e-mapreduce從emr-2.7.x/emr-3.5.x版本開始支援建立安全型別的集群,即集群中的開源元件以kerberos的安全模式啟動,在這種安全環境下只有經過認證的客戶端(client)才能訪問集群的服務(service,如hdfs)。
乙個大資料集群的企業級安全,從外到內可以分為幾層:
如網路的隔離,使用vpc/安全組/iptables等。
只有可信的得到合法身份認證的使用者才能夠訪問集群。
開源元件通用的認證方案是整合kerberos(如hdfs/yarn/hbase等),也有使用者名稱/密碼(如hue等)。
將開源元件裡面的具體資源的操作許可權授予使用者,未被授權的使用者無法訪問資源。
通道/資料的加密,如hdfs儲存的資料加密,資料被竊取後也無法檢視等。
對服務的訪問操作進行監控和記錄,便於排查跟蹤問題。
如上圖所示,訪問服務的使用者會經過一層層的安全措施過濾,保障大資料集群的安全穩定執行。
e-mapreduce在邊界安全/認證/授權/審計/加密
五個維度都提供了相應的能力。
建立集群時候可選擇vpc網路
集群有安全組控制開放埠
使用者可根據需求在集群節點上面設定iptables
建立的kerberos安全集群
的開源元件自動以kerberos方式啟動,開啟身份認證,不需要使用者進行複雜的kerberos配置,而且支援多種身份認證方式(如與ram/ldap等的結合
)
具體詳見e-mapreduce kerberos文件
e-mapreduce集群的開源元件可按照元件的官方文件進行相關的許可權配置。
可以在e-mapreduce控制台的集群配置管理頁面方便的進行配置並重啟各項服務,無需登入集群操作。
許可權配置詳見e-mapreduce 授權文件
hdfs授權
yarn授權
hive授權
hbase授權
e-mapreduce集群預設開啟了hdfs/hbase的audict log, 其它相關元件後續會陸續開啟。
使用者可選擇啟動使用hdfs的資料加密kms服務。
有興趣或者有需求的使用者可以關注一下e-mapreduce的安全相關的功能,有問題及時聯絡和反饋。
E MapReduce大資料安全實踐
摘要 e mapreduce從emr 2.7.x emr 3.5.x版本開始支援建立安全型別的集群,即集群中的開源元件以kerberos的安全模式啟動,在這種安全環境下只有經過認證的客戶端 client 才能訪問集群的服務 service,如hdfs e mapreduce從emr 2.7.x em...
大資料安全規範
大資料安全規範 大資料的安全體系分為五個層次 周邊安全 資料安全 訪問安全 認證 authentication和授權 authorization 訪問行為可見 錯誤處理和異常管理。下面依次說明 1.周邊安全技術即傳統意義上提到的網路安全技術,如防火牆等 2.資料安全包括對資料的加解密,又可細分為儲存...
大資料安全怎麼保證?
當前,我國亟須依據 關於促進大資料發展的行動綱要 綜合採取戰略 政策 法律等多種工具,構建起包括法律 行政 技術 行業 社會等在內的大資料安全保護體系,加大大資料的安全保護力度,營造健康環保的大資料生態運營體系。一是加強基礎保護技術的研發和推廣應用。推廣業務系統防攻擊防入侵通用保護技術的普及和應用,...