首页 理论教育Hadoop内置安全机制-云安全深度剖析

Hadoop内置安全机制-云安全深度剖析

2023-11-18 理论教育 版权反馈
【摘要】:目前,Hadoop内置的安全机制主要如下:1)在RPC连接上进行双向认证。从以上的描述可以看出,Hadoop内置的安全机制主要是依赖Kerberos协议。因此,很多厂商近年来纷纷采取措施,积极应对Hadoop的安全性问题。但是,有些安全问题可能需要第三方的Hadoop安全补充工具来解决。尽管Hadoop能基于用户及群组许可和访问控制列表进行授权,但还不能完全满足企业严格的安全性需求。

目前,Hadoop内置的安全机制主要如下:

1)在RPC连接上进行双向认证。Hadoop的客户端通过Hadoop的RPC访问相应的服务,Hadoop在RPC层中添加了权限认证机制,所有的RPC都会使用SASL/GSS API进行连接。其中SASL协商使用Kerberos或DIGEST-MD5协议。

2)HDFS使用的认证。一方面指强制执行HDFS的文件许可,使用Kerberos协议认证和授权令牌认证,这个授权令牌可以作为接下来访问HDFS的凭证,即可以通过NameNode,根据文件许可强制执行对HDFS中文件的访问控制;另一方面指用于数据块访问控制的块访问令牌。当需要访问数据块时,NameNode会根据HDFS的文件许可做出访问控制决策,并发出一个块访问令牌给客户端,只有使用这个令牌才能从相应的DataNode获取数据块。因为DataNode没有文件或访问许可的概念,所以必须在HDFS许可和数据块的访问之间建立对接。

3)用作业令牌强制任务授权。作业令牌是由JobTracker创建的,传给TaskTracker,确保每个Task(任务)只能做交给它去做的任务,也可以把Task配置成当用户提交作业时才运行,简化访问控制检查。这样就防止了恶意用户使用Task干扰TaskTracker或者其他用户的Task。

4)HDFS在启动时,NameNode首先进入一个安全模式,此时系统不会写入任何数据。在安全模式下,NameNode会检测数据块的最小副本数,当一定比例的数据块达到最小副本数如3时,系统就会退出安全模式,否则系统会自动补全副本以达到一定的数据块比列。

5)当客户端从HDFS获得数据时,客户端会检测从DataNode收到的数据块,通过检测每个数据块的校验和来验证这个数据块是否损坏。如果损坏则从其他DataNode获得这个数据块的副本,以保证数据的完整性和可用性。(www.chuimin.cn)

从以上的描述可以看出,Hadoop内置的安全机制主要是依赖Kerberos协议。然而,该协议并没有涵盖企业在安全方面的需求,如基于角色的验证和LDAP的支持等。因此,很多厂商近年来纷纷采取措施,积极应对Hadoop的安全性问题。但是,有些安全问题可能需要第三方的Hadoop安全补充工具来解决。其原因如下:

1)静态数据不加密。目前HDFS上的静态数据没有加密。那些对Hadoop集群中的数据加密有严格安全要求的组织,被迫使用第三方工具实现HDFS层面的加密,或安全性经过加强的Hadoop版本。

2)以Kerberos为中心的方式。Hadoop依靠Kerberos进行身份验证。对于采用其他身份认证方式的组织而言,这意味着他们要单独搭建一套认证系统。

3)有限的授权能力。尽管Hadoop能基于用户及群组许可和访问控制列表进行授权,但还不能完全满足企业严格的安全性需求。因此,对于企业自身而言,需要自行实现合适的基于角色的安全访问机制。比如有的组织基于XACML和基于属性的访问控制,使用灵活动态的访问控制策略。

4)安全模型和配置的复杂性。Hadoop的认证有几个相关的数据流,用于应用程序和Hadoop服务的Kerberos RPC认证,以及使用代理令牌、块令牌和作业令牌等。对于网络加密,也必须配置几种加密机制,用于SASL机制的保护质量等。所有的这些设置都要分别进行配置,并且很容易出错。

有关云安全深度剖析:技术原理及应用实践的文章

  • 云计算特点:安全深度剖析 云计算特点:安全深度剖析

    资源通常包括存储、CPU、内存、网络带宽以及虚拟机等。云系统之所以能够自动控制优化某种服务的资源使用,是因为云系统利用了经过某种程度抽象的测量能力,如存储、CPU、带宽或者活动用户账号等。从云计算的概念中还可以得出云计算的特性是大规模、多用户、虚拟化、高可靠性及成本低廉等。所以无论是从云计算本身的规模,还是其处理数据的规模,云计算的一大主要特性就是大规模。云计算平台使用虚拟化技术满足不同的用户需求。......

