Dans cet article de blog, nous allons examiner certaines des fonctionnalités de sécurité liées à OpDB d'un déploiement CDP Private Cloud Base. Nous allons parler de cryptage, d'authentification et d'autorisation.
Chiffrement des données au repos
Le chiffrement transparent des données au repos est disponible via la fonction de chiffrement transparent des données (TDE) dans HDFS.
TDE offre les fonctionnalités suivantes :
- Chiffrement transparent et de bout en bout des données
- Séparation des tâches entre les responsabilités cryptographiques et administratives
- Fonctionnalités matures de gestion du cycle de vie des clés
La clé principale de chiffrement des EZK elle-même peut être placée sous séquestre dans un module de sécurité matériel (HSM), tel que Safenet Luna, Amazon KMS ou Thales nShield.
En outre, nos déploiements cloud pour les magasins natifs du cloud peuvent également prendre en charge le séquestre de clés de chiffrement avec une infrastructure cloud fournie par un fournisseur, comme AWS KMS ou Azure Key Vault.
Cryptage sans fil
OpDB utilise le protocole de sécurité Transport Layer Security (TLS) pour le cryptage filaire. Il assure l'authentification, la confidentialité et l'intégrité des données entre les applications communiquant sur un réseau. OpDB prend en charge la fonctionnalité Auto-TLS qui simplifie considérablement le processus d'activation et de gestion du chiffrement TLS sur votre cluster. Apache Phoenix et Apache HBase (interfaces utilisateur Web, Thrift Server et REST Server) prennent en charge Auto-TLS.
Service de gestion des clés Ranger
Ranger KMS héberge les clés de zone de chiffrement (EZK) requises pour déchiffrer les clés de chiffrement des données nécessaires à la lecture du contenu déchiffré dans les fichiers. Grâce à RangerKMS, les utilisateurs peuvent mettre en œuvre des politiques d'accès aux clés distinctes de l'accès aux données sous-jacentes. Les EZK sont stockés dans une base de données sécurisée au sein du KMS. Cette base de données peut être déployée en mode sécurisé sélectivement dans les nœuds du cluster.
Les EZK sont chiffrés avec une clé principale qui est externalisée dans les HSM pour plus de sécurité. Les interfaces de configuration et de gestion des politiques permettent la rotation des clés et la gestion des versions des clés. Les audits d'accès dans Apache Ranger prennent en charge le suivi des clés d'accès.
Décryptage
Le déchiffrement se produit uniquement au niveau du client et aucune clé de zone ne quitte le KMS pendant le processus de déchiffrement.
En raison de la séparation des tâches (par exemple, les opérateurs de plate-forme ne peuvent pas accéder aux données chiffrées au repos), il est possible de contrôler qui peut accéder au contenu déchiffré dans quelles conditions à un niveau très fin. Cette séparation est gérée nativement dans Apache Ranger grâce à des politiques fines pour limiter l'accès des opérateurs aux données déchiffrées.
La rotation et le roulement des clés peuvent être effectués à partir de la même interface de gestion fournie dans Ranger KMS.
Normes de certification de sécurité
La plate-forme de Cloudera fournit plusieurs des principaux contrôles de conformité et de sécurité requis pour que des déploiements de clients spécifiques soient certifiés conformes aux normes PCi, HIPAA, GDPR, ISO 270001 et plus encore.
Par exemple, bon nombre de ces normes exigent le chiffrement des données au repos et en mouvement. Un chiffrement robuste et évolutif pour les données au repos via HDFS TDE et les données en mouvement via la fonction Auto-TLS sont fournis de manière native sur notre plate-forme. Ranger KMS est également fourni, ce qui permet d'activer les politiques, la gestion du cycle de vie et l'entiercement des clés dans des HSM inviolables. L'entiercement de clé est également pris en charge avec l'infrastructure cloud fournie par le fournisseur.
Combiné avec d'autres contrôles AAA (authentification, autorisation et audits) disponibles pour notre plate-forme, dans un déploiement de centre de données CDP, notre OpDB peut répondre à de nombreuses exigences de PCI, HIPAA, ISO 27001 et plus.
Nos offres de services opérationnels sont également certifiées pour la conformité SOC. Pour plus d'informations, voir Services opérationnels.
Authentification
Authentification de l'utilisateur
La plate-forme Cloudera prend en charge les formes d'authentification utilisateur suivantes :
- Kerberos
- nom d'utilisateur/mot de passe LDAP
- SAML
- OAuth (avec Apache Knox)
Autorisation
Contrôle d'accès basé sur les attributs
OpDBMS de Cloudera fournit un contrôle d'accès basé sur les rôles (RBAC) et un contrôle d'accès basé sur les attributs (ABAC) via Apache Ranger qui est inclus dans la plate-forme.
