AWS - EMR Enum

EMR

O serviço Elastic MapReduce (EMR) da AWS, a partir da versão 4.8.0, introduziu um recurso de configuração de segurança que aprimora a proteção de dados, permitindo que os usuários especifiquem configurações de criptografia para dados em repouso e em trânsito dentro dos clusters EMR, que são grupos escaláveis de instâncias EC2 projetados para processar frameworks de big data como Apache Hadoop e Spark.

Características principais incluem:

• Criptografia Padrão do Cluster: Por padrão, os dados em repouso dentro de um cluster não são criptografados. No entanto, habilitar a criptografia fornece acesso a vários recursos:

• Linux Unified Key Setup: Criptografa volumes de cluster EBS. Os usuários podem optar pelo AWS Key Management Service (KMS) ou um provedor de chave personalizado.

• Criptografia HDFS de Código Aberto: Oferece duas opções de criptografia para Hadoop:

• Secure Hadoop RPC (Remote Procedure Call), configurado para privacidade, aproveitando o Simple Authentication Security Layer.

• Criptografia de transferência de bloco HDFS, configurada para true, utiliza o algoritmo AES-256.

• Criptografia em Trânsito: Foca na segurança dos dados durante a transferência. As opções incluem:

• Open Source Transport Layer Security (TLS): A criptografia pode ser habilitada escolhendo um provedor de certificado:

• PEM: Requer a criação manual e empacotamento de certificados PEM em um arquivo zip, referenciado de um bucket S3.

• Custom: Envolve adicionar uma classe Java personalizada como um provedor de certificado que fornece artefatos de criptografia.

Uma vez que um provedor de certificado TLS é integrado na configuração de segurança, os seguintes recursos de criptografia específicos de aplicativos podem ser ativados, variando com base na versão do EMR:

• Hadoop:

• Pode reduzir o shuffle criptografado usando TLS.

• Secure Hadoop RPC com Simple Authentication Security Layer e HDFS Block Transfer com AES-256 são ativados com criptografia em repouso.

• Presto (versão EMR 5.6.0+):

• A comunicação interna entre os nós Presto é protegida usando SSL e TLS.

• Tez Shuffle Handler:

• Utiliza TLS para criptografia.

• Spark:

• Emprega TLS para o protocolo Akka.

• Usa Simple Authentication Security Layer e 3DES para Block Transfer Service.

• O serviço de shuffle externo é protegido com o Simple Authentication Security Layer.

Esses recursos coletivamente aprimoram a postura de segurança dos clusters EMR, especialmente no que diz respeito à proteção de dados durante as fases de armazenamento e transmissão.

Enumeração

aws emr list-clusters
aws emr describe-cluster --cluster-id <id>
aws emr list-instances --cluster-id <id>
aws emr list-instance-fleets --cluster-id <id>
aws emr list-steps --cluster-id <id>
aws emr list-notebook-executions
aws emr list-security-configurations
aws emr list-studios #Get studio URLs

Privesc

Referências

• https://cloudacademy.com/course/domain-three-designing-secure-applications-and-architectures/elastic-mapreduce-emr-encryption-1/