EMR

El servicio Elastic MapReduce (EMR) de AWS, a partir de la versión 4.8.0, introdujo una característica de configuración de seguridad que mejora la protección de datos al permitir a los usuarios especificar ajustes de cifrado para datos en reposo y en tránsito dentro de los clústeres EMR, que son grupos escalables de instancias EC2 diseñados para procesar marcos de trabajo de big data como Apache Hadoop y Spark.

Características clave incluyen:

• Cifrado por Defecto del Clúster: Por defecto, los datos en reposo dentro de un clúster no están cifrados. Sin embargo, habilitar el cifrado proporciona acceso a varias características:

• Configuración de Clave Unificada de Linux: Cifra los volúmenes del clúster EBS. Los usuarios pueden optar por el Servicio de Gestión de Claves de AWS (KMS) o un proveedor de claves personalizado.

• Cifrado de HDFS de Código Abierto: Ofrece dos opciones de cifrado para Hadoop:

• Cifrado seguro de Hadoop RPC (Llamada de Procedimiento Remoto), establecido en privacidad, aprovechando la Capa de Seguridad de Autenticación Simple.

• Cifrado de transferencia de bloques de HDFS, establecido en verdadero, utiliza el algoritmo AES-256.

• Cifrado en Tránsito: Se centra en asegurar los datos durante la transferencia. Las opciones incluyen:

• Seguridad de Capa de Transporte de Código Abierto (TLS): El cifrado se puede habilitar eligiendo un proveedor de certificados:

• PEM: Requiere la creación manual y el empaquetado de certificados PEM en un archivo zip, referenciado desde un bucket de S3.

• Personalizado: Implica agregar una clase Java personalizada como proveedor de certificados que suministra artefactos de cifrado.

Una vez que un proveedor de certificados TLS se integra en la configuración de seguridad, se pueden activar las siguientes características de cifrado específicas de la aplicación, que varían según la versión de EMR:

• Hadoop:

• Puede reducir el intercambio cifrado utilizando TLS.

• Se activan el cifrado seguro de Hadoop RPC con Capa de Seguridad de Autenticación Simple y la transferencia de bloques de HDFS con AES-256 en reposo.

• Presto (versión EMR 5.6.0+):

• La comunicación interna entre nodos de Presto está asegurada utilizando SSL y TLS.

• Controlador de Mezcla Tez:

• Utiliza TLS para el cifrado.

• Spark:

• Emplea TLS para el protocolo Akka.

• Utiliza la Capa de Seguridad de Autenticación Simple y 3DES para el Servicio de Transferencia de Bloques.

• El servicio de mezcla externo está asegurado con la Capa de Seguridad de Autenticación Simple.

Estas características mejoran colectivamente la postura de seguridad de los clústeres EMR, especialmente en lo que respecta a la protección de datos durante las fases de almacenamiento y transmisión.

Enumeración

aws emr list-clusters
aws emr describe-cluster --cluster-id <id>
aws emr list-instances --cluster-id <id>
aws emr list-instance-fleets --cluster-id <id>
aws emr list-steps --cluster-id <id>
aws emr list-notebook-executions
aws emr list-security-configurations
aws emr list-studios #Get studio URLs

Escalada de privilegios

Referencias

• https://cloudacademy.com/course/domain-three-designing-secure-applications-and-architectures/elastic-mapreduce-emr-encryption-1/