溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章將為大家詳細講解有關 大數據安全規范的示例分析,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。
大數據安全規范
大數據的安全體系分為五個層次:周邊安全、數據安全、訪問安全(認證 - authentication和授權 - authorization)、訪問行為可見、錯誤處理和異常管理。下面依次說明:
1.周邊安全技術即傳統意義上提到的網絡安全技術,如防火墻等;
2.數據安全包括對數據的加解密,又可細分為存儲加密和傳輸加密;還包括對數據的脫敏;
3.訪問安全主要是對用戶的認證和授權兩個方面:
用戶認證(Authentication)
即是對用戶身份進行核對, 確認用戶即是其聲明的身份, 這里包括用戶和服務的認證
用戶授權(Authorization)
即是權限控制,對特定資源, 特定訪問用戶進行授權或拒絕訪問。用戶授權是建立再用戶認證的基礎上,沒有可靠的用戶認證談不上用戶授權。
訪問安全還包括數據驗證(data validation)
1> type. int string等
2> format. phone email等
3> length.
4> range.
5> precense or absence.
6> match in lookup tables.
7> other bussiness rules
4.訪問行為可見多指記錄用戶對系統的訪問行為(審計和日志):如查看哪個文件;運行了哪些查詢;訪問行為監控一方面為了進行實時報警,迅速處置危險的訪問行為;另一方面為了事后調查取證,從長期的數據訪問行為中分析定位特定的目的。
5.錯誤處理和異常管理
這個主要是針對錯誤發現,一般做法是建立并逐步完善的監控系統,對可能發生或已發生的情況進行預警或者告警。還包括異常攻擊事件監測,目前發現的針對攻擊的辦法有:
1>攻擊鏈分析,按照威脅檢測的時間進行分析,描述攻擊鏈條
2>相同類型的攻擊事件進行合并統計
3>異常流量學習正常訪問流量,流量異常時進行告警
在這五個層次中,第三層(訪問安全)同業務的關系最為直接:應用程序的多租戶,分權限訪問控制都直接依賴這一層的技術實現,那么我們的重點也將放在這一層上。眾所周知的是, hadoop本身提供的認證(主要是kerberos)不易維護,授權(主要是ACL)又很粗粒度,為此我們通過對兩個重量級公司(Cloudera和Hortonworks)開源的關于安全的服務進行對比(參見博文)后決定使用Hortonworks開源的Ranger。 Ranger為企業級hadoop生態服務提供了許多安全套件,通過集中化權限管理為用戶/組提供文件、文件夾、數據庫、表及列的認證、授權控制,還可以提供審計(通過solr進行查詢),新推出的RangerKMS還支持對hdfs數據加密等
通過Ranger提供的用戶/組同步功能實現認證,Ranger可以整合Unix或者LDAP進行用戶認證管理
帳號分為運維帳號和開發用戶帳號。
運維帳號按服務拆為多個賬號,不同的賬號操作不同的服務,具體如下:
服務 | 用戶 |
Flume | flume |
HDFS | hdfs |
MapReduce | mapred |
HBase | hbase |
Hive | hive |
Kafka | kafka |
Oozie | oozie |
Ranger | ranger |
Spark | spark |
Sqoop | sqoop |
Storm | storm |
YARN | yarn |
ZooKeeper | zookeeper |
Ambari Metrics | ams |
開發用戶賬號,每個用戶一個帳號,按團隊分組,不同的賬號或組操作不同的文件或表,如果需要操作別人的數據,需要運維進行授權
目錄 | 規則 |
/source | 主要存儲原始采集的日志,存儲規則如下: /source/{業務名稱}/{日期},其中: 業務名稱: 比如發送記錄等 日期: 格式統一為yyyyMMdd |
/data | 存儲的規范和source一樣, 數據倉庫之前的文件臨時目錄 清理時間待定 |
/workspace | 工作空間,存儲規則如下:/workspace/{團隊名稱}/{業務名稱|產品名稱} 對方 |
/user | 用戶空間,存儲用戶私有數據,僅用戶自己可以訪問。按照開發人員 自己的習慣組織存儲文件,用于存儲用戶的測試數據, 清理時間待定 |
/user/hive/warehouse | 存儲hive倉庫,按照團隊創建庫;公共日志按照業務名進行創建, 每個團隊可以創建一個屬于團隊的hive庫 |
/temp | 用來存儲一些臨時文件
每月清理一次 |
權限管理有2種方案,ACL方案(粗粒度)和 ranger方案(細粒度),基于我們的數據需求,先考慮使用ranger提供的細粒度權限控制
使用Ranger UI界面進行權限的管理,目前各個服務提供的權限如下:
服務 | 服務詳情 | 權限 |
HDFS | hdfs path | Read、Write、Execute |
HBase | table、column family、column | Read、Write、Create、Admin |
Hive | database、table|function、column | Select、Update、Create、Drop、Alter、Index、Lock、All |
YARN | queue | Submit-job、Admin-queue |
Kafka | topic | Publish、Consume、Configure、Describe、Kafka Admin |
團隊 | 團隊成員組 | 服務 | 權限 |
dp(數據平臺) | dp | HDFS | Read、Write、Execute |
HBase | Read、Write | ||
Hive | Select | ||
YARN | Submit-job | ||
Kafka | Publish、Consume、Configure、Describe | ||
dm(數據挖掘) | dm | HDFS | Read、Write、Execute |
HBase | Read、Write | ||
Hive | Select | ||
YARN | Submit-job | ||
da(數據應用) | da | HDFS | Read、Write、Execute |
HBase | Read、Write | ||
Hive | Select | ||
YARN | Submit-job | ||
op(運維) | hadoop管理員 | HDFS、HBase、Hive、YARN、Kafka | All |
個人帳號:在線上操作要精確到個人
每個團隊的leader向管理員提出申請,經過評審通過后方可授予相應的權限
關于 大數據安全規范的示例分析就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
