CDP集群安全指南-静态数据加密

已于 2024-12-31 15:50:31 修改
阅读量1k 收藏 23
点赞数 7
CC 4.0 BY-SA版权
分类专栏: 大数据安全 文章标签: 安全 cloudera 大数据 运维
于 2024-12-31 15:46:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LUOHU11/article/details/144848909

[一]静态数据加密的架构

CDP 支持两种加密组件,这些组件可以组合成独特的解决方案。在选择密钥管理系统(KMS)时,您需要决定哪些组件能够满足企业的密钥管理和加密需求。

CDP 加密组件

以下是 Cloudera 用于静态数据加密的组件描述:

  1. Ranger Key Management System (KMS)
    Ranger 扩展了 Hadoop 原生 KMS 的功能,允许将密钥存储在安全的数据库中。它是一个支持 HDFS TDE(透明数据加密)的密码密钥管理服务,但并非通用密钥管理系统。与 Hadoop KMS 不同,Hadoop KMS 将密钥存储在基于文件的 Java Keystore 中,仅能通过 KeyProvider API 访问。

  2. Navigator Encrypt
    提供透明的静态数据加密和保护,无需对应用程序进行更改。

CDP​​​​​​​ 加密解决方案

您可以通过以下任意解决方案部署加密组件来实现静态数据加密:

  1. 仅使用 Ranger KMS(本文演示使用这种方式)

    • 仅由 Ranger KMS 和提供密钥存储的后端数据库组成。
    • Ranger KMS 提供企业级密钥管理。

  2. Ranger KMS + HSM(硬件安全模块)

    • 包含 Ranger KMS(带数据库)和与后端硬件安全模块(HSM)的集成。
    • Ranger KMS 提供企业级密钥管理。
    • HSM 提供加密区密钥保护,仅存储加密主密钥。

[二]静态数据加密的要求

熵要求

加密操作依赖熵来确保随机性,而随机性是防止攻击者预测或破解加密过程的关键。如果随机数缺乏足够的熵,整个加密系统的安全性就会受到威胁。因此,熵在加密中起着至关重要的作用。您可以通过运行以下命令来检查 Linux 系统上的可用熵:

cat /proc/sys/kernel/random/entropy_avail
最低0.47元/天 解锁文章

200万优质内容无限畅学
大数据管理平台CDP集群搭建与数据库
BitCodeW的博客
09-25 877
首先,我们安装和配置CDP集群,包括主节点和工作节点的设置。在CDP集群中,数据库是其中一个核心组件,用于存储和管理结构化数据。请注意,CDP集群的安装和配置以及数据库的选择和配置可能因实际需求而异。Step 3: 配置工作节点:编辑工作节点的配置文件,设置集群参数和节点角色。Step 3: 配置CDP集群:编辑CDP集群的配置文件,设置数据库连接信息。Step 2: 配置主节点:编辑主节点的配置文件,设置集群参数和节点角色。Step 4: 重启CDP集群:重启CDP集群以使数据库配置生效。
Apache Ranger KMS 部署
weixin_42728895的博客
04-01 3059
参考链接: https://blog.csdn.net/lsshlsw/article/details/103930388 https://blog.csdn.net/wank1259162/article/details/122438175 1.背景 需要一个高可用的 KMS 服务用于数据静态加密(HDFS 透明加密 / ORC格式列加密),hadoop 原生基于 java keystore 的 KMS 方案在生产环境并不可靠,列了几种可能的方案: 使用内部自建的 KMS ,实现 hadoop provi
HDFS加密存储(Ranger集成KMS方式)
qq_44530691的博客
04-18 4530
hdfs透明加密Ranger集成KMS服务、Hadoop KMS
【Ambari】Ranger KMS
康师傅没有眼泪
02-25 934
它允许用户创建、列出和管理加密区域,以及处理与加密相关的其他任务。创建名为“winner_kms_key”的kms 策略,并选择用户为 "winner_spark"如下我们用hdfs直接查看文件未授权,切换到 winner_spark用户可正常查看加密分区数据。Encryption中选择“winner_kms”服务,选择 “Add New Key”“winner_kms”策略中配置winner_spark用户操作HDFS的权限。"winner_kms_key"策略添加完成。选择 Ranger KMS安装。
CDPCDP集群如何通过Cloudera Manager配置使用SNMP方式转发告警
Mrerlou的博客
01-03 960
这篇文章参考了大神的文章,如何在CDH平台上集成SNMP服务,然后实现了CDP集群集成SNMP服务,这里描述下,如何集成步骤,在CDP集群中告警是一个很重要的信息,最直观的衡量一个集群的健康状况,那么我们如何来管理集群的告警信息?通过Cloudera Manager来管理的CDP集群,提供了多种告警管理方式(如:邮件、SNMP及自定义告警脚本),本篇文章主要介绍如何通过Cloudera Manager配置使用SNMP方式转发告警。
Apache Ranger KMS 部署文档
偷闲小苑
01-10 6159
很久没写过部署文档了,不过 Apache Ranger KMS 的手动部署较为繁琐,网上的相关资料基本都是散装的,因此写了一篇进行总结。 文章目录背景安装部署安装 ranger-admin安装 ranger-kmsHDFS 配置Kerberos 配置HA 配置KMS LUNA HSMFAQ后记参考 背景 需要一个高可用的 KMS 服务用于数据静态加密(HDFS 透明加密 / ORC格式列加密)...
ranger-kms安装
蘑菇丁的专栏
11-13 897
使install.properties生效,在$RANGER_HOME/ranger-kms/ews/webapp/WEB-INF/classes/conf下生成kms-site.xml和dbks-site.xml具体配置文件。hadoop.security.key.provider.path 指定的是密钥提供者的类路径,是 Hadoop 通用安全配置的一部分。之后授权给hadoop权限,需要mkdir /etc/ranger 之后chown hadoop.hadoop /etc/ranger
AVL台架-PUMA数据管理秘籍:高效数据处理与管理方法
!...# 1. AVL台架-PUMA数据管理概述 ## AVL台架-PUMA系统的背景介绍 AVL台架-PUMA系统是现代汽车工程不可或...本章将对AVL台架-PUMA系统的数据管理进行概述,旨在为专业人员提供一个整体的数据管理框架与参考指南。 ##
百度爱番番实时CDP平台架构实践
cangchen的专栏
02-24 1660
随着营销3.0时代的到来,企业愈发需要依托强大CDP能力解决其严重的数据孤岛问题,帮助企业加温线索、促活客户。但什么是CDP、好的CDP应该具备哪些关键特征?本文在回答此问题的同时,详细讲述了爱番番租户级实时CDP建设实践,既有先进架构目标下的组件选择,也有平台架构、核心模块关键实现的介绍。
【MW2200宝元数控系统数据管理:备份与恢复】:确保数据安全与系统稳定性的实践指南
[【MW2200宝元数控系统数据管理:备份与恢复】:确保数据安全与系统稳定性的实践指南](https://static.wixstatic.com/media/288a8f_385961d7c1a84d639982399c1c586e74~mv2.jpg/v1/fit/w_1000%2Ch_600%2Cal_c%2Cq_80/...
DM8集群部署攻略:实现数据管理横向扩展的高级技巧
本文从理论基础出发,详细介绍了DM8集群的环境准备、网络设置、安装与初始化以及高级配置技巧,包括实例配置、数据分片、负载均衡、故障转移与高可用配置等。文章进一步探讨了性能调优与监控,涵盖了性能监控工具、...
Hadoop3.1.1结合Ranger1.1.0、Ranger-KMS1.1.0创建加密区存储
TT-Learning
08-26 2204
文章目录HDFS加密AES加密算法(对称加密RangerKMS管理HDFS“静态数据加密HDFS加密概述配置和使用HDFS“静态数据加密准备环境创建加密密钥创建加密区域上传、下载、读取加密区中文件 HDFS加密 静态加密的HDFS数据实现了对HDFS读取和写入数据的端到端加密。端到端加密意味着数据仅由客户端加密和解密。其中的加/解密过程对于客户端来说是完全透明的。数据在客户端读操作的时候被解...
离线数仓-09-基于Ranger进行权限管理
迷雾总会解
06-01 1217
主要是介绍了ranger,以及基于ranger进行项目的权限管理。
Ranger一分钟
最新发布
mengml_smile的博客
04-01 289
https://ranger.apache.org/ https://ranger.apache.org/apidocs/ui/index.html
大数据权限管理利器 - Ranger
热门推荐
eyoulc123的博客
03-01 2万+
1. 介绍 Ranger是HDP体系统中安全管理的重要一环。它提供了具体资源(如HBase中的具体表)权限管控、访问监控、数据加密的功能。 2. 组件介绍 2.1 整体说明 Raner是由三个部分组件:Ranger Admin 、Ranger Usersync 与Ranger plugin,它们关系如下: 在Ranger的官网中有对于这三个组件的说明 组件名称 ...
Ranger之对资源策略配置的导入导出(五)
m0_48187193的博客
03-12 1003
导入和导出基于资源的策略 您可以在恢复操作期间或将策略从测试集群移动到生产集群时,从Ranger Admin UI(用于集群弹性(备份))导出和导入策略。您可以导出/导入特定的策略子集(例如那些属于特定资源或用户/组的策略),或者通过Ranger Admin UI克隆整个存储库(或多个存储库)。 导出 您可以通过“服务管理器”页面导入、导出策略: 您还可以在“报表”页面导出策略: 导出策略选择 服务管理页面 报表 格式 JSON JSON,Excel,CSV 过滤支持 No yes
三分钟了解CDP前世今生?不!只要两分钟
Cloudera_CDP的博客
06-09 928
了解大数据行业的小伙伴们都知道,Cloudera 在和HortonWorks 合并后,随即就推出新的一代大数据平台 CDPCloudera Data Platform)。
hadoop之ranger权限配置(二)
weixin_40496191的博客
01-02 2654
ranger权限配置
Ranger之配置高级授权设置(九)
m0_48187193的博客
03-16 1848
配置高级授权设置 配置身份验证时,如何自定义管理员高级设置。 开发自定义授权模块 在Hadoop生态系统中,每个组件(如Hive、HBase)都有自己的授权实现,并能够插入定制的授权模块。要为组件实现集中授权和审计特性,组件应该支持可定制(或可插入)授权模块。 自定义组件授权插件应该做以下事情: •根据策略管理工具中定义的策略提供授权 •根据实现自定义组件授权的授权决策提供审计信息 为了实现自定义组件授权插件,Ranger通用代理框架提供了以下功能: •能够从服务管理器读取给定服务id的所有策略 •能够记
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值