Mejoras de seguridad
MRS es una plataforma para la gestión y el análisis de datos masivos y tiene alta seguridad. MRS protege los datos del usuario y el servicio que se ejecuta de los siguientes aspectos:
- Aislamiento de red
Todo el sistema se implementa en una VPC en la nube pública para proporcionar un entorno de red aislado y garantizar la seguridad de servicio y gestión del clúster. Al combinar las funciones de división de subred, control de ruta y grupo de seguridad de VPC, MRS proporciona un entorno de red aislado seguro y confiable.
- Aislamiento de recursos
MRS admite la implementación de recursos y el aislamiento de recursos físicos en zonas dedicadas. Puede combinar de forma flexible recursos informáticos y de almacenamiento, como recursos informáticos dedicados + recursos de almacenamiento compartidos, recursos informáticos compartidos + recursos de almacenamiento dedicados y recursos informáticos dedicados + recursos de almacenamiento dedicados.
- Seguridad del host
MRS se puede integrar con servicios de seguridad en la nube pública, incluidos Vulnerability Scan Service (VSS), Host Security Service (HSS), Web Application Firewall (WAF), Cloud Bastion Host (CBH) y Web Tamper Protection (WTP). Las siguientes medidas se proporcionan por Huawei Cloud para mejorar la seguridad del sistema operativo y los puertos:
- Mejoras de la seguridad de kernels del sistema operativo
- Control de permisos del sistema operativo
- Gestión de puertos del sistema operativo
- Seguridad de las aplicaciones
Se utilizan las siguientes medidas para garantizar el funcionamiento normal de los servicios de big data:
- Identificación y autenticación
- Seguridad de las aplicaciones de web
- Control de acceso
- Seguridad de auditoría
- Seguridad de contraseñas
- Seguridad de datos
Se proporcionan las siguientes medidas para garantizar la confidencialidad, integridad y disponibilidad de cantidades masivas de datos de usuario:
- Recuperación ante desastres: MRS soporta respaldo de datos a OBS y alta confiabilidad entre regiones.
- Copia de respaldo: MRS admite la copia de respaldo de metadatos de DBService, LDAP y NameNode y la copia de respaldo de datos de servicio HDFS y HBase.
- Integridad de los datos
Los datos se verifican para garantizar su integridad durante el almacenamiento y la transmisión.
- CRC32C se utiliza por defecto para verificar la exactitud de los datos de usuario almacenados en HDFS.
- DataNodes de HDFS almacenan los datos verificados. Si los datos transmitidos desde un cliente son anormales (incompletos), los DataNodes informan de la anormalidad al cliente y el cliente reescribe los datos.
- El cliente comprueba la integridad de los datos cuando lee datos de un DataNode. Si los datos están incompletos, el cliente leerá los datos de otro DataNode.
- confidencialidad de los datos
Basado en Apache Hadoop, el sistema de archivos distribuido de MRS admite el almacenamiento cifrado de archivos para evitar que los datos confidenciales se almacenen en texto plano, mejorando la seguridad de los datos. Las aplicaciones solo necesitan cifrar los datos confidenciales especificados. Los servicios no se ven afectados durante el proceso de cifrado. Basado en el cifrado de datos del sistema de archivos, Hive proporciona cifrado a nivel de tabla y HBase proporciona cifrado a nivel de familia de columnas. Los datos confidenciales se pueden cifrar y almacenar después de especificar un algoritmo de encriptación durante la creación de la tabla.
El almacenamiento cifrado y el control de acceso de los datos se utilizan para garantizar la seguridad de los datos del usuario.
- HBase almacena los datos de servicio en el HDFS después de la compresión. Los usuarios pueden configurar el algoritmo de cifrado de AES y SMS4 para cifrar datos.
- Todos los componentes permiten establecer permisos de acceso para directorios de datos locales. Los usuarios no autorizados no pueden acceder a los datos.
- Toda la información del usuario del clúster se almacena en texto cifrado.
- Autenticación de seguridad
- Utiliza un sistema de autenticación unificado de usuario y basado en roles, así como un modelo de control de acceso basado en cuentas y roles (RBAC) para controlar de forma centralizada los permisos de usuario y gestionar por lotes la autorización de usuario.
- Utiliza el protocolo ligero de acceso a directorios (LDAP) como sistema de gestión de cuentas y realiza la autenticación de Kerberos en las cuentas.
- Proporciona la función de inicio de sesión único (SSO) que gestiona y autentica de forma centralizada a los usuarios de componentes y sistemas de MRS.
- Audita a los usuarios que han iniciado sesión en Manager.