EMR

AWS의 Elastic MapReduce (EMR) 서비스는 버전 4.8.0부터 보안 구성 기능을 도입했으며, EMR 클러스터 내에서 데이터의 안정성을 향상시키는 방법으로 데이터의 안정성 및 이동 중 암호화 설정을 지정할 수 있도록 합니다. 이는 Apache Hadoop 및 Spark와 같은 대규모 데이터 프레임워크를 처리하기 위해 설계된 EC2 인스턴스의 확장 가능한 그룹인 EMR 클러스터 내에서 데이터의 안전을 강화합니다.

주요 특징은 다음과 같습니다:

• 클러스터 암호화 기본값: 기본적으로 클러스터 내의 정지된 데이터는 암호화되지 않습니다. 그러나 암호화를 활성화하면 다음과 같은 기능에 액세스할 수 있습니다:

• Linux 통합 키 설정: EBS 클러스터 볼륨을 암호화합니다. 사용자는 AWS Key Management Service (KMS) 또는 사용자 지정 키 제공자를 선택할 수 있습니다.

• 오픈 소스 HDFS 암호화: Hadoop에 대해 두 가지 암호화 옵션이 제공됩니다:

• 개인 정보로 설정된 안전한 Hadoop RPC (원격 프로시저 호출), Simple Authentication Security Layer를 활용합니다.

• AES-256 알고리즘을 활용하여 설정된 HDFS 블록 전송 암호화가 활성화됩니다.

• 이동 중 암호화: 전송 중 데이터를 안전하게 보호하는 데 초점을 맞춥니다. 옵션에는 다음이 포함됩니다:

• 오픈 소스 전송 계층 보안 (TLS): 인증서 제공자를 선택함으로써 암호화를 활성화할 수 있습니다:

• PEM: PEM 인증서를 수동으로 생성하고 S3 버킷에서 참조되는 zip 파일에 번들링하는 것이 필요합니다.

• 사용자 지정: 암호화 아티팩트를 제공하는 사용자 지정 Java 클래스를 추가하는 것이 필요합니다.

한 번 TLS 인증서 제공자가 보안 구성에 통합되면 EMR 버전에 따라 다양한 응용 프로그램별 암호화 기능을 활성화할 수 있습니다:

• Hadoop:

• TLS를 사용하여 암호화된 셔플을 줄일 수 있습니다.

• Simple Authentication Security Layer 및 AES-256를 사용하여 안정된 Hadoop RPC 및 HDFS 블록 전송이 활성화됩니다.

• Presto (EMR 버전 5.6.0 이상):

• Presto 노드 간의 내부 통신은 SSL 및 TLS를 사용하여 보호됩니다.

• Tez Shuffle Handler:

• 암호화에 TLS를 활용합니다.

• Spark:

• Akka 프로토콜에 대해 TLS를 사용합니다.

• Simple Authentication Security Layer 및 3DES를 사용하여 블록 전송 서비스를 제공합니다.

• 외부 셔플 서비스는 Simple Authentication Security Layer로 보호됩니다.

이러한 기능은 EMR 클러스터의 보안 포지션을 종합적으로 강화하며, 특히 저장 및 전송 단계에서 데이터 보호에 관한 것입니다.

열거

aws emr list-clusters
aws emr describe-cluster --cluster-id <id>
aws emr list-instances --cluster-id <id>
aws emr list-instance-fleets --cluster-id <id>
aws emr list-steps --cluster-id <id>
aws emr list-notebook-executions
aws emr list-security-configurations
aws emr list-studios #Get studio URLs

권한 상승

참고 자료

• https://cloudacademy.com/course/domain-three-designing-secure-applications-and-architectures/elastic-mapreduce-emr-encryption-1/