本文將介紹如何保證HBase數據的安全性。
在HBase客戶端和服務器進程和網關之間配置了安全身份驗證後,您需要考慮數據本身的安全性。HBase提供了下列的幾種保護數據的策略:
- 基於角色的訪問控制(RBAC),它控制哪些用戶或組可以使用熟悉的角色範例來讀取和寫入給定的HBase資源或執行協處理器端點。
- 可見性標籤,允許您標記單元格並控制對標記單元格的訪問,以進一步限制誰可以讀取或寫入數據的某些子集。可見性標籤存儲為標籤。
- 在HFile和WAL中對底層文件系統的靜態數據進行透明加密。這可以保護您的數據免受可以訪問底層文件系統的攻擊者的影響,而無需更改客戶端的實現。它還可以防止不正確放置的磁盤洩漏數據,這對法律和法規遵從性可能很重要。
在本章節的後續內容中,我們將介紹這些功能中的每個功能的服務器端配置、管理和實現細節,以及任何性能權衡。最後將給出一個安全配置示例,所有的功能一起使用。
HBase安全的各個方面都在積極發展和快速演變。您為了保護您的數據而採取的任何策略都應該進行徹底的測試。另外,其中一些功能還處於實驗階段。要利用其中的許多功能,您必須運行HBase 0.98+並使用HFile v3文件格式。
你需要保護敏感文件,本節中的幾個過程要求您在群集節點之間複製文件。複製包含敏感字符串的密鑰,配置文件或其他文件時,請使用安全方法(例如ssh,以避免洩露敏感數據)。
基本的服務器端配置
1、通過在hbase-site.xml中將hfile.format.version設置為3來啟用HFile v3 。這是HBase 1.0和更高版本的默認值。
<code><property>
<name>hfile.format.version/<name>
<value>3/<value>
/<property>/<code>
2、為RPC和ZooKeeper啟用SASL和Kerberos身份驗證。
分享到:
閱讀更多 會飛的魚go 的文章
