本文介绍了大数据安全的多个层面,包括用户身份认证、网络隔离和权限控制,并聚焦于Kerberos和LDAP的身份验证。Kerberos是一种网络授权协议,通过KDC进行客户端和服务器的三方认证,而LDAP则是轻量级目录访问协议,用于存储和管理用户数据。在CDH集群中,两者在实现安全访问控制方面发挥关键作用。虽然文中提到的实际实践将在后续文章中详述,但已提供了Kerberos的认证原理和过程。
大数据安全
1、限制只有合法用户身份的用户访问大数据平台集群
(1) **用户身份认证:**外部用户或者第三方服务对集群的访问过程中的身份鉴别;用户在访问启用了安全认证的集群时,必须能通过安全认证。
(2)**网络隔离:**大数据平台集群支持通过网络平面隔离的方式保证网络安全(比如配置防火墙)。
2、定义什么样的用户和应用可以访问数据
权限控制:包括鉴权、授信管理,即确保用户对平台、接口、操作、资源、数据等都具有相应的访问权限,避免越权访问;分级管理,即根据敏感度对数据进行分级,对不同级别的数据提供差异化的流程、权限、审批要求等管理措施,数据安全等级越高,管理越严格。
(比如不同的应用,其对应的文件夹设置权限,赋予不同的用户不同的权限。)
3、数据加密和脱敏;多租户隔离;数据侵权保护;容灾管理
(1)数据加密:提供数据在传输过程及静态存储的加密保护,使得敏感数据被越权访问时仍然能够得到有效保护。此外,加解密对上层业务透明,上层业务只需指定敏感数据,加解密过程业务完全不感知。
(2)用户隐私数据脱敏:数据脱敏和个人信息去标识化。
(3)多租户隔离:实施多租户访问隔离措施,实施数据安全等级划分,比如基于标签的强制访问控制,基于ACL的数据访问授权模型。
(4)数据容灾:为集群内部数据提供实时的异地数据容灾功能,例如Google的spanner作为NewSQL数据库对外提供跨数据中心的容灾机制。
(5)数据侵权保护:当存储数据为一种特殊的数字内容产品时,其权益保护难度远大于传统的大数据,一旦发生侵权问题,举证和追责过程都十分困难。大数据平台底层能利用区块链类似技术实现数据的溯源确权。
[
物理安全(自然灾害,操作人员,机房环境);
主机安全(数据自身存储和处理的安全,系统,默认设置,软硬件);
网络安全(防火墙,第三方网络认证协议——kerbros);
应用安全(应用数据隔离等)
]
什么是kerberos
Kerberos(/ˈkərbərəs/)是一种计算机网络授权协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。Kerberos的扩展产品也使用公开密钥加密方法进行认证。
Kerberos的3个头颅代表中认证过程中涉及的3方:Client、Server和KDC。
补充:
1.对称密钥体制:加密和解密都使用同一个密钥
2.公开密钥加密:也称为非对称加密,它需要两个密钥,一个是公开密钥,另一个是私有密钥;一个用作加密的时候,另一个则用作解密。使用其中一个密钥把明文加密后所得的密文,只能用相对应的另一个密钥才
最低0.47元/天 解锁文章
扫一扫
6489
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
