云安全深度剖析：第三方解决方案于实践

2025-09-30 理论教育版权反馈

【摘要】：目前，Hadoop安全市场已出现爆炸性的增长，很多厂商都发布了安全加强版的Hadoop和对Hadoop的安全加以补充的解决方案。再如，2013年Cloudera发布Hadoop开源授权组件Sentry。在Hive中，Sentry在服务器、数据库、表和视图范围内提供不同特权级别的访问控制。基于角色的管理 Sentry通过基于角色的授权简化了管理，可以轻易将访问同一数据集的不同特权级别授予多个组。同时，通过Hive等访问数据时可以使用同样的Sentry协议。Sentry架构主要由一个核心授权提供者和一个结合层组成。

目前，Hadoop安全市场已出现爆炸性的增长，很多厂商都发布了安全加强版的Hadoop和对Hadoop的安全加以补充的解决方案。比如Intel开源安全版Hadoop项目Rhino。Rhino项目所列出的希望在Hadoop中实现的安全特性有支持加密和密钥管理、一个超越Hadoop当前提供的用户及群组ACL的通用授权框架、一个基于认证框架的通用令牌、改善HBase的安全性以及改善安全审计。再如，2025年Cloudera发布Hadoop开源授权组件Sentry。组件Sentry为了对正确的用户和应用程序提供精确的访问级别，提供了细粒度级、基于角色的授权以及多租户的管理模式。通过引入Sentry，Hadoop可以在以下几个方面满足企业和政府用户的RBAC需求：

（1）安全授权 Sentry可以控制数据访问，并对已通过验证的用户提供数据访问特权。

（2）细粒度访问控制 Sentry支持细粒度的Hadoop数据和元数据访问控制。在Hive中，Sentry在服务器、数据库、表和视图范围内提供不同特权级别的访问控制。

（3）基于角色的管理 Sentry通过基于角色的授权简化了管理，可以轻易将访问同一数据集的不同特权级别授予多个组。

（4）多租户管理 Sentry允许为委派给不同管理员的不同数据集设置权限。在Hive中，Sentry可以在数据库/Schema级别进行权限管理。(https://www.chuimin.cn)

（5）统一平台为确保数据安全，Sentry提供一个统一平台，使用现有的Hadoop Kerberos实现安全认证。同时，通过Hive等访问数据时可以使用同样的Sentry协议。

Sentry架构主要由一个核心授权提供者和一个结合层组成。核心授权提供者包括：①一个协议引擎，可以评估和验证安全协议；②一个协议提供者，负责解析协议。结合层提供一个可插拔的接口，实现与协议引擎的对话。

另外，Apache也有Accumulo项目，Accumulo是一个可靠的、可伸缩的、高性能的排序分布式的Key-Value存储解决方案，基于单元访问控制以及可定制的服务器端处理，使用BigTable设计思路，基于Hadoop、Zookeeper和Thrift构建。

云安全深度剖析：第三方解决方案于实践

相关推荐