磚我憑證透傳的是如何解決公共數據授權問題
2019年7月17日, 在公司博客上
在我們的第一篇博文,我們介紹了磚我憑證透傳作為一個安全、方便的方式為客戶管理訪問他們的數據。beplay体育app下载地址在這篇文章中,我們將仔細看看如何透傳比較和其他身份和訪問管理(IAM)係統。如果你不熟悉透傳,我們建議您繼續閱讀之前的第一篇文章。
一個好的雲我係統的屬性
當我們的客戶選擇一beplay体育app下载地址個係統來管理他們的用戶訪問雲數據,他們尋找共同的屬性如下:
- 安全:用戶應該能夠訪問隻有他們授權訪問的數據。
- 歸因:管理員應該能夠跟蹤數據訪問的用戶發起和審計曆史訪問。這個審計應該值得信賴:用戶不能刪除或修改審計日誌。
- 易於管理:較大的組織通常有一些人事管理我係統與數以百計的非管理用戶,比如數據科學家,分析師和數據工程師。非管理用戶可能有幾十個權利(例如,“PII訪問用戶數據”,“寫日誌管道表”,“閱讀銷售總表”)。
- 效率:係統應該盡可能的。應該在用戶之間共享資源,而不是閑置著。
在這篇文章中,我們將探討一些常見的雲我係統和如何實現這些特性。我們將完成的勘探數據磚我憑證透傳,以及它如何實現安全性和歸因沒有犧牲易於管理和效率。
每個福利最優係統1:一個EC2實例
AWS客戶通常代beplay体育app下载地址表權利使用我實例配置文件:他們會有一個實例配置文件來訪問所有的數據從一個特定的客戶,另一個讀某個類的數據,等等。用戶可以獲得權利的一些數據上運行代碼的AWS EC2實例相關聯的實例檔案附呈。因為每個AWS EC2實例隻能有一個實例,我們看到最常見的一種解決方案是為客戶推出一個單獨的EC2實例為每個權利在他們的係統。beplay体育app下载地址管理團隊將負責確保用戶隻能訪問集群與適當的津貼。
每個福利最優係統1:一個EC2實例安全-該係統的主要優點是它直截了當地安全。隻要正確管理團隊地圖用戶EC2實例,每個用戶可以訪問正確的權限集。
歸因,該係統對用戶不允許歸因。因為所有的用戶在一個給定的EC2實例共享相同的實例配置文件,進行審計日誌等AWS CloudTrail隻能屬性訪問實例,而不是用戶運行代碼實例。
易於管理,這個係統很容易管理提供的用戶數量和權利仍然很小。然而,政府變得越來越困難,因為組織尺度:管理員需要確保每個用戶訪問隻有EC2實例使用正確的實例配置文件,這可能需要手動管理如果實例配置文件不簡潔地映射到政策在管理的身份管理係統(如LDAP或Active Directory)。
效率- - - - - -這個係統需要單獨為每個權利EC2實例,迅速成為貴組織的許可模型變得更加複雜。如果隻有少數用戶與特定權利,EC2實例,要麼閑置著一天中大部分(增加成本)或必須停止和啟動根據用戶的工作安排(增加管理開銷和減慢用戶)。因為Apache火花™將工作分布在集群實例都需要相同的實例簡介,懶懶的集群的成本會變得相當大。
最優係統2:不同權限級別的用戶共享一個EC2實例
因為“每一個實例權利”係統的缺點,我們的許多客戶決定在多個用戶之間共享EC2實例具有不同的權利。beplay体育app下载地址這些組織讓每個用戶編碼特定的憑據(用戶名和密碼的形式或AWS訪問密鑰和秘密密鑰而不是實例配置文件)在本地配置實例。管理團隊分配每個用戶憑證和信任用戶安全地管理它們。
安全——這個係統的缺點是,它通常是不安全的。除了明顯的問題的用戶相互分享他們的憑證或者不小心暴露他們的憑證通過一些全局配置,有一些更微妙的安全漏洞躲在這個係統。
