大数据集群安全方案

一，简介

大数据平台安全体系的四个层次说起：外围安全、数据安全、访问安全以及访问行为监控。

• 外围安全技术多指传统意义上提到的网络安全技术，如防火墙，登陆认证等；
• 数据安全从狭义上说包括对用户数据的加解密，又可细分为存储加密和传输加密；还包括用户数据的脱敏，脱敏可以看做“轻量级”的数据加密。如某人的生日为“2014-12-12”，脱敏后的数据为“2014-x-x”。数据的轮廓依然存在，但已无法精确定位数值。
• 访问安全主要是对用户的授权进行管理。Linux/Unix系统中用户-组的读、写、执行权限管理堪称其中的经典模型。HDFS对这一概念进行了扩充，形成了更加完备的ACL体系；
• 访问安全主要是对用户的授权进行管理。Linux/Unix系统中用户-组的读、写、执行权限管理堪称其中的经典模型。HDFS对这一概念进行了扩充，形成了更加完备的ACL体系；

大数据集群暴露在公网上的服务有两种， WebUI 控制台和RESTful 服务。

 

二， 初级访问方案

访问：

1. 开启防火墙，使用网络代理。Knox网关技术。

2. 对原生的端口进行代理访问，访问协议从HTTP升级到HTTPS。

3. 访问网关时，认证通过的用户才能继续访问。 LDAP

 

数据授权和管理

保护大数据平台中的资源安全。包括数据资源和消息资源。

Ranger：集成所有子系统的权限管理功能并提供统一的授权界面。

 

三， 服务安全方案

1. FreeIPA 安装 Kerberos和LDAP

当创建一个用户时，FreeIPA会创建3个用户，Kerberos和LDAP和linux用户。

 

四，单点登录和用户管理

目前，平台上已经有三套系统：Knox，Ranger和CDH，各有一套用户系统，引入CAS。