Schutz vor Ransomware

5 Schritte, mit denen Sie Ihren Hadoop Cluster sicherer machen

| Autor / Redakteur: Alexander Keidel / Nico Litzel

Der Autor: Alexander Keidel ist Big Data Consultant bei IT-Novum
Der Autor: Alexander Keidel ist Big Data Consultant bei IT-Novum (Bild: IT-Novum)

Hadoop-Anwender müssen sich derzeit vor Hacker-Angriffen in Acht nehmen: Laut den Sicherheitsforschern von Threat Geek werden Nutzer von Hadoop-Distributed-File-System-Installationen (HDFS) angegriffen. Die Kriminellen „leeren“ die Hadoop-Datenbank und bieten dann den Opfern an, die gestohlenen Daten gegen Zahlung eines Lösegeldes wieder herauszugeben. Von solchen Angriffen dürften weltweit 8.000 bis 10.000 HDFS-Installationen betroffen sein.

IT-Novum, Experte für Big-Data-Technologien, gibt fünf Ratschläge, wie Anwender ihre Hadoop-Installation absichern und sich gegen kriminelle Machenschaften schützen können:

1. Nutzen Sie Kerberos für alle Hadoop Services

Bei Kerberos handelt es sich um ein Netzwerkprotokoll, das einen sicheren Authentifizierungsservice für den Cluster bereitstellt. So können sich die unterschiedlichen Hadoop Services (z. B. YARN, HDFS, Spark) einschließlich der RPC-Schnittstellen und der Benutzer des Cluster sicher authentifiziert werden. Eine Verwendung von sicheren Kennwörtern und eine Vermeidung der Nutzung von Standard-Ports und -User sind natürlich unablässig.

2. Nutzen Sie Sentry

Neben dem Einsatz von Kerberos zur Authentifizierung sollte Sentry als fester Bestandteil des Hadoop Clusters eingesetzt werden. Sentry stellt einen zentralen Autorisierungsservice bereit und ermöglicht die Vergabe von feingranularen rollenbasierten Zugriffsrechten für Apache Hive, Hive Metastore/HCatalog, Apache Solr, Impala und HDFS. Wird dieser Service verwendet, können Daten nur den Benutzern zur Verfügung gestellt werden, die diese auch benötigen. Im Falle eines kompromittierten User-Accounts wird zudem die Menge der sichtbaren Daten begrenzt.

3. Verschlüsseln Sie HDFS

Im HDFS liegen häufig sensible Daten, die Sie unbedingt vor fremden Zugriffen schützen sollten. HDFS selbst stellt bereits eine Verschlüsselung bereit, die „Transparent Encryption“ heißt. Sie sorgt dafür, dass die Daten im HDFS automatisch durch die HDFS Clients beim Schreiben verschlüsselt und beim Lesen entschlüsselt werden. Damit wird verhindert, dass die Daten aus dem HDFS durch andere Programme ausgelesen oder manipuliert werden können.

4. Verschlüsseln Sie den Traffic

Ein weiterer Punkt mit dem Sie Ihren Hadoop Cluster sicherer machen können, bietet der Einsatz von TLS / SSL-Verschlüsselung. Das betrifft sowohl die Weboberflächen (z. B. HDFS Filebrowser der NameNode) und REST-Schnittstellen als auch den während des Ablauf eines MapReduce Jobs entstehenden Netzwerktraffic. Damit wird verhindert, dass Daten aus dem HDFS, die während des MapReduce Jobs zwangsläufig unverschlüsselt vorliegen, während des Datentransfers zwischen den einzelnen MapReduce-Phasen aus dem Netzwerk abgegriffen werden können. Dabei ist darauf zu achten, dass nur von einer CA ausgestellte SSL-Zertifikate Sicherheit bieten.

5. Monitoren Sie die Audit Logs

Um einen möglichen Angriff erkennen zu können, ist es unerlässlich, die Hadoop Audit Logs ständig zu überwachen und auf auffällige Events zu reagieren. Das können z. B. eine große Anzahl von Anmeldeversuchen oder ein exzessiver Zugriff auf fachlich nicht zusammenhängende Datenbestände sein. Da die Audit Logs sich an unterschiedlichen Stellen befinden und eine Analyse meist schwierig und aufwendig ist, ist es empfehlenswert, eine professionelle Software zum Monitoring wie z. B. den Cloudera Navigator einzusetzen.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44500276 / Recht & Sicherheit)