摘要:傳統大資料叢集中,使用者資料明文儲存在HDFS中,叢集的維護人員或者惡意攻擊者可在OS層面繞過HDFS的許可權控制機制或者竊取磁碟直接訪問使用者資料。
本文分享自華為雲社群《FusionInsight MRS透明加密方案》,作者: 一枚核桃 。
概述
傳統大資料叢集中,使用者資料明文儲存在HDFS中,叢集的維護人員或者惡意攻擊者可在OS層面繞過HDFS的許可權控制機制或者竊取磁碟直接訪問使用者資料。
FusionInsight MRS引入了Hadoop KMS服務並進行增強,通過對接第三方KMS,可實現資料的透明加密,保障使用者資料安全。
- HDFS支援透明加密,Hive、HBase等在HDFS儲存資料的上層元件也將通過HDFS加密保護,加密金鑰通過HadoopKMS從第三方KMS獲取。
- 對於Kafka、Redis等業務資料直接持久化儲存到本地磁碟的元件,通過基於LUKS的分割槽加密機制保護使用者資料安全。
HDFS透明加密
- HDFS透明加密支援AES、SM4/CTR/NOPADDING加密演算法,Hive、HBase使用HDFS透明加密做資料加密保護。SM4加密演算法由A-LAB基於OpenSSL提供。
- 加密使用的金鑰從叢集內的KMS服務獲取,KMS服務支援基於Hadoop KMS REST API對接第三方KMS。
- 一套FusionInsight Manager內部署一個KMS服務,KMS服務到第三方KMS使用公私鑰認證,每個KMS服務在第三方KMS對應擁有一個CLK。
- 在CLK下可以申請多個EZK,與HDFS上的加密區對應,用於加密資料加密金鑰,EZK在第三方KMS中持久化儲存。
- DEK由第三方KMS生成,通過EZK加密後持久化儲存到NameNode中,使用的時候使用EZK解密。
- CLK和EZK兩層金鑰可以輪轉。CLK作為每個叢集的根金鑰,在叢集側不感知,輪轉完全由第三方KMS控制管理。EZK可通過FI KMS管理,輪轉在FI KMS可控制管理,同時第三方KMS管理員擁有KMS內金鑰的管理能力,也可以做EZK的輪轉。
LUKS分割槽加密
對於Kafka、Redis等業務資料直接持久化儲存到本地磁碟的元件,FusionInsight叢集支援基於LUKS的分割槽加密進行敏感資訊保護。
FusionInsight安裝過程的指令碼工具使用Linux統一金鑰設定(Linux Unified Key Setup,簡稱LUKS)分割槽加密方案,該方案加密分割槽時會在叢集每個節點生成或者從第三方KMS獲取訪問金鑰,用於加密資料金鑰,以保護資料金鑰安全性。磁碟分割槽加密後,重啟作業系統或者更換磁碟場景下,系統能夠自動獲取金鑰並掛載或建立新的加密分割槽。