L'autorisation peut être fournie au niveau de la cellule, au niveau de la famille de colonnes, au niveau de la table, au niveau de l'espace de noms ou globalement. Cela permet une flexibilité dans la définition des rôles en tant qu'administrateurs globaux, administrateurs d'espace de noms, administrateurs de table, ou même une plus grande granularité ou toute combinaison de ces étendues également.
Apache Ranger fournit le cadre centralisé pour définir, administrer et gérer les politiques de sécurité de manière cohérente dans l'écosystème du Big Data. Les politiques basées sur ABAC peuvent inclure une combinaison de sujet (utilisateur), action (par exemple créer ou mettre à jour), ressource (par exemple table ou famille de colonnes) et propriétés environnementales pour créer une politique affinée pour l'autorisation.
Apache Ranger fournit également des fonctionnalités avancées telles que les zones de sécurité (division logique des politiques de sécurité), les politiques de refus et la période d'expiration des politiques (configuration d'une politique qui n'est activée que pour une durée limitée). Ces fonctionnalités, en combinaison avec d'autres fonctionnalités décrites ci-dessus, créent une base solide pour définir des politiques de sécurité OpDBMS efficaces, évolutives et gérables.
Pour les environnements OpDB à grande échelle, des attributs descriptifs peuvent être utilisés pour contrôler avec précision l'accès à OpDBMS à l'aide d'un ensemble minimal de règles de contrôle d'accès. Les attributs suivants sont descriptifs :
- Groupe Active Directory (AD)
- Balises ou classifications basées sur Apache Atlas
- géolocalisation et autres attributs des sujets, ressources et propriétés de l'environnement
Une fois définies, les politiques Apache Ranger peuvent également être exportées/importées dans un autre environnement OpDBMS qui nécessite le même contrôle d'accès avec un minimum d'efforts.
Cette approche permet au personnel de conformité et aux administrateurs de sécurité de définir des politiques de sécurité précises et intuitives requises par les réglementations, telles que le RGPD, à un niveau précis.
Autorisation d'administrateur de base de données
Apache Ranger fournit un contrôle précis pour permettre une administration spécifique des bases de données à l'aide de stratégies ou de schémas spécifiques tels que les mécanismes d'octroi et de révocation. Il fournit également un mappage précis des autorisations pour des utilisateurs et des groupes spécifiques. Cela permet d'autoriser les DBA pour des ressources spécifiques (colonnes, tables, familles de colonnes, etc.) avec uniquement les autorisations requises.
De plus, lorsque les capacités TDE sont utilisées pour chiffrer les données dans HDFS, les administrateurs ou les opérateurs peuvent être bloqués de manière sélective dans l'impossibilité de déchiffrer les données. Ceci est réalisé avec des politiques d'accès clés spécifiques, ce qui signifie que même s'ils peuvent effectuer des opérations administratives, ils ne peuvent pas afficher ou modifier les données chiffrées sous-jacentes car ils n'ont pas d'accès clé.
Détecter et bloquer les utilisations non autorisées
Plusieurs des moteurs de requête de Cloudera disposent d'une liaison de variables et d'une compilation de requêtes, ce qui rend le code moins vulnérable aux entrées de l'utilisateur et empêche les injections SQL. Des tests de pénétration dynamiques et des analyses de code statiques sont effectués sur notre plate-forme pour détecter l'injection SQL et d'autres vulnérabilités pour chaque version destinée aux clients et corrigées dans chaque composant.
L'utilisation non autorisée peut être bloquée par des politiques appropriées utilisant le cadre de sécurité complet d'Apache Ranger.
Modèle du moindre privilège
Apache Ranger fournit un comportement de refus par défaut dans OpDB. Si un utilisateur ne dispose pas d'une autorisation explicitement accordée par une stratégie pour accéder à une ressource, il est automatiquement refusé.
Les opérations privilégiées explicites doivent être autorisées par des politiques. Les utilisateurs privilégiés et les opérations sont mappés à des rôles spécifiques.
Des fonctions d'administration déléguée sont également disponibles dans Apache Ranger pour fournir des opérations et une gestion explicites des privilèges pour des groupes de ressources spécifiques via des stratégies.
Conclusion
Il s'agissait de la partie 1 du billet de blog sur la sécurité opérationnelle de la base de données. Nous avons examiné diverses fonctionnalités et capacités de sécurité fournies par OpDB de Cloudera.
Pour plus d'informations sur les fonctionnalités et les capacités liées à la sécurité d'OpDB de Cloudera, un article de blog sur la partie 2 sera bientôt disponible !
Pour plus d'informations sur l'offre de base de données opérationnelle de Cloudera, consultez Cloudera Operational Database.