EMR

Il servizio Elastic MapReduce (EMR) di AWS, a partire dalla versione 4.8.0, ha introdotto una funzionalità di configurazione della sicurezza che migliora la protezione dei dati consentendo agli utenti di specificare impostazioni di crittografia per i dati a riposo e in transito all'interno dei cluster EMR, che sono gruppi scalabili di istanze EC2 progettate per elaborare framework di big data come Apache Hadoop e Spark.

Le caratteristiche chiave includono:

• Crittografia predefinita del cluster: Di default, i dati a riposo all'interno di un cluster non sono crittografati. Tuttavia, abilitare la crittografia fornisce accesso a diverse funzionalità:

• Linux Unified Key Setup: Crittografa i volumi del cluster EBS. Gli utenti possono optare per il servizio AWS Key Management Service (KMS) o un provider di chiavi personalizzato.

• Crittografia HDFS open-source: Offre due opzioni di crittografia per Hadoop:

• Secure Hadoop RPC (Remote Procedure Call), impostato su privacy, sfruttando il Simple Authentication Security Layer.

• Crittografia del trasferimento dei blocchi HDFS, impostata su true, utilizza l'algoritmo AES-256.

• Crittografia in transito: Si concentra sulla sicurezza dei dati durante il trasferimento. Le opzioni includono:

• Open Source Transport Layer Security (TLS): La crittografia può essere abilitata scegliendo un provider di certificati:

• PEM: Richiede la creazione manuale e il raggruppamento di certificati PEM in un file zip, referenziato da un bucket S3.

• Personalizzato: Coinvolge l'aggiunta di una classe Java personalizzata come fornitore di certificati che fornisce artefatti di crittografia.

Una volta integrato un provider di certificati TLS nella configurazione della sicurezza, le seguenti funzionalità di crittografia specifiche dell'applicazione possono essere attivate, variando in base alla versione di EMR:

• Hadoop:

• Potrebbe ridurre lo shuffle crittografato utilizzando TLS.

• Secure Hadoop RPC con Simple Authentication Security Layer e HDFS Block Transfer con AES-256 sono attivati con la crittografia a riposo.

• Presto (EMR versione 5.6.0+):

• La comunicazione interna tra i nodi Presto è protetta utilizzando SSL e TLS.

• Tez Shuffle Handler:

• Utilizza TLS per la crittografia.

• Spark:

• Impiega TLS per il protocollo Akka.

• Utilizza Simple Authentication Security Layer e 3DES per il servizio di trasferimento dei blocchi.

• Il servizio di shuffle esterno è protetto con il Simple Authentication Security Layer.

Queste funzionalità migliorano collettivamente la postura di sicurezza dei cluster EMR, specialmente per quanto riguarda la protezione dei dati durante le fasi di archiviazione e trasmissione.

Enumerazione

aws emr list-clusters
aws emr describe-cluster --cluster-id <id>
aws emr list-instances --cluster-id <id>
aws emr list-instance-fleets --cluster-id <id>
aws emr list-steps --cluster-id <id>
aws emr list-notebook-executions
aws emr list-security-configurations
aws emr list-studios #Get studio URLs

Privesc

References

• https://cloudacademy.com/course/domain-three-designing-secure-applications-and-architectures/elastic-mapreduce-emr-encryption-1/