AWS - EMR Enum
EMR
O serviço Elastic MapReduce (EMR) da AWS, a partir da versão 4.8.0, introduziu um recurso de configuração de segurança que aprimora a proteção de dados, permitindo que os usuários especifiquem configurações de criptografia para dados em repouso e em trânsito dentro de clusters EMR, que são grupos escaláveis de instâncias EC2 projetadas para processar estruturas de big data como Apache Hadoop e Spark.
Principais características incluem:
Criptografia Padrão do Cluster: Por padrão, os dados em repouso dentro de um cluster não são criptografados. No entanto, habilitar a criptografia fornece acesso a várias funcionalidades:
Linux Unified Key Setup: Criptografa os volumes do cluster EBS. Os usuários podem optar pelo AWS Key Management Service (KMS) ou um provedor de chave personalizado.
Criptografia HDFS de Código Aberto: Oferece duas opções de criptografia para Hadoop:
RPC Hadoop Seguro (Remote Procedure Call), definido como privacidade, aproveitando a Camada de Segurança de Autenticação Simples.
Criptografia de transferência de bloco HDFS, definida como verdadeira, utiliza o algoritmo AES-256.
Criptografia em Trânsito: Foca em garantir a segurança dos dados durante a transferência. As opções incluem:
Transport Layer Security (TLS) de Código Aberto: A criptografia pode ser habilitada escolhendo um provedor de certificado:
PEM: Requer a criação manual e o agrupamento de certificados PEM em um arquivo zip, referenciado de um bucket S3.
Personalizado: Envolve adicionar uma classe Java personalizada como provedor de certificado que fornece artefatos de criptografia.
Uma vez que um provedor de certificado TLS é integrado à configuração de segurança, as seguintes funcionalidades de criptografia específicas do aplicativo podem ser ativadas, variando com base na versão do EMR:
Hadoop:
Pode reduzir a transferência criptografada usando TLS.
RPC Hadoop Seguro com Camada de Segurança de Autenticação Simples e Transferência de Bloco HDFS com AES-256 são ativados com criptografia em repouso.
Presto (EMR versão 5.6.0+):
A comunicação interna entre os nós Presto é protegida usando SSL e TLS.
Tez Shuffle Handler:
Utiliza TLS para criptografia.
Spark:
Emprega TLS para o protocolo Akka.
Usa Camada de Segurança de Autenticação Simples e 3DES para o Serviço de Transferência de Bloco.
O serviço de transferência externa é protegido com a Camada de Segurança de Autenticação Simples.
Esses recursos melhoram coletivamente a postura de segurança dos clusters EMR, especialmente em relação à proteção de dados durante as fases de armazenamento e transmissão.
Enumeração
Escalação de Privilégios
pageAWS - EMR PrivescReferências
Última actualización