EMR

O serviço Elastic MapReduce (EMR) da AWS, a partir da versão 4.8.0, introduziu um recurso de configuração de segurança que aprimora a proteção de dados, permitindo que os usuários especifiquem configurações de criptografia para dados em repouso e em trânsito dentro de clusters EMR, que são grupos escaláveis de instâncias EC2 projetadas para processar estruturas de big data como Apache Hadoop e Spark.

Principais características incluem:

• Criptografia Padrão do Cluster: Por padrão, os dados em repouso dentro de um cluster não são criptografados. No entanto, habilitar a criptografia fornece acesso a várias funcionalidades:

• Linux Unified Key Setup: Criptografa os volumes do cluster EBS. Os usuários podem optar pelo AWS Key Management Service (KMS) ou um provedor de chave personalizado.

• Criptografia HDFS de Código Aberto: Oferece duas opções de criptografia para Hadoop:

• RPC Hadoop Seguro (Remote Procedure Call), definido como privacidade, aproveitando a Camada de Segurança de Autenticação Simples.

• Criptografia de transferência de bloco HDFS, definida como verdadeira, utiliza o algoritmo AES-256.

• Criptografia em Trânsito: Foca em garantir a segurança dos dados durante a transferência. As opções incluem:

• Transport Layer Security (TLS) de Código Aberto: A criptografia pode ser habilitada escolhendo um provedor de certificado:

• PEM: Requer a criação manual e o agrupamento de certificados PEM em um arquivo zip, referenciado de um bucket S3.

• Personalizado: Envolve adicionar uma classe Java personalizada como provedor de certificado que fornece artefatos de criptografia.

Uma vez que um provedor de certificado TLS é integrado à configuração de segurança, as seguintes funcionalidades de criptografia específicas do aplicativo podem ser ativadas, variando com base na versão do EMR:

• Hadoop:

• Pode reduzir a transferência criptografada usando TLS.

• RPC Hadoop Seguro com Camada de Segurança de Autenticação Simples e Transferência de Bloco HDFS com AES-256 são ativados com criptografia em repouso.

• Presto (EMR versão 5.6.0+):

• A comunicação interna entre os nós Presto é protegida usando SSL e TLS.

• Tez Shuffle Handler:

• Utiliza TLS para criptografia.

• Spark:

• Emprega TLS para o protocolo Akka.

• Usa Camada de Segurança de Autenticação Simples e 3DES para o Serviço de Transferência de Bloco.

• O serviço de transferência externa é protegido com a Camada de Segurança de Autenticação Simples.

Esses recursos melhoram coletivamente a postura de segurança dos clusters EMR, especialmente em relação à proteção de dados durante as fases de armazenamento e transmissão.

Enumeração

aws emr list-clusters
aws emr describe-cluster --cluster-id <id>
aws emr list-instances --cluster-id <id>
aws emr list-instance-fleets --cluster-id <id>
aws emr list-steps --cluster-id <id>
aws emr list-notebook-executions
aws emr list-security-configurations
aws emr list-studios #Get studio URLs

Escalação de Privilégios

Referências

• https://cloudacademy.com/course/domain-three-designing-secure-applications-and-architectures/elastic-mapreduce-emr-encryption-1/