AWS - EMR Enum
EMR
Der AWS Elastic MapReduce (EMR)-Dienst führte ab Version 4.8.0 eine Sicherheitskonfiguration ein, die den Datenschutz verbessert, indem Benutzern ermöglicht wird, Verschlüsselungseinstellungen für Daten im Ruhezustand und während der Übertragung innerhalb von EMR-Clustern festzulegen. Diese Cluster sind skalierbare Gruppen von EC2-Instanzen, die für die Verarbeitung von Big-Data-Frameworks wie Apache Hadoop und Spark konzipiert sind.
Wichtige Merkmale sind:
Cluster-Verschlüsselung Standardmäßig: Daten im Ruhezustand innerhalb eines Clusters sind standardmäßig nicht verschlüsselt. Die Aktivierung der Verschlüsselung bietet jedoch Zugriff auf mehrere Funktionen:
Linux Unified Key Setup: Verschlüsselt EBS-Cluster-Volumes. Benutzer können sich für den AWS Key Management Service (KMS) oder einen benutzerdefinierten Schlüsselanbieter entscheiden.
Open-Source HDFS-Verschlüsselung: Bietet zwei Verschlüsselungsoptionen für Hadoop:
Sichere Hadoop RPC (Remote Procedure Call), auf Datenschutz eingestellt, nutzt die Simple Authentication Security Layer.
HDFS-Blockübertragungsverschlüsselung, auf true eingestellt, verwendet den AES-256-Algorithmus.
Verschlüsselung während der Übertragung: Konzentriert sich auf die Sicherung von Daten während der Übertragung. Optionen sind:
Open-Source Transport Layer Security (TLS): Die Verschlüsselung kann aktiviert werden, indem ein Zertifikatanbieter ausgewählt wird:
PEM: Erfordert die manuelle Erstellung und Bündelung von PEM-Zertifikaten in einer Zip-Datei, die aus einem S3-Bucket referenziert wird.
Benutzerdefiniert: Beinhaltet das Hinzufügen einer benutzerdefinierten Java-Klasse als Zertifikatanbieter, die Verschlüsselungsartefakte bereitstellt.
Sobald ein TLS-Zertifikatanbieter in die Sicherheitskonfiguration integriert ist, können die folgenden anwendungsspezifischen Verschlüsselungsfunktionen aktiviert werden, die je nach EMR-Version variieren:
Hadoop:
Kann die verschlüsselte Shuffle unter Verwendung von TLS reduzieren.
Sichere Hadoop RPC mit Simple Authentication Security Layer und HDFS-Blockübertragung mit AES-256 werden mit der Ruhezustandsverschlüsselung aktiviert.
Presto (EMR-Version 5.6.0+):
Die interne Kommunikation zwischen Presto-Knoten ist durch SSL und TLS gesichert.
Tez Shuffle Handler:
Verwendet TLS zur Verschlüsselung.
Spark:
Nutzt TLS für das Akka-Protokoll.
Verwendet Simple Authentication Security Layer und 3DES für den Blockübertragungsdienst.
Der externe Shuffle-Dienst ist durch die Simple Authentication Security Layer gesichert.
Diese Funktionen verbessern gemeinsam die Sicherheitslage von EMR-Clustern, insbesondere hinsichtlich des Datenschutzes während der Speicherung und Übertragung von Daten.
Aufzählung
Privilege Escalation
pageAWS - EMR PrivescReferenzen
Last updated