FusionInsight MRS透明加密方案

傳統(tǒng)大數(shù)據(jù)集群中，用戶數(shù)據(jù)明文保存在HDFS中，集群的維護(hù)人員或者惡意攻擊者可在OS層面繞過HDFS的權(quán)限控制機(jī)制或者竊取磁盤直接訪問用戶數(shù)據(jù)。

FusionInsight MRS引入了Hadoop KMS服務(wù)并進(jìn)行增強(qiáng)，通過對接第三方KMS，可實現(xiàn)數(shù)據(jù)的透明加密，保障用戶數(shù)據(jù)安全。

HDFS支持透明加密，Hive、HBase等在HDFS保存數(shù)據(jù)的上層組件也將通過HDFS加密保護(hù)，加密密鑰通過HadoopKMS從第三方KMS獲取。

對于Kafka、Redis等業(yè)務(wù)數(shù)據(jù)直接持久化存儲到本地磁盤的組件，通過基于LUKS的分區(qū)加密機(jī)制保護(hù)用戶數(shù)據(jù)安全。

HDFS透明加密支持AES、SM4/CTR/NOPADDING加密算法，Hive、HBase使用HDFS透明加密做數(shù)據(jù)加密保護(hù)。SM4加密算法由A-LAB基于OpenSSL提供。

加密使用的密鑰從集群內(nèi)的KMS服務(wù)獲取，KMS服務(wù)支持基于Hadoop KMS REST API對接第三方KMS。

一套FusionInsight Manager內(nèi)部署一個KMS服務(wù)，KMS服務(wù)到第三方KMS使用公私鑰認(rèn)證，每個KMS服務(wù)在第三方KMS對應(yīng)擁有一個CLK。

在CLK下可以申請多個EZK，與HDFS上的加密區(qū)對應(yīng)，用于加密數(shù)據(jù)加密密鑰，EZK在第三方KMS中持久化保存。

DEK由第三方KMS生成，通過EZK加密后持久化保存到NameNode中，使用的時候使用EZK解密。

CLK和EZK兩層密鑰可以輪轉(zhuǎn)。CLK作為每個集群的根密鑰，在集群側(cè)不感知，輪轉(zhuǎn)完全由第三方KMS控制管理。EZK可通過FI KMS管理，輪轉(zhuǎn)在FI KMS可控制管理，同時第三方KMS管理員擁有KMS內(nèi)密鑰的管理能力，也可以做EZK的輪轉(zhuǎn)。

對于Kafka、Redis等業(yè)務(wù)數(shù)據(jù)直接持久化存儲到本地磁盤的組件，F(xiàn)usionInsight集群支持基于LUKS的分區(qū)加密進(jìn)行敏感信息保護(hù)。

FusionInsight安裝過程的腳本工具使用Linux統(tǒng)一密鑰設(shè)置（Linux Unified Key Setup，簡稱LUKS）分區(qū)加密方案，該方案加密分區(qū)時會在集群每個節(jié)點生成或者從第三方KMS獲取訪問密鑰，用于加密數(shù)據(jù)密鑰，以保護(hù)數(shù)據(jù)密鑰安全性。磁盤分區(qū)加密后，重啟操作系統(tǒng)或者更換磁盤場景下，系統(tǒng)能夠自動獲取密鑰并掛載或創(chuàng)建新的加密分區(qū)。

EI企業(yè)智能 FusionInsight MapReduce

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。