Hadoop安全大數據平臺隱私保護/圖靈程序設計叢書
內容描述
《Hadoop安全:大數據平臺隱私保護》闡述了Hadoop從早期開放的消費因特網時代到現在作為敏感數據可信平臺的演變歷程,介紹了包括身份驗證、加密、密鑰管理和商業實踐在內的諸多主題,並在實際環境下加以討論。靠前章是介紹性內容,隨後分為四大部分:靠前部分是安全架構,第二部分是驗證、授權和安全審計,第三部分是數據安全,第四部分是歸納總結。很後介紹了幾個使用案例,融合了書中諸多概念。《Hadoop安全:大數據平臺隱私保護》適合對Hadoop感興趣的讀者,有大數據平臺保護需求的讀者。
目錄大綱
第1章引言1
1.1安全概覽1
1.1.1機密性2
1.1.2完整性2
1.1.3可用性2
1.1.4驗證、授權和審計3
1.2 Hadoop安全:簡史5
1.3 Hadoop組件和生態系統5
1.3.1 Apache HDFS 6
1.3.2 Apache YARN 7
1.3.3 Apache MapReduce 8
1.3.4 Apache Hive 9
1.3.5 Cloudera Impala 9
1.3.6 Apache Sentry 10
1.3.7 Apache HBase 11
1.3.8 Apache Accumulo 11
1.3.9 Apache Solr 13
1.3.10 Apache Oozie 13
1.3.11 Apache ZooKeeper 13
1.3.12 Apache Flume 13
1.3.13 Apache Sqoop 14
1.3.14 Cloudera Hue 14
1.4小結14
第一部分安全架構
第2章保護分佈式系統16
2.1威脅種類17
2.1.1非授權訪問/偽裝17
2.1.2內在威脅17
2.1.3拒絕服務18
2.1.4數據威脅18
2.2威脅和風險評估18
2.2.1用戶評估19
2.2.2環境評估19
2.3漏洞19
2.4深度防禦20
2.5小結21
第3章系統架構22
3.1運行環境22
3.2網絡安全23
3.2.1網絡劃分23
3.2.2網絡防火牆24
3.2.3入侵檢測和防禦25
3.3 Hadoop角色和隔離策略27
3.3.1主節點28
3.3.2工作節點29
3.3.3管理節點29
3.3.4邊界節點30
3.4操作系統安全31
3.4.1遠程訪問控制31
3.4.2主機防火牆31
3.4 .3 SELinux 33
3.5小結34
第4章Kerberos 35
4.1為什麼是Kerberos 35
4.2 Kerberos概覽36
4.3 Kerberos工作流:一個簡單示例37
4.4 Kerberos信任38
4.5 MIT Kerberos 39
4.5.1服務端配置41
4.5.2客戶端配置44
4.6小結46
第二部分驗證、授權和審計
第5章身份和驗證48
5.1身份48
5.1.1將Kerberos主體映射為用戶名49
5.1.2 Hadoop用戶到組的映射50
5.1.3 Hadoop用戶配置54
5.2身份驗證54
5.2.1 Kerberos 55
5.2.2用戶名和密碼驗證56
5.2.3令牌56
5.2.4用戶模擬59
5.2.5配置60
5.3小結70
第6章授權71
6.1 HDFS授權71
HDFS擴展ACL 72
6.2服務級授權74
6.3 MapReduce和YARN的授權85
6.3.1 MapReduce(MR1) 86
6.3. 2 YARN (MR2) 87
6.6 HBase和Accumulo的授權95
6.6.1系統、命名空間和表級授權95
6.6.2列級別和單元級別授權99
6.7小結99
第7章Apache Sentry(孵化中) 100
7.1 Sentry概念100
7.2 Sentry服務102
7.3 Hive授權105
7.4 Impala授權110
7.5 Solr授權112
7.6 Sentry特權模型113
7.6.1 SQL特權模型114
7.6.2 Solr特權模型116
7.7 Sentry策略管理118
7.7.1 SQL命令118
7.7.2 SQL策略文件121
