AWS - EMR Enum

EMR

Der Elastic MapReduce (EMR)-Dienst von AWS hat ab Version 4.8.0 eine Sicherheitskonfigurations-Funktion eingeführt, die den Datenschutz verbessert, indem Benutzer Verschlüsselungseinstellungen für Daten im Ruhezustand und während der Übertragung innerhalb von EMR-Clustern angeben können. Diese Cluster sind skalierbare Gruppen von EC2-Instanzen, die zur Verarbeitung von Big-Data-Frameworks wie Apache Hadoop und Spark entwickelt wurden.

Wichtige Merkmale umfassen:

• Cluster-Verschlüsselung Standard: Standardmäßig sind Daten im Ruhezustand innerhalb eines Clusters nicht verschlüsselt. Das Aktivieren der Verschlüsselung bietet jedoch Zugriff auf mehrere Funktionen:

• Linux Unified Key Setup: Verschlüsselt EBS-Cluster-Volumes. Benutzer können den AWS Key Management Service (KMS) oder einen benutzerdefinierten Schlüsselanbieter wählen.

• Open-Source HDFS-Verschlüsselung: Bietet zwei Verschlüsselungsoptionen für Hadoop:

• Sichere Hadoop RPC (Remote Procedure Call), auf Datenschutz eingestellt, nutzt die Simple Authentication Security Layer.

• HDFS-Blockübertragung Verschlüsselung, auf true gesetzt, verwendet den AES-256-Algorithmus.

• Verschlüsselung während der Übertragung: Konzentriert sich auf die Sicherung von Daten während der Übertragung. Optionen umfassen:

• Open Source Transport Layer Security (TLS): Verschlüsselung kann durch Auswahl eines Zertifikatanbieters aktiviert werden:

• PEM: Erfordert die manuelle Erstellung und Bündelung von PEM-Zertifikaten in einer Zip-Datei, die aus einem S3-Bucket referenziert wird.

• Custom: Beinhaltet das Hinzufügen einer benutzerdefinierten Java-Klasse als Zertifikatanbieter, die Verschlüsselungsartefakte bereitstellt.

Sobald ein TLS-Zertifikatanbieter in die Sicherheitskonfiguration integriert ist, können die folgenden anwendungsspezifischen Verschlüsselungsfunktionen aktiviert werden, die je nach EMR-Version variieren:

• Hadoop:

• Kann die verschlüsselte Shuffle mit TLS reduzieren.

• Sichere Hadoop RPC mit Simple Authentication Security Layer und HDFS-Blockübertragung mit AES-256 werden mit Verschlüsselung im Ruhezustand aktiviert.

• Presto (EMR Version 5.6.0+):

• Interne Kommunikation zwischen Presto-Knoten wird mit SSL und TLS gesichert.

• Tez Shuffle Handler:

• Nutzt TLS zur Verschlüsselung.

• Spark:

• Verwendet TLS für das Akka-Protokoll.

• Nutzt Simple Authentication Security Layer und 3DES für Block Transfer Service.

• Externer Shuffle-Dienst wird mit der Simple Authentication Security Layer gesichert.

Diese Funktionen verbessern zusammen die Sicherheitslage von EMR-Clustern, insbesondere in Bezug auf den Datenschutz während der Speicher- und Übertragungsphasen.

Enumeration

aws emr list-clusters
aws emr describe-cluster --cluster-id <id>
aws emr list-instances --cluster-id <id>
aws emr list-instance-fleets --cluster-id <id>
aws emr list-steps --cluster-id <id>
aws emr list-notebook-executions
aws emr list-security-configurations
aws emr list-studios #Get studio URLs

Privesc

Referenzen

• https://cloudacademy.com/course/domain-three-designing-secure-applications-and-architectures/elastic-mapreduce-emr-encryption-1/