前言
数字化转型大背景下,数据作为企业重要的战略资产,其安全的重要性不言而喻。
我们会通过系列文章,来看下大数据生态中安全框架的实现原理与最佳实践,系列文章一共两篇,包含以下章节:
- 大数据生态安全框架概述
- HDFS 认证详解
- HDFS 授权详解
- HIVE 认证详解
- HIVE 授权详解
- 金融行业大数据安全最佳实践
本片文章是上篇,包含上述前三个章节,希望大家喜欢。
1. 大数据生态安全框架概述
数据安全/网络安全领域,有个AAA框架,同样适用于大数据:
- Authentication 认证: 事中:who is trying to access
- Authorization 授权/鉴权: 事前和事中:what resources are allowed to access
- Accounting/Audit/ 审计: 事后:what is being accessed by whom at what time
1.1 Authentication 认证
认证是 AAA 中的第一步,是安全的基础,用户必须证明其身份: The system needs to make sure the person accessing a system is who they say they are. 常见的认证机制有:
- What They Know: 密码或安全问题(password, security questions);
- Who They Are: 指纹或其他生物特征;
- What They Have: Access cards, token (jwt) 在实际应用中,上述认证方法经常被结合起来使用;
1.2 Authorization 授权/鉴权
- Authorization 授权/鉴权,包括事前的授权,事中的鉴权;
- 授权一般需要遵循最小化原则;
- 鉴权确保用户没有访问该用户没有被授权访问的资源;
- 经常使用基于角色的授权与鉴权机制 Role-Based Access Control (RBAC)
1.3 Accounting/Audit 审计
- Accounting/Audit: 审计:记录什么用户在什么时间对什么资源进行了什么访问 (what is being accessed by whom at what time for how long)
- 审计是事后的安全监督措施,可以辅助判断当前的 authenticating 和 authorization 策略是否恰当,是否需要调整,从而形成安全闭环;
- HDFS 在 Audit 上,默认通过log4j在/var/log/Hadoop-hdfs目录下打印了audit日志;
1.4 Encryption 加密
数据安全/网络安全领域,还涉及到 Encryption 加解密,经常接触到到 https, ssh 都用到了加解密算法。
- 加解密的算法,包括对称加密算法和非对称加密算法:DES, AES, RSA(ssh)
- Ssh 底层使用的 RSA加密算法是非对称加密算法;
- 大数据集群中,出于运维方便,经常需要配置 Ssh 免密码登录,此时拷贝给其它机器的是自己的公钥/root/.ssh/id_rsa.pub, /root/.ssh/authorized_keys;
- 加解密包括对静态数据的加解密,和对传输过程中的数据的加解密:data at rest, data in motion/in transit
- 常见的术语有:FDE: full disk encryption, file encryption, End-to-End (e2e) encryption
- HDFS 在 Encryption上,实现了 end-to-end Transparent Encryption, 包含了 at-rest encryption 和 in-transit encryption ,底层通过 KMS(Key Management Server) 服务支持了多个encryption zone;
1.5 总结
- AAA + Encryption 的安全框架,同样适用于大数据。
- 本次分享,我们侧重于Authentication 和 authorization, 不会过多讲述 audit 和 encryption;
- 本此分享,我们侧重于大数据存储框架的安全,主要是 HDFS 和 HIVE;
- 大数据生态中的 authentication 认证,事实上的标准是使用 Kerberos 协议, 我们后文会有详细讲述;
- 大数据生态中的各种存储系统,如HDFS/hive/hbase/zookeeper/kafka等,都支持开启Kerberos安全认证;
- 当大数据集群中的存储系统如HDFS/hive/hbase/zookeeper/kafka等开启了kerberos安全认证后,访问这些存储系统的客户端,包含各种计算引擎如 hive/hbase/spark/flink 的系统服务,和用户编写的各种应用如 spark/hive/flink等,都需要经过 kerberos 认证后才能访问对应的服务(当然还需要 authentication 鉴权!)
2. HDFS 认证详解
HDFS在认证上,支持两种方式,通过参数 hadoop.security.authentication 来进行控制,可选的参数有: simple (no authentication) 和 kerberos,该参数是服务端参数,不能在客户端覆盖!
2.1 HDFS认证详解-hadoop.security.authentication = simple
- 此时用户身份由环境变量或系统参数 HADOOP_USER_NAME 决定,当该环境变量/系统参数不存在时,由当前LINUX登录用户身份决定;
- 所以在没有开启KERBEROS时,我们可以切换到业务用户身份下提交命令,或通过以下方式指定登录用户:
- System.setProperty(UserGroupInformation.HADOOP_USER_NAME, "randomUser");
- Export HADOOP_USER_NAME = randomUser;
2.2 HDFS认证详解-hadoop.security.authentication=kerberos
- Kerberos 是一种计算机网络授权协议(network authentication protocol),用来在非安全网络中,对个人通信以安全的手段进行身份认证;
- Kerberos 协议常见的实现有 MIT kerberos (麻省理工学院开发),ApacheDS (embedded kerberos),freeIPA 等;
kerberos 常见运维操作有:
- 查看kdc服务状态与日志:systemctl status krb5kdc/systemctl status kadmin/journalctl -u krb5kdc
- 查看kerberos配置:/etc/krb5.conf
- Kerberos 底层使用了 tcp与udp协议,主要包括88与749 端口;
- Kerberos 要求所有节点的时钟是同步的,以避免重放攻击 replay attack;
常用的 Kerberos 命令有:
- Klist/klist –kt xx
- Kinit/kinit –kt xxx
- Kdestroy
管理 principal与keytab, 经常使用 Kadmin.local:
- addprinc -randkey xx/delprinc xx/modprinc/getprinc/listprincs
- kadmin.local -q "getprinc liming@TEST.COM" | grep -i life
- xst -norandkey -k dap.keytab dap/uf30-1@CDH.COM
- Cpw/change_password,Ktadd/xst/ktremove
关于 Keytab 和 KRB5CCNAME/Ccache:
- KRB5CCNAME/Ccache: by default is /tmp/krb5cc_0 in linux;
- Kinit –R:you can use kinit -R to renew your tgt when the ticket has not expired and is still within the renewable life, after successful renew, the new KRB5CCNAME,, will be modified;