7.7.3 Solr策略文件123
7.7.4策略文件的驗證和校驗124
7.7.5從策略文件遷移126
7.8小結127
第8章審計128
8.1 HDFS審計日誌129
8.2 MapReduce審計日誌130
8.3 YARN審計日誌132
8.4 Hive審計日誌134
8.5 Cloudera Impala審計日誌134
8.6 HBase審計日誌135
8.7 Accumulo審計日誌137
8.8 Sentry審計日誌139
8.9日誌聚合140
8.10小結141
第三部分數據安全
第9章數據保護144
9.1加密算法144
9.2靜態數據加密145
9.2. 1加密和密鑰管理146
9.2.2 HDFS靜態數據加密146
9.2.3 MapReduce2中間數據加密151
9.2.4 Impala磁盤溢出加密152
9.2.5全盤加密152
9.2.6文件系統加密154
9.2.7 Hadoop中重要數據的安全考慮155
9.3動態數據加密156
9.3.1傳輸層安全156
9.3.2 Hadoop動態數據加密157
9.4數據銷毀和刪除162
9.5小結163
第10章數據導入安全164
10.1導入數據的完整性165
10.2數據導入的機密性166
10.2.1 Flume加密167
10.2.2 Sqoop加密173
10.3導入工作流178
10.4企業架構179
10.5小結180
第11章數據提取和客戶端訪問安全181
11.1 Hadoop命令行接口182
11.2保護應用安全183
11.3 HBase 184
11.3.1 HBase shell 184
11.3.2 HBase REST網關186
11.3.3 HBase Thrift網關189
11.4 Accumulo 190
11.4.1 Accumulo shell 190
11.4.2 Accumulo代理服務192
11.5 Oozie 192
11.6 Sqoop 194
11.7 SQL訪問195
11.7.1 Impala 195
11.7.2 Hive 200
11.8 WebHDFS/HttpFS 208
11.9小結209
第12章Cloudera Hue 210
12.1 Hue HTTPS 211
12.2 Hue身份驗證212
12.2.1 SPNEGO後端212
12.2.2 SAML後端213
12.2.3 LDAP後端215
12.3 Hue授權218
12.4 Hue SSL客戶端配置219
12.5小結219
第四部分綜合應用
第13章案例分析222
13.1案例分析:Hadoop數據倉庫222
13.1.1環境搭建223
13.1.2用戶體驗226
13.1.3小結229
13.2案例分析:交互式HBase Web應用230
13.2.1設計與架構230
13.2.2安全需求231
13.2.3集群配置232
13.2.4實現中的注意事項236
13.2.5小結237
後記238
關於作者240
作者介紹
作者:(美)本·斯派維作者:喬伊·愛徹利維亞譯者:趙雙譯者:白波
喬伊·愛徹利維亞,Rocana公司軟件工程師,在Hadoop平台上構建了IT運行分析系統。作為Kite SDK的提交者,他為多個項目貢獻了代碼,包括Apache Flume、Sqoop、Hadoop和HBase。Ben Spivey,Cloudera解決方案架構師,曾在多家世界500強企業工作,涉及金融服務、零售、醫療等多個行業。在於客戶的Hadoop集群進行規劃、安裝、配置以及安全保護方面有豐富經驗。趙雙(DFlower)Insight—Labs網絡安全小組成員,中國科學院信息工程研究所助理研究員,中國科學院大學授課講師。具有多年網絡安全研究實戰及大數據技術應用經驗,研究方向包括惡意代碼及APT檢測、智能終端安全、大數據安全等,多次在XCON、OWASP、HITCON等國內外網絡安全峰會發表技術演講。白波(Schnix)畢業於西安交通大學,現任中國科學院信息工程研究所工程師。具有多年安全數據分析實戰經驗,研究方向包括APT檢測分析、大數據安全、智能終端安全等,參與牽頭起草行業標準1篇,獲得省部級科學技術獎1次。