इस ब्लॉग पोस्ट में, हम सीडीपी प्राइवेट क्लाउड बेस परिनियोजन की ओपीडीबी से संबंधित कुछ सुरक्षा सुविधाओं पर एक नज़र डालने जा रहे हैं। हम एन्क्रिप्शन, प्रमाणीकरण और प्राधिकरण के बारे में बात करने जा रहे हैं।
डेटा-एट-रेस्ट एन्क्रिप्शन
पारदर्शी डेटा-एट-रेस्ट एन्क्रिप्शन एचडीएफएस में ट्रांसपेरेंट डेटा एन्क्रिप्शन (टीडीई) सुविधा के माध्यम से उपलब्ध है।
TDE निम्नलिखित सुविधाएँ प्रदान करता है:
- डेटा का पारदर्शी, एंड-टू-एंड एन्क्रिप्शन
- क्रिप्टोग्राफिक और प्रशासनिक जिम्मेदारियों के बीच कर्तव्यों का पृथक्करण
- परिपक्व प्रमुख जीवनचक्र प्रबंधन सुविधाएं
EZK को एन्क्रिप्ट करने के लिए मास्टर कुंजी को हार्डवेयर सुरक्षा मॉड्यूल (HSM) में एस्क्रो में रखा जा सकता है, जैसे कि Safenet Luna, Amazon KMS, या थेल्स nShield।
इसके अलावा, क्लाउड-देशी स्टोर के लिए हमारे क्लाउड परिनियोजन क्लाउड विक्रेता द्वारा प्रदान किए गए बुनियादी ढांचे, जैसे AWS KMS या Azure Key Vault के साथ एन्क्रिप्शन कुंजी एस्क्रो का भी समर्थन कर सकते हैं।
ओवर-द-वायर एन्क्रिप्शन
ओपीडीबी वायर एन्क्रिप्शन के लिए ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस) सुरक्षा प्रोटोकॉल का उपयोग करता है। यह एक नेटवर्क पर संचार करने वाले अनुप्रयोगों के बीच प्रमाणीकरण, गोपनीयता और डेटा अखंडता प्रदान करता है। ओपीडीबी ऑटो-टीएलएस सुविधा का समर्थन करता है जो आपके क्लस्टर पर टीएलएस एन्क्रिप्शन को सक्षम और प्रबंधित करने की प्रक्रिया को बहुत सरल करता है। Apache फीनिक्स और Apache HBase (वेब UI, थ्रिफ्ट सर्वर और REST सर्वर) दोनों ही Auto-TLS को सपोर्ट करते हैं।
रेंजर कुंजी प्रबंधन सेवा
रेंजर केएमएस में डेटा एन्क्रिप्शन कुंजियों को डिक्रिप्ट करने के लिए आवश्यक एन्क्रिप्शन ज़ोन कुंजियाँ (EZKs) होती हैं जो फ़ाइलों में डिक्रिप्ट की गई सामग्री को पढ़ने के लिए आवश्यक होती हैं। रेंजरकेएमएस के माध्यम से, उपयोगकर्ता कुंजी एक्सेस के लिए नीतियों को लागू कर सकते हैं जो अंतर्निहित डेटा तक पहुंच से अलग और अलग हैं। EZK को KMS के भीतर एक सुरक्षित डेटाबेस में संग्रहीत किया जाता है। इस डेटाबेस को क्लस्टर नोड्स में चुनिंदा रूप से सुरक्षित मोड में तैनात किया जा सकता है।
EZKs को एक मास्टर कुंजी के साथ एन्क्रिप्ट किया जाता है जिसे अतिरिक्त सुरक्षा के लिए HSMs में बाहरी किया जाता है। कॉन्फ़िगरेशन और नीति प्रबंधन इंटरफ़ेस कुंजी रोटेशन और कुंजी संस्करण को सक्षम करते हैं। अपाचे रेंजर में एक्सेस ऑडिट एक्सेस कुंजियों की ट्रैकिंग का समर्थन करते हैं।
डिक्रिप्शन
डिक्रिप्शन केवल क्लाइंट पर होता है और डिक्रिप्शन प्रक्रिया के दौरान कोई भी ज़ोन कुंजी KMS को नहीं छोड़ती है।
कर्तव्यों के पृथक्करण के कारण (उदाहरण के लिए, प्लेटफ़ॉर्म ऑपरेटरों को आराम से एन्क्रिप्टेड डेटा तक पहुंच नहीं मिल सकती है), यह नियंत्रित किया जा सकता है कि कौन सी परिस्थितियों में डिक्रिप्टेड सामग्री तक पहुंच सकता है, जो कि बहुत ही बढ़िया स्तर पर है। डिक्रिप्टेड डेटा तक ऑपरेटरों की पहुंच को सीमित करने के लिए इस पृथक्करण को ठीक-ठाक नीतियों के माध्यम से अपाचे रेंजर में मूल रूप से नियंत्रित किया जाता है।
की रोटेशन और रोलओवर रेंजर केएमएस में प्रदान किए गए समान प्रबंधन इंटरफ़ेस से किया जा सकता है।