- 用戶可以使用實例的共享文件係統訪問其他用戶的數據收集了該實例的本地磁盤。AWS我不能保護數據在本地磁盤。
- 用戶可以檢查內存的數據處理工具來提取另一個用戶的憑證。例如,一個用戶可以把另一個用戶的記憶的過程或使用Java反射(基於JVM的工具)來爬JVM的對象圖和提取對象包含另一個用戶的憑證。
- 用戶可以欺騙他們的數據處理工具執行數據訪問使用另一個用戶的憑證。大多數數據處理工具(包括火花)並不強硬地反對mutually-untrusted用戶共享相同的引擎。即使用戶不能直接讀取另一個用戶的憑證,他們可以經常使用他們的工具來模擬,其他用戶。
歸因——理論上,該係統提供了用戶的歸因:由於每個用戶使用自己的證書,雲訪問日誌應該能夠每訪問一個用戶屬性。然而,在實踐中,歸因不能被信任,因為上麵描述的安全漏洞。你可以確定一個給定的用戶憑證被用來訪問數據,但是你不能確定哪個用戶是使用這些憑證。
易於管理——乍一看,這個係統很容易管理:給用戶提供他們所需要的憑證,他們會做的工作讓他們使用這些憑證到實例。不過,最終我們發現大多數管理員厭倦不得不旋轉憑據,一些用戶不小心暴露在大家的EC2實例。
效率- - - - - -該係統的主要優點是,它是合算的,盡管安全為代價的。用戶可以分享具體實例的數量需要和實例看到良好的利用率。
我們的係統:磚我憑據透傳
磚我憑證透傳允許用戶有不同的權利共享一個EC2實例沒有其他用戶的風險暴露他們的憑證。這種結合的安全係統1和係統2的效率,並達到更好的歸因和更容易管理比係統。透傳的工作方式的概述,請參閱我們的第一篇博文。
安全——任何係統用戶之間分享一個執行引擎有不同的權利必須抵禦長尾的微妙的安全漏洞。通過集成與Apache的內部火花TM透傳避免這些常見的陷阱:
- 它鎖定了實例的本地文件係統,以防止用戶訪問其他用戶下載的數據和安全之間傳輸數據,因為它是用戶定義的代碼和引發內部代碼。
- 它從不同用戶在不同的代碼運行,low-privilege過程隻能運行JVM命令從一個預定的白名單。這種基於反射防止攻擊和其他不安全的api。
- 它保證用戶的憑證隻出現在集群,用戶執行火星任務。此外,它清洗用戶憑證從火花線程搶占他們的任務完成或後,那麼一個惡意用戶不能使用火花獲得間接訪問其他用戶的憑證。
歸因,因為透傳保證每個用戶隻運行命令自己的憑證,進行審計日誌等AWS CloudTrail將開箱即用的工作。
易於管理,透傳與我們現有的集成SAML-based單點登錄功能(鏈接),管理員可以將角色分配給用戶在他們現有的SAML身份提供商。基於組權限可以授予或撤銷,所以使用透傳的額外的開銷是最小的。
效率- - - - - -因為多個用戶可以共享一個集群,透傳的,尤其是當結合自動定量高並發性集群。
彙總表
| 解決方案 | 安全 | 歸因 | 易於管理 | 效率 |
| 每一個實例的權利 | 是的 | 不——隻能屬性實例 | 不,必須手動維護用戶→實例圖 | 不——實例(或集群)通常會空閑 |
| 共享實例 | 不——用戶可以訪問彼此的憑證 | 不——用戶可以互相模仿 | 沒有——旋轉泄漏用戶憑證 | 是的 |
| 透傳 | 是的 | 是的 | 是的 | 是的 |
結論
磚我憑證透傳允許admin用戶訪問他們的雲數據管理係統是安全的,由於,容易管理,和成本效益。因為它是深深結合Apache火花,透傳允許用戶以不同的憑證共享相同的EC2實例(降低成本),而不分享他們的憑證(保證安全和歸因)。我憑證透傳現在私下裏預覽;請聯係你的磚代表了解更多。