EMR

Η υπηρεσία Elastic MapReduce (EMR) της AWS, ξεκινώντας από την έκδοση 4.8.0, εισήγαγε μια λειτουργία διαμόρφωσης ασφάλειας που βελτιώνει την προστασία των δεδομένων επιτρέποντας στους χρήστες να καθορίσουν ρυθμίσεις κρυπτογράφησης για δεδομένα στην ανάπαυση και κατά τη μεταφορά εντός των συστάδων EMR, οι οποίες είναι επεκτάσιμες ομάδες των EC2 που σχεδιάστηκαν για την επεξεργασία πλαισίων μεγάλων δεδομένων όπως το Apache Hadoop και το Spark.

Κύρια χαρακτηριστικά περιλαμβάνουν:

• Προεπιλεγμένη Κρυπτογράφηση Συστάδας: Από προεπιλογή, τα δεδομένα στην ανάπαυση εντός μιας συστάδας δεν είναι κρυπτογραφημένα. Ωστόσο, η ενεργοποίηση της κρυπτογράφησης παρέχει πρόσβαση σε αρκετές λειτουργίες:

• Ενιαία Διαμόρφωση Κλειδιών Linux: Κρυπτογραφεί τα όγκοι συστάδας EBS. Οι χρήστες μπορούν να επιλέξουν την Υπηρεσία Διαχείρισης Κλειδιών της AWS (KMS) ή έναν παροχέα προσαρμοσμένου κλειδιού.

• Κρυπτογράφηση HDFS Ανοικτού Κώδικα: Προσφέρει δύο επιλογές κρυπτογράφησης για το Hadoop:

• Ασφαλής Hadoop RPC (Remote Procedure Call), ρυθμισμένο στην ιδιωτικότητα, εκμεταλλευόμενο το Επίπεδο Απλής Αυθεντικοποίησης Ασφάλειας.

• Κρυπτογράφηση μεταφοράς μπλοκ HDFS, ρυθμισμένη σε true, χρησιμοποιεί τον αλγόριθμο AES-256.

• Κρυπτογράφηση κατά τη Μεταφορά: Επικεντρώνεται στην ασφάλεια των δεδομένων κατά τη μεταφορά. Οι επιλογές περιλαμβάνουν:

• Κρυπτογράφηση Μεταφοράς Επιπέδου Μεταφοράς Ανοικτού Κώδικα (TLS): Η κρυπτογράφηση μπορεί να ενεργοποιηθεί επιλέγοντας έναν πάροχο πιστοποιητικών:

• PEM: Απαιτεί χειροκίνητη δημιουργία και συσκευασία πιστοποιητικών PEM σε ένα αρχείο zip, που αναφέρεται από ένα κάδο S3.

• Προσαρμοσμένο: Περιλαμβάνει την προσθήκη ενός προσαρμοσμένου τάξης Java ως πάροχο πιστοποιητικών που παρέχει κρυπτογράφηση αντικειμένων.

Μόλις ένας πάροχος πιστοποιητικού TLS ενσωματωθεί στη διαμόρφωση ασφάλειας, μπορούν να ενεργοποιηθούν οι ακόλουθες εφαρμογές-συγκεκριμένες λειτουργίες κρυπτογράφησης, ποικίλλοντας ανάλογα με την έκδοση του EMR:

• Hadoop:

• Μπορεί να μειώσει την κρυπτογράφηση μεταφοράς χρησιμοποιώντας TLS.

• Ασφαλής Hadoop RPC με Επίπεδο Απλής Αυθεντικοποίησης Ασφάλειας και Κρυπτογράφηση Μεταφοράς Μπλοκ με AES-256 ενεργοποιούνται με κρυπτογράφηση στην ανάπαυση.

• Presto (EMR έκδοση 5.6.0+):

• Η εσωτερική επικοινωνία μεταξύ των κόμβων Presto είναι ασφαλισμένη χρησιμοποιώντας SSL και TLS.

• Χειριστής Ανακάτεμα Tez:

• Χρησιμοποιεί TLS για την κρυπτογράφηση.

• Spark:

• Χρησιμοποιεί TLS για το πρωτόκολλο Akka.

• Χρησιμοποιεί το Επίπεδο Απλής Αυθεντικοποίησης Ασφάλειας και το 3DES για την Υπηρεσία Μεταφοράς Μπλοκ.

• Η εξωτερική υπηρεσία ανακάτεμα είναι ασφαλισμένη με το Επίπεδο Απλής Αυθεντικοποίησης Ασφάλειας.

Αυτά τα χαρακτηριστικά ενισχύουν συλλογικά τη θέση ασφαλείας των συστάδων EMR, ιδιαίτερα όσον αφορά την προστασία δεδομένων κατά τις φάσεις αποθήκευσης και μετάδοσης.

Απαρίθμηση

aws emr list-clusters
aws emr describe-cluster --cluster-id <id>
aws emr list-instances --cluster-id <id>
aws emr list-instance-fleets --cluster-id <id>
aws emr list-steps --cluster-id <id>
aws emr list-notebook-executions
aws emr list-security-configurations
aws emr list-studios #Get studio URLs

Ανύψωση δικαιωμάτων

Αναφορές

• https://cloudacademy.com/course/domain-three-designing-secure-applications-and-architectures/elastic-mapreduce-emr-encryption-1/