以方便的对一组用户进行批量授权和回收。用户默认属于自己和所属组两个角色,可以根据授权的需要创建新的角色并赋予相应的权限,然后在角色中增加和删除用户实现授权和回收。

2、访问控制和授权的粒度可以根据需要细化,包括授权的主体、客体、权限等各个维度。

3、提供可视化Web页面对统一授权系统进行操作。普通用户可以在Web页面上查看自己的角色和权限,申请新的权限。组管理员和管理员可以审批普通用户的权限申请,对已有的角色和权限进行修改。

4、可扩展的插件化机制,提供统一的服务端和RBAC客户端插件机制支持不同组件的集中授权管理,目前已经实现HDFS、HBase、Hive、YARN、Kafka等组件的RBAC授权管理,新的组件和系统可以通过调用RBAC客户端插件或RESTful API很方便的与授权系统进行对接。

5、安全可靠的授权机制,一方面RBAC服务端和客户端之间通过https进行通信,避免授权信息在网络中被监听或篡改,另一方面RBAC客户端将服务端的访问控制列表缓存到内存中,不读写本地文件,避免主机被攻破后修改配置文件绕过授权系统。

统一授权系统的架构如下:

统一授权系统
统一授权系统

HDFS/HBase/Hive/Yarn/Kafka插件运行在各相应集群中,用户的每个操作都需经过插件来验证授权信息。各插件会定时的跟权限服务中心同步权限权限数据;大数据平台实现RBAC基于角色的访问控制授权系统对数据进行严格的访问控制,用户默认只对自己的数据有访问权限,需要访问其他用户的数据首先要获得访问控制授权。

为了实现最小化授权和访问控制,大数据平台的访问控制授权系统从多个方面进行细粒度的权限控制,包括:

  1. 访问的主体:细化到用户或者用户+程序。普通数据访问授权细化到用户,高密级数据访问授权细化到某个用户的某个程序,授权的程序需要进行代码审查和备案,可以有效防止通过拷贝数据转储等方式滥用授权的数据。
  2. 访问的客体:细化到结构化数据的表、字段,非结构化数据的目录、文件、对象、文档。
  3. 访问的权限:细化到结构化数据show/desc/select/update/delete /insert等,非结构数据的读、写、查找等。
  4. 访问的有效期:可细化指定授权的截止时间,在截止时间之前的有效期内访问授权有效,有效期过后授权自动失效权限自动收回。
  5. 访问的时间段:可细化指定授权允许的时间段,比如工作日的工作时间段,防止在非预期的时间数据被访问。
  6. 访问的来源:可细化指定授权访问的来源IP,限定只能通过某个/某些IP来源的请求才能访问授权数据,防止被授权账号被窃取或故意在非预期的设备/主机上使用。

4 统一审计系统

大数据平台基于审计日志实现大数据统一审计系统,支持通用的日志收集模块和高危操作实时告警功能,允许审计员对日志设置多样化多维度的过滤规则,在海量数据中实时、精准的识别高危操作。同时审计系统对收集的日志支持全文检索,方便审计员快速回溯用户行为。

平台支持HDFS、HBase、Hive、Yarn组件的审计,且支持多样性的告警方式。统一审计平台实现如下功能:

  1. 基于日志进行统一的审计,收集各个组件的审计日志,进行集中存储,检索,分析,告警。
  2. 审计日志存储采用经过加固的ElasticSearch,数据只能新增和按照日期淘汰清理,不能手动修改或删除,保护审计日志不会被恶意篡改和清除。
  3. 提取审计日志中结构化信息,包括集群,用户,IP,操作,对象,时间等,对不同的审计日志做统一的结构化处理,展示,分析等。
  4. 交互式的审计日志检索,可以对结构化的集群,用户,IP,操作,对象,时间等字段进行精确检索,也可以对原始日志做模糊检索。
  5. 自定义的告警策略,支持等值,包含,正则等多种日志匹配规则,支持邮件,短信等告警方式。
  6. 可扩展的统一审计架构,新的组件或系统可以方便地整合到统一审计系统中,只需要采集审计日志,配置/开发日志解析,定义告警策略,就可以实现集中的审计管理。