सुरक्षा प्रमाणन मानक
Cloudera का प्लेटफ़ॉर्म PCi, HIPAA, GDPR, ISO 270001 और अधिक के मानकों के अनुपालन के लिए प्रमाणित होने के लिए विशिष्ट ग्राहक परिनियोजन के लिए आवश्यक कई प्रमुख अनुपालन और सुरक्षा नियंत्रण प्रदान करता है।
उदाहरण के लिए, इनमें से कई मानकों को आराम और गति में डेटा के एन्क्रिप्शन की आवश्यकता होती है। एचडीएफएस टीडीई के माध्यम से आराम से डेटा के लिए मजबूत स्केलेबल एन्क्रिप्शन और ऑटो-टीएलएस सुविधा के माध्यम से गति में डेटा हमारे प्लेटफॉर्म में मूल रूप से प्रदान किया जाता है। रेंजर केएमएस भी प्रदान किया जाता है जो नीतियों, जीवनचक्र प्रबंधन और कुंजी एस्क्रो को छेड़छाड़-सबूत एचएसएम में सक्षम बनाता है। की एस्क्रो को क्लाउड विक्रेता द्वारा प्रदान किए गए बुनियादी ढांचे के साथ भी समर्थित है।
हमारे प्लेटफ़ॉर्म के लिए उपलब्ध अन्य AAA (प्रमाणीकरण, प्राधिकरण और ऑडिट) नियंत्रणों के साथ संयुक्त, CDP डेटा सेंटर परिनियोजन में हमारा OpDB PCI, HIPAA, ISO 27001 और अधिक की कई आवश्यकताओं को पूरा कर सकता है।
हमारी परिचालन सेवाओं की पेशकश भी एसओसी अनुपालन के लिए प्रमाणित है। अधिक जानकारी के लिए, परिचालन सेवाएँ देखें।
प्रमाणीकरण
उपयोगकर्ता प्रमाणीकरण
क्लौडेरा का मंच उपयोगकर्ता प्रमाणीकरण के निम्नलिखित रूपों का समर्थन करता है:
- Kerberos
- LDAP यूजरनेम/पासवर्ड
- SAML
- OAuth (अपाचे नॉक्स का उपयोग करके)
प्राधिकरण
विशेषता-आधारित अभिगम नियंत्रण
Cloudera का OpDBMS Apache Ranger के माध्यम से रोल-बेस्ड एक्सेस कंट्रोल (RBAC) और एट्रीब्यूट-बेस्ड एक्सेस कंट्रोल (ABAC) प्रदान करता है, जिसे प्लेटफॉर्म के हिस्से के रूप में शामिल किया गया है।
प्राधिकरण सेल स्तर, स्तंभ परिवार स्तर, तालिका स्तर, नाम स्थान स्तर, या विश्व स्तर पर प्रदान किया जा सकता है। यह वैश्विक व्यवस्थापकों, नामस्थान व्यवस्थापकों, तालिका व्यवस्थापकों, या इससे भी अधिक विवरण या इन क्षेत्रों के किसी भी संयोजन के रूप में भूमिकाओं को परिभाषित करने में लचीलेपन की अनुमति देता है।
अपाचे रेंजर बड़े डेटा पारिस्थितिकी तंत्र में लगातार सुरक्षा नीतियों को परिभाषित, प्रशासित और प्रबंधित करने के लिए केंद्रीकृत ढांचा प्रदान करता है। ABAC आधारित नीतियों में विषय (उपयोगकर्ता), कार्रवाई (उदाहरण के लिए बनाएं या अपडेट करें), संसाधन (उदाहरण के लिए तालिका या स्तंभ परिवार) और पर्यावरणीय गुणों का संयोजन शामिल हो सकता है, ताकि प्राधिकरण के लिए एक अच्छी नीति बनाई जा सके।
अपाचे रेंजर कुछ उन्नत सुविधाएँ भी प्रदान करता है जैसे सुरक्षा क्षेत्र (सुरक्षा नीतियों का तार्किक विभाजन), नीतियों से इनकार, और नीति की समाप्ति अवधि (केवल सीमित समय के लिए सक्षम नीति की स्थापना)। ये सुविधाएँ, ऊपर वर्णित अन्य विशेषताओं के संयोजन में, प्रभावी, मापनीय और प्रबंधनीय OpDBMS सुरक्षा नीतियों को परिभाषित करने के लिए एक मजबूत आधार बनाती हैं।
बड़े पैमाने पर OpDB परिवेशों के लिए वर्णनात्मक विशेषताओं का उपयोग OpDBMS एक्सेस को एक्सेस कंट्रोल नीतियों के न्यूनतम सेट का उपयोग करके सटीक रूप से नियंत्रित करने के लिए किया जा सकता है। निम्नलिखित वर्णनात्मक विशेषताएं हैं:
- सक्रिय निर्देशिका (AD) समूह
