Big Data Security: Hortonworks übernimmt XA Secure Hortonworks kauft sich Hadoop-Security-Know-How

Autor / Redakteur: Thomas Drilling / Ulrike Ostler

Der „Hadoop“-Distributor Hortonworks erweitert seine Distribution mit dem Zukauf des Sicherheits-Paketes „XA Secure“ des gleichnamigen kalifornischen Startups um Datensicherheit, Autorisierung, Auditing und essentielle Governance-Funktionen.

Firma zum Thema

Hortonworks durch den Zukauf von XA Secure seine Hadoop Data Plattform um Security-Funktionen.
Hortonworks durch den Zukauf von XA Secure seine Hadoop Data Plattform um Security-Funktionen.
(Bild: Hortonworks)

Das Hadoop Core-System pur weist prinzipbedingt einige Schwachstellen im Bereich Sicherheit auf. So haben Benutzer, die sich erfolgreich an einem Hadoop-Cluster authentifizieren, in der Regel auch Zugriff auf alle im Cluster gespeicherten Daten.

Das Hadoop-Framework, sowie die Hersteller von Hadoop-Distributionen und Erweiterungen begegnen dem Problem mit unterschiedlichen Lösungen. Eine der Wichtigsten, das Apache-Knox-Projekt zum Beispiel ist ein REST API Gateway für die Interaktion mit Hadoop Cluster.

Knox arbeitet als Reverse Proxy. Es ist aber auch im Bereich Policy Enforcement erweiterbar und primär dafür gedacht, das Hadoop-Security-Modell für alle Nutzer, die auf die Cluster-Daten zugreifen und für Entwickler, die Cluster und Authentifizierungsrollen verwalten, zu vereinfachen.

Knox stellt allgemein Enterprise-Funktionen zur Cluster-Verwaltung, sowie Monitoring- und Automatisierungs-Funktionen zur Verfügung, unter anderem auch AD- und LDAP-Authentication-Provider. Darüber hinaus erweitert Knox einen Hadoop-Cluster um HTTP Header basierte Identity Federation, Auditing und Service Level Autorisierung. Knox integriert sich zudem gut in existente Sicherheitsinfrastrukturen und arbeitet mit via Kerberos abgesicherten Hadoop-Clustern zusammen.

Framework-übergreifende Hadoop-Sicherheit

Was allerdings laut Hortonworks bisher fehlt, ist ein allgemeines, einheitliches Sicherheitsprojekt für Hadoop, zumal die meisten bislang verfügbaren Kontrollmechanismen in erster Linie auf Ebene des „Hadoop File System“ (HDFS), nicht aber über das gesamte Hadoop-Applikations-Framework hinweg greifen. Mit der Übernahme des Startups XA Secure will Hortonworks als treibende Kraft hinter der Hadoop-Weiterentwicklung nicht nur seine eigene Distribution um entsprechende Sicherheitsfunktionen erweitern, sondern XA Secure in Bälde auch als Open-Source-Projekt an die Apache Software Foundation übergeben.

Die XA Secure Roadmap

Das Softwarepaket von XA Secure erweitert Core Hadoop um Funktionen in den Bereichen Datensicherheit, Autorisierung, Auditing und Governance, wobei sich insbesondere der Faktor Autorisierung durch die Übergabe der XA-Secure-Sourcen an die Apache-Community als Multiplikator für ein allgemeines Hadoop-Sicherheits-Projekt erweisen könnte.

Das Softwarepaket von XA Secure erweitert Hadoop um Funktionen in den Bereichen Datensicherheit, Autorisierung, Auditing und Governance.
Das Softwarepaket von XA Secure erweitert Hadoop um Funktionen in den Bereichen Datensicherheit, Autorisierung, Auditing und Governance.
(Bild: Hortonworks)

DieTechnologie von XA Secure soll bereits ab Ende Juni in Hortonworks' eigener Hadoop-Distribution unter der Bezeichnung „HDP Security“ zum Einsatz kommen. Ab diesem Zeitpunkt wird die Software in Rahmen vom Hortonworks' HDP „Enterprise Plus Subscription“ zum Download verfügbar sein. Auf dem Hadoop-Summit 2014 in San Jose will Hortonworks zudem eine VM vorstellen, die auch ein geführtes Tutorial enthält.

Derweil wandert der Sourcecode von XA Secure erst in der zweiten Jahreshälfte zunächst in den Apache Incubator. Der dient bekanntlich bei der Apache Foundation dazu, dass sich Software und Projekt unter Aufsicht von Mentoren vor allem hinsichtlich der Infrastruktur neu aufstellen und in Ruhe eine tragfähige Community aufbauen können. Erst wenn ein Software-Projekt die notwendigen Voraussetzungen in Struktur und Verwaltung aufweist und sämtliche Lizenzen an die Stuten der Apache-Lizenz angepasst wurden, graduiert sie zum Apache-Top-Level-Projekt.

Und Cloudera?

Hortonworks Haupt-Konkurrent Cloