E MapReduce大資料安全實踐

2021-09-22 20:51:53 字數 1284 閱讀 2026

e-mapreduce從emr-2.7.x/emr-3.5.x版本開始支援建立安全型別的集群,即集群中的開源元件以kerberos的安全模式啟動,在這種安全環境下只有經過認證的客戶端(client)才能訪問集群的服務(service,如hdfs)。

乙個大資料集群的企業級安全,從外到內可以分為幾層:

如網路的隔離,使用vpc/安全組/iptables等。

只有可信的得到合法身份認證的使用者才能夠訪問集群。

開源元件通用的認證方案是整合kerberos(如hdfs/yarn/hbase等),也有使用者名稱/密碼(如hue等)。

將開源元件裡面的具體資源的操作許可權授予使用者,未被授權的使用者無法訪問資源。

通道/資料的加密,如hdfs儲存的資料加密,資料被竊取後也無法檢視等。

對服務的訪問操作進行監控和記錄,便於排查跟蹤問題。

如上圖所示,訪問服務的使用者會經過一層層的安全措施過濾,保障大資料集群的安全穩定執行。

e-mapreduce在邊界安全/認證/授權/審計/加密五個維度都提供了相應的能力。

建立集群時候可選擇vpc網路

集群有安全組控制開放埠

使用者可根據需求在集群節點上面設定iptables

建立的kerberos安全集群的開源元件自動以kerberos方式啟動,開啟身份認證,不需要使用者進行複雜的kerberos配置,而且支援多種身份認證方式(如與ram/ldap等的結合)

具體詳見e-mapreduce kerberos文件

e-mapreduce集群的開源元件可按照元件的官方文件進行相關的許可權配置。

可以在e-mapreduce控制台的集群配置管理頁面方便的進行配置並重啟各項服務,無需登入集群操作。

許可權配置詳見e-mapreduce 授權文件

hdfs授權

yarn授權

hive授權

hbase授權

e-mapreduce集群預設開啟了hdfs/hbase的audict log, 其它相關元件後續會陸續開啟。

使用者可選擇啟動使用hdfs的資料加密kms服務。

有興趣或者有需求的使用者可以關注一下e-mapreduce的安全相關的功能,有問題及時聯絡和反饋。

E MapReduce大資料安全實踐

摘要 e mapreduce從emr 2.7.x emr 3.5.x版本開始支援建立安全型別的集群,即集群中的開源元件以kerberos的安全模式啟動,在這種安全環境下只有經過認證的客戶端 client 才能訪問集群的服務 service,如hdfs e mapreduce從emr 2.7.x em...

大資料安全規範

大資料安全規範 大資料的安全體系分為五個層次 周邊安全 資料安全 訪問安全 認證 authentication和授權 authorization 訪問行為可見 錯誤處理和異常管理。下面依次說明 1.周邊安全技術即傳統意義上提到的網路安全技術,如防火牆等 2.資料安全包括對資料的加解密,又可細分為儲存...

大資料安全怎麼保證?

當前,我國亟須依據 關於促進大資料發展的行動綱要 綜合採取戰略 政策 法律等多種工具,構建起包括法律 行政 技術 行業 社會等在內的大資料安全保護體系,加大大資料的安全保護力度,營造健康環保的大資料生態運營體系。一是加強基礎保護技術的研發和推廣應用。推廣業務系統防攻擊防入侵通用保護技術的普及和應用,...