    2023-11-18

    详细阅读
  • 云计算发展历程-云安全深度剖析 云计算发展历程-云安全深度剖析

    了解云计算的发展历程,可以洞悉云计算的发展规律,从中可以更好地洞察云计算技术的发展趋势。下面是对云计算发展历程的简要回顾[12]。2008年2月1日,IBM公司决定将在中国无锡建立世界上首个云计算中心。2008年5月10日,此云计算中心投入运营。2008年7月29日,Yahoo、Intel和HP公司宣布一项橫跨新加坡、德国和美国的联合研究计划,以此来推动云计算的发展。2009年1月,阿里软件在江苏南京建立首个“电子商务云计算中心”。......

    2023-11-18

    详细阅读
  • 云服务风险概述:云安全深度剖析 云服务风险概述:云安全深度剖析

    从用户角度来看,云计算意味着数据、计算及应用均通过网络被转移到用户掌控范围之外的云服务提供商手中,因此,用户隐私信息和云服务风险等问题随之而来。从技术层面来看,传统信息安全存在的问题在云端上同样存在,而且还因为云计算的商业模式及虚拟化等技术的引入,使得云服务面临新的服务风险问题。用户必须明确使用云计算所引入的各种风险。......

    2023-11-18

    详细阅读
  • 云计算实体:云安全深度剖析及实践 云计算实体:云安全深度剖析及实践

    由图1-16可知,NIST的云计算参考架构定义了云计算中的5个主要参与者:云消费者、云提供者、云审计者、云代理和云载体。每个参与者都是参与云计算中事务或流程以及执行任务的一个实体。云代理 云代理是一个能够协调云提供者和云消费者两者关系的实体。......

    2023-11-18

    详细阅读
  • 云安全深度剖析:云安全深度剖析及应用实践 云安全深度剖析:云安全深度剖析及应用实践

    关于资源调度方面的研究,大部分都是基于网格计算系统的资源调度策略演变而来的。徐保民等人[31]模拟市场经济中有关资源公平分配的原则,提出了一个基于伯格模型的资源公平调度算法。研究基于QoS的调度通常以最小完成时间或最优跨度等为目标。参考文献[36]中从约束的QoS资源分配问题出发引入博弈论,给出了一个公平的资源调度算法。......

    2023-11-18

    详细阅读
  • 云安全技术风险剖析-云安全深度剖析 云安全技术风险剖析-云安全深度剖析

    技术上的风险主要是指云服务的构建和功能缺陷所带来的风险。......

    2023-11-18

    详细阅读
  • 云基础设施架构分析-云安全深度剖析 云基础设施架构分析-云安全深度剖析

    图3-1 云基础设施栈结构图1.云数据中心网络结构对于数据中心而言,传统的数据中心架构和服务方式已经逐渐落后于时代需求,用户对安全、高效及节能等方面的要求也越来越迫切。......

    2023-11-18

    详细阅读
  • 云安全深度剖析:Kerberos简介 云安全深度剖析:Kerberos简介

    Kerberos的设计针对客户端/服务器模型,为其相互提供身份验证,并保证其协议信息不受窃听和重播攻击。Kerberos是通过一种可信任的通过传统的加密技术来执行认证的第三方认证服务。Kerberos以第三方的形式提供身份验证机制,并以主从架构及利用集中密钥控管方式,以及应用TGS,通过共享私钥的加密提供各项服务,建立安全及可靠的身份鉴别系统。2)应用服务器端,提供用户应用程序服务的Kerberos服务器端。图7-8 Kerberos身份验证过程示意步骤1:客户端向KDC请求TGT。......

    2023-11-18

    详细阅读