MRS云服务安全最佳实践
安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云,详情请参见责任共担。
MapReduce服务(MRS)提供租户完全可控的大数据集群,兼容开源接口,结合华为云计算、存储优势及大数据行业经验,为客户提供高性能、低成本、灵活易用的全栈大数据平台。同时,租户的集群部署在独立的VPC内实现网络隔离,集群支持Kerberos认证、细粒度权限管理,支持加密传输,加密存储,支持多维度的数据备份。
本文提供了MapReduce服务(MRS)使用过程中的安全最佳实践,旨在为提高用户业务数据的整体安全能力提供可操作的规范性指导。
本文将从以下几个维度给出建议,您可以根据业务需要在本指导的基础上进行安全配置。
配置合理的用户权限
用户通过MapReduce服务(MRS)管理控制台与MRS集群进行交互,查看MRS集群状态监控以及进行集群相关管理操作,首次使用MRS服务时需要进行服务授权,建议用户结合业务场景,参考配置MRS云服务授权按需进行最小化授权。
MRS基于IAM进行权限管理,支持细粒度授权,用户可以依据业务场景进行权限管理,进行最小化授权,请参考创建IAM用户并授权使用MRS。
开启Kerberos认证,启用集群安全模式
Hadoop社区版本提供两种认证方式Kerberos认证(安全模式)和Simple认证(普通模式),在创建集群时,MRS支持配置是否启用Kerberos认证,集群创建完成后不支持修改。
安全模式的MRS集群统一使用Kerberos认证协议进行安全认证。Kerberos协议支持客户端与服务端进行相互认证,提高了安全性,可有效消除使用网络发送用户凭据进行模拟认证的安全风险。
集群中由KrbServer服务提供Kerberos认证支持,请参考MRS集群Kerberos认证介绍。
管控数分开部署,提高集群可靠性
MRS支持“自定义”集群部署方式,自定义集群可实现以下功能:
- 管控分离部署,管理角色和控制角色分别部署在不同的Master节点中。
- 管控合设部署,管理角色和控制角色共同部署在Master节点中。
- 组件分开部署,避免资源争抢。
建议用户管控分设、数据分设,提高集群可靠性,请参考MRS集群部署方案说明。
启用组件数据传输加密
MRS安全模式集群大部分组件默认启用传输加密,但部分组件由于性能考虑默认没有开启传输加密,如Hadoop、Kafka、ZooKeeper,用户可以根据业务需求启用传输加密,请参考MRS集群安全加固。
启用数据备份恢复
MRS提供对集群内的用户数据及系统数据的备份恢复能力,备份功能按组件提供。
系统支持备份Manager的数据、组件元数据及业务数据。用户可以根据业务需求启用数据备份恢复,请参考MRS集群数据备份恢复简介。