相关文章

  • 安全服务内容有哪些?信息安全运维服务建设方案

    安全服务内容有哪些?信息安全运维服务建设方案

    网络安全服务对保障系统正常运行有重要的意义,通过完整的网络安全服务,可以使我们对自己的信息资产更加了解,发现脆弱点及风险点,有针对性的进行整改,封堵已存在的漏洞,更新系统的重要补丁,加强整体安全态势;针对已经发现的威胁,能够早发现早处理,防止威胁横向扩散,造成更大影响;针对可能存在的威胁,通过加强安全意识,降低风险发生概率,通过日志行为分析,发现可疑行为,及早进行处理,从而整体提高网络安全水平,保障业务系统不会被入侵,能够正常运行。 本次分享一个简单的、明确的、实用的网络安全服务方案模板,涉及到…

  • 什么是主机安全,主机安全未来的发展方向

    什么是主机安全,主机安全未来的发展方向

    在讨论主机安全之前,先说说主机安全对于我国有多重要。我国的信息安全经过二十多年的建设,在防病毒、网络和边界安全方面到得了一定成果,而主机环境安全建设却相对较薄弱,主机是信息安全最重要,也是最后一门防线,再加上美国采用贸易壁垒的方式来限制高安全等级的产品买到中国,加剧了我国主机安全建设的难度。 1 什么是主机安全? 随着云技术的发展,现在各大银行、大小企业和政府都在频繁使用云技术,在这些领域,安全显然是一个非常重要的因素。云主机作为数据存储的场所,正面临着黑客不断入侵的威胁,那么主机安全是什么? …

  • 数据安全事件应急预案模板

    数据安全事件应急预案模板

    在学习、工作或生活中,保不准会发⽣突发事件,为了避免造成更严重的后果,常常需要预先准备应急预案。我们应该怎么编制应急预案呢?以下是众平帮⼤家整理的数据安全事件应急预案,欢迎⼤家借鉴与参考,希望对⼤家有所帮助。 第⼀章 总则 为建⽴健全公司数据安全事件应急响应机制,提⾼应对数据安全事件的应急处置能⼒,预防和减少数据安全事件造成的损失和危害,全⾯提升公司的数据安全事件应急管理水平,保障公司数据资产安全和用户合法权益,特制定本预案。 第⼆章 应急响应组织机构 一、公司成立数据安全事件应急响应领导小组,…

  • 网络安全服务项目的服务及质量需求(安全服务方案模板)

    网络安全服务项目的服务及质量需求(安全服务方案模板)

    为深入贯彻习近平总书记关于网络安全的重要指示精神,严格落实党中央、国务院和市委、市政府关于网络安全的决策部署,重庆市国资委下发了关于市属国有企业网络安全的通知。通知中指出,国有企业应当深刻认识到网络安全工作的重要意义、健全网络安全制度体系、健全风险评估与安全审计制度、建立重要岗位人员审查制度等要求。 1 网络安全服务项目服务管理 (1)服务交付计划制定:在整个服务期的开始时,根据采购人需求提供年度服务交付计划,并根据需要进行更新。 (2)季度服务报告:通过技术专家和客户相关人员的准备,与采购人管…

  • 关键岗位保密协议,信息安全管理岗位保密协议

    关键岗位保密协议,信息安全管理岗位保密协议

    甲方:重庆XX中学   法定代表人: 住所地: 乙方: 乙方因在甲方单位履行职务,已经(或将要)知悉甲方秘密信息。为了明确乙方的保密义务,甲、乙双方本着平等、自愿、公平和诚实信用的原则,订立本保密协议。 一、乙方应本着谨慎、诚实的态度,采取任何必要、合理的措施,维护其于任职期间知悉或者持有的任何属于甲方或者属于第三方但甲方承诺或负有保密义务的技术秘密或 其他秘密信息,以保持其机密性。具体范围包括但不限于以下内容: 二、除了履行职务需要之外,乙方承诺,不得刺探与本职工作或本身业…

  • 信息系统建设的安全机制建设

    信息系统建设的安全机制建设

    本XXX方案需要充分考虑长远发展需求,统一规划、统一布局、统一设计、规范标准,并根据实际需要及投资金额,突出重点、分步实施,保证系统建设的完整性和投资的有效性。在方案设计和项目建设中应当遵循以下的原则: 1、合规性和规范化原则 安全规划和建设应严格遵循国家信息安全等级保护或分级保护标准和行业有关法律法规和技术规范的要求,同时兼顾参考国际上较为成熟的ISO27000、CSA的成熟范例,从技术、运行管理等方面对项目的整体建设和实施进行设计,充分体现标准化和规范化。 2、国产自主化原则 大数据中心信息…

- 联 系 我 们 -

+86 186-2315-0440

在线咨询:点击这里给我发消息

电子邮箱:i@zzptech.com

工作时间:7*24h,全年无休

关注微信