- अपाचे एटलस-आधारित टैग या वर्गीकरण
- भू-स्थान और विषयों की अन्य विशेषताएं, संसाधन और पर्यावरण गुण
एक बार परिभाषित होने के बाद, Apache Ranger नीतियों को दूसरे OpDBMS वातावरण में निर्यात / आयात किया जा सकता है जिसके लिए बहुत कम प्रयासों के साथ समान अभिगम नियंत्रण की आवश्यकता होती है।
यह दृष्टिकोण अनुपालन कर्मियों और सुरक्षा प्रशासकों को नियमों द्वारा आवश्यक सटीक और सहज सुरक्षा नीतियों को परिभाषित करने में सक्षम बनाता है, जैसे कि जीडीपीआर, एक अच्छे स्तर पर।
डेटाबेस व्यवस्थापक प्राधिकरण
अपाचे रेंजर नीतियों या विशिष्ट योजनाओं जैसे अनुदान और निरस्त तंत्र का उपयोग करके डेटाबेस के विशिष्ट प्रशासन की अनुमति देने के लिए बढ़िया नियंत्रण प्रदान करता है। यह विशिष्ट उपयोगकर्ताओं और समूहों के लिए बढ़िया अनुमति मानचित्रण भी प्रदान करता है। यह केवल आवश्यक अनुमतियों के साथ विशिष्ट संसाधनों (कॉलम, टेबल, कॉलम परिवार और इसी तरह) के लिए डीबीए को अधिकृत करना संभव बनाता है।
इसके अलावा, जब एचडीएफएस में डेटा को एन्क्रिप्ट करने के लिए टीडीई क्षमताओं का उपयोग किया जाता है, तो प्रशासकों या ऑपरेटरों को डेटा को डिक्रिप्ट करने में सक्षम होने से चुनिंदा रूप से अवरुद्ध किया जा सकता है। यह विशिष्ट कुंजी पहुंच नीतियों के साथ प्राप्त किया जाता है, जिसका अर्थ है कि भले ही वे प्रशासनिक संचालन कर सकते हैं, लेकिन वे अंतर्निहित एन्क्रिप्टेड डेटा को नहीं देख या बदल सकते हैं क्योंकि उनके पास कुंजी पहुंच नहीं है।
अनधिकृत उपयोग का पता लगाना और अवरुद्ध करना
क्लौडेरा के कई क्वेरी इंजनों में वैरिएबल बाइंडिंग और क्वेरी कंपाइलेशन हैं जो कोड को उपयोगकर्ता इनपुट के लिए कम संवेदनशील बनाते हैं और SQL इंजेक्शन को रोकते हैं। प्रत्येक ग्राहक-सामना करने वाली रिलीज़ के लिए SQL इंजेक्शन और अन्य कमजोरियों का पता लगाने और प्रत्येक घटक में उपचार के लिए हमारे प्लेटफ़ॉर्म पर डायनामिक पैठ परीक्षण और स्थिर कोड स्कैन किए जाते हैं।
अपाचे रेंजर के व्यापक सुरक्षा ढांचे का उपयोग करके उपयुक्त नीतियों द्वारा अनधिकृत उपयोग को अवरुद्ध किया जा सकता है।
कम से कम विशेषाधिकार मॉडल
Apache Ranger OpDB में एक डिफ़ॉल्ट इनकार व्यवहार प्रदान करता है। यदि किसी उपयोगकर्ता ने किसी संसाधन तक पहुँचने के लिए किसी नीति द्वारा स्पष्ट रूप से अनुमति नहीं दी है, तो उन्हें स्वचालित रूप से अस्वीकार कर दिया जाता है।
स्पष्ट विशेषाधिकार प्राप्त संचालन को नीतियों द्वारा अधिकृत किया जाना चाहिए। विशेषाधिकार प्राप्त उपयोगकर्ता और संचालन विशिष्ट भूमिकाओं के लिए मैप किए जाते हैं।
नीतियों के माध्यम से विशिष्ट संसाधन समूहों के लिए स्पष्ट विशेषाधिकार संचालन और प्रबंधन प्रदान करने के लिए अपाचे रेंजर में प्रत्यायोजित प्रशासन सुविधाएं भी उपलब्ध हैं।
निष्कर्ष
यह ऑपरेशनल डेटाबेस सुरक्षा ब्लॉग पोस्ट का भाग 1 था। हमने क्लाउडेरा के ओपीडीबी द्वारा प्रदान की जाने वाली विभिन्न सुरक्षा सुविधाओं और क्षमताओं को देखा।
Cloudera के OpDB की सुरक्षा-संबंधी विशेषताओं और क्षमताओं के बारे में अधिक जानकारी के लिए एक भाग 2 ब्लॉग पोस्ट जल्द ही आ रहा है!
Cloudera के ऑपरेशनल डेटाबेस ऑफ़रिंग के बारे में अधिक जानकारी के लिए, Cloudera ऑपरेशनल डेटाबेस देखें।