DSEC: Безопасность озера данных Hadoop
Курс построен на сквозных практических примерах развертывания и администрирования защищенной архитектуры кластера Hadoop вместе с протоколами безопасности Kerberos, SSL, настройки интегрированной безопасности компонент экосистемы Hadoop для унифицированного входа с использованием Single-Sign-On, шлюза безопасности Apache Knox Gateway и политик разграничения доступа Apache Ranger. Практические занятия выполняются на локальных рабочих станциях и в кластерной среде Amazone Web Services с использованием дистрибутива HortonWorks Hadoop Data Platform.
Программа курса
- Cybersecurity для больших данных в Hadoop
- Особенности реализации информационной безопасности (далее ИБ) в озере данных Hadoop
- Специфические угрозы ИБ существующие в озере данных
- Организационные меры по ИБ для озера данных
- Обзор подсистем безопасности озера данных
- Автоматизация
- Аутентификация и защита периметра
- Авторизация
- Аудит
- Защита данных:
- шифрование данных
- антивирусная защита данных
- snapshots
- репликация данных
- резервное копирование и восстановление данных
- Hardening security для базовых компонент:
- операционные системы
- базы данных
- веб сервисы
- Построение безопасности озера данных на базе компонентов HortonWorks Hadoop Data Platform
- Особенности дистрибутива HortonWorks HDP и базовая безопасность(по умолчанию)
- Администрирование Apache Ambari для аутентификации с Kerberos
- Настройка протокола Kerberos для аутентификации с Active Directory (FreeIPA)
- Настройка безопасности периметра с Apache Knox Gateway
- Настройка Apache Knoх Single—Sign—On
- Best Practices для аутентификации данных и защиты периметра
- Настройка авторизации в озере данных Hadoop
- Установка Apache Ranger с помощью Apache Ambari
- Настройка мапирования групп Ldap для Hadoop аутенитификации
- Настройка Ranger плагинов для авторизации компонент экосистемы Hadoop с использованием протокола Kerberos
- Настройка политик Rangers для разграниения полномочий доступа:
- RBAC — ролевые политики для разграничения доступа
- ResourceBAC — ресурсные политики разграничения доступа
- Строковая фильтрация для разграничения доступа
- Фильтр на колонки для разграничения доступа
- Политики разграничения на основании меток (tags) Apache Atlas
- Best Practices для политик разграничения полномочий
- Защита данных HDFS
- Шифрование данных при передаче (Data @ Wire encryption):
- SSL шифрование для подключения к Web UI компонент экосистемы Hadoop
- Протокол SPNEGO
- Best Practices для шифрования трафика
- Шифрование данных на хранении (DARE):
- Настройка Ranger KMS
- HDFS шифрование
- Best Practices для шифрования данных файловой системы
- Управление доступом к HDFS
- Posix и ACL для HDFS
- Best Practices для управления списками доступа для файловой системы
- Антивирусная защита в озере данных
- Шифрование данных при передаче (Data @ Wire encryption):
- Настройка политик аудита в Hadoop
- Использование Apache Solr для аудита событий
- Включение аудита для Ambari кластера
- Использование аудита для управления в Ranger
- Best Practices для политик аудита
- Hardening Security для узлов кластера
- Конфигурация узлов для non—root установки
- Endpoint security подход
- Best Practices для защиты конечных узлов
- Организационные меры информационной безопасности данных в озере данных
- Best Practices для построения защищенного озера данных
- Рекомендации по использованию ПО верхнего уровня для защиты озера данных
- Технологии Machine Learning для построения защищенного озера данных
- Использование Apache Metron для создания защищенной инфраструктуры озера данных
Примерный список практических занятий:
Примечание:
• Доступ к лабораторному стенду на Amazon Web Services предоставляется на время учебных курсов с 8:30 до 18:30(возможно продление времени по запросу)
• Практические занятия с меткой (опционально) выполняются по желанию и при наличии свободного времени у слушателей
Регистрация