EMR

Служба Elastic MapReduce (EMR) AWS, починаючи з версії 4.8.0, ввела функцію конфігурації безпеки, яка підвищує захист даних, дозволяючи користувачам вказувати налаштування шифрування для даних у спокої та під час передачі в межах кластерів EMR, які є масштабованими групами екземплярів EC2, призначеними для обробки великих фреймворків даних, таких як Apache Hadoop та Spark.

Ключові характеристики включають:

• Зашифрування кластера за замовчуванням: За замовчуванням дані у спокої в межах кластера не шифруються. Однак увімкнення шифрування надає доступ до кількох функцій:

• Linux Unified Key Setup: Шифрує EBS кластерні томи. Користувачі можуть вибрати службу керування ключами AWS (KMS) або власного постачальника ключів.

• Шифрування HDFS з відкритим кодом: Пропонує два варіанти шифрування для Hadoop:

• Безпечний Hadoop RPC (Remote Procedure Call), встановлений на конфіденційність, використовуючи простий шар аутентифікації безпеки.

• Шифрування передачі блоків HDFS, встановлене на true, використовує алгоритм AES-256.

• Шифрування під час передачі: Спрямоване на захист даних під час передачі. Опції включають:

• TLS з відкритим кодом: Шифрування може бути увімкнено, вибравши постачальника сертифікатів:

• PEM: Вимагає ручного створення та пакування сертифікатів PEM у zip-файл, на які посилається з відра S3.

• Користувацький: Передбачає додавання власного класу Java як постачальника сертифікатів, який надає шифрувальні артефакти.

Після інтеграції постачальника сертифікатів TLS в конфігурацію безпеки можуть бути активовані наступні функції шифрування, які варіюються в залежності від версії EMR:

• Hadoop:

• Може зменшити зашифровану пересилку за допомогою TLS.

• Безпечний Hadoop RPC з простим шаром аутентифікації безпеки та передача блоків HDFS з AES-256 активовані з шифруванням у спокої.

• Presto (версія EMR 5.6.0+):

• Внутрішнє спілкування між вузлами Presto захищене за допомогою SSL та TLS.

• Tez Shuffle Handler:

• Використовує TLS для шифрування.

• Spark:

• Використовує TLS для протоколу Akka.

• Використовує простий шар аутентифікації безпеки та 3DES для служби передачі блоків.

• Зовнішній служба пересилання захищена простим шаром аутентифікації безпеки.

Ці функції спільно підвищують безпеку кластерів EMR, особливо щодо захисту даних під час фаз зберігання та передачі.

Перелік

aws emr list-clusters
aws emr describe-cluster --cluster-id <id>
aws emr list-instances --cluster-id <id>
aws emr list-instance-fleets --cluster-id <id>
aws emr list-steps --cluster-id <id>
aws emr list-notebook-executions
aws emr list-security-configurations
aws emr list-studios #Get studio URLs

Підвищення привілеїв

Посилання

• https://cloudacademy.com/course/domain-three-designing-secure-applications-and-architectures/elastic-mapreduce-emr-encryption-1/