摘要:傳統大資料叢集中,使用者資料明文儲存在HDFS中,叢集的維護人員或者惡意攻擊者可在OS層面繞過HDFS的權限控制機制或者竊取磁盤直接通路使用者資料。
本文分享自華為雲社群《FusionInsight MRS透明加密方案》,作者: 一枚核桃 。
傳統大資料叢集中,使用者資料明文儲存在HDFS中,叢集的維護人員或者惡意攻擊者可在OS層面繞過HDFS的權限控制機制或者竊取磁盤直接通路使用者資料。
FusionInsight MRS引入了Hadoop KMS服務并進行增強,通過對接第三方KMS,可實作資料的透明加密,保障使用者資料安全。
HDFS支援透明加密,Hive、HBase等在HDFS儲存資料的上層元件也将通過HDFS加密保護,加密密鑰通過HadoopKMS從第三方KMS擷取。
對于Kafka、Redis等業務資料直接持久化存儲到本地磁盤的元件,通過基于LUKS的分區加密機制保護使用者資料安全。
HDFS透明加密支援AES、SM4/CTR/NOPADDING加密算法,Hive、HBase使用HDFS透明加密做資料加密保護。SM4加密算法由A-LAB基于OpenSSL提供。
加密使用的密鑰從叢集内的KMS服務擷取,KMS服務支援基于Hadoop KMS REST API對接第三方KMS。
一套FusionInsight Manager内部署一個KMS服務,KMS服務到第三方KMS使用公私鑰認證,每個KMS服務在第三方KMS對應擁有一個CLK。
在CLK下可以申請多個EZK,與HDFS上的加密區對應,用于加密資料加密密鑰,EZK在第三方KMS中持久化儲存。
DEK由第三方KMS生成,通過EZK加密後持久化儲存到NameNode中,使用的時候使用EZK解密。
CLK和EZK兩層密鑰可以輪轉。CLK作為每個叢集的根密鑰,在叢集側不感覺,輪轉完全由第三方KMS控制管理。EZK可通過FI KMS管理,輪轉在FI KMS可控制管理,同時第三方KMS管理者擁有KMS内密鑰的管理能力,也可以做EZK的輪轉。
對于Kafka、Redis等業務資料直接持久化存儲到本地磁盤的元件,FusionInsight叢集支援基于LUKS的分區加密進行敏感資訊保護。
FusionInsight安裝過程的腳本工具使用Linux統一密鑰設定(Linux Unified Key Setup,簡稱LUKS)分區加密方案,該方案加密分區時會在叢集每個節點生成或者從第三方KMS擷取通路密鑰,用于加密資料密鑰,以保護資料密鑰安全性。磁盤分區加密後,重新開機作業系統或者更換磁盤場景下,系統能夠自動擷取密鑰并挂載或建立新的加密分區。
點選關注,第一時間了解華為雲新鮮技術~