Google為其全託管Apache Spark與Hadoop服務Cloud Dataproc,增加支援網路身份驗證協定Kerberos以及Hadoop安全模式,用戶現在不只能夠在雲端使用進階安全功能,也能使用原本企業內Hadoop和Spark環境熟悉的安全控制方式。

使用Kerberos和Hadoop安全模式,用戶可以在不需要更改安全政策以及程序的情況,將現有的Hadoop安全控制直接搬遷到雲端。當Hadoop以安全模式執行,則Hadoop服務以及每個使用者都需要使用Kerberos進行身份驗證。

Kerberos則為一個網路身份驗證協定,以安全的方法讓節點在不安全的網路中進行溝通,Kerberos採用客戶端與伺服器架構,兩方可以互相進行身份認證,能用於防止竊聽、重放攻擊或是保護資料的完整性。

使用者可以啟用Cloud Dataproc中的新功能,連結Cloud Dataproc與Microsoft Active Directory,並且節點之間傳輸的資料也會即時加密,還能支援多租戶叢集。Cloud Dataproc上的Kerberos和Hadoop安全模式,能為用戶提供與傳統Hadoop安全平臺奇偶校驗,使得工作負載移植的過程更為安全輕鬆。

在Cloud Dataproc中的常見Kerberos配置,每個GCP使用者都與Cloud Identity關聯,而這樣的身份認證機制可以讓使用者以SSH操作叢集、以API執行任務,或是創建像是Cloud Dataproc等雲端資源。

Google提到,當用戶使用Kerberos的Hadoop應用程式,則必須要包含Kerberos原則,因為Microsoft Active Directory對使用者以及群組來說,是以Cross-Realm Trust的方式映射到Cloud Dataproc的Kerberos原則。而當Hadoop應用程式需要使用Cloud Storage,則可以使用Cloud Storage連接器,這個連接器能以帳戶身份認證存取Cloud Storage,並讓Hadoop以區塊層級存取Cloud Storage的資料。

用戶可以在Cloud Dataproc控制臺,勾選啟用Kerberos和Hadoop安全模式選項,而且為了安全地交換密鑰以及管理者密碼,用戶需要另外使用金鑰管理服務,創建並加密這些機密資訊檔案,才能在控制臺中應用。Cloud Dataproc預設啟用包括即時加密在內的所有Hadoop安全模式功能,Cloud Dataproc也會為加密自動產生自簽署的憑證。


Advertisement

更多 iThome相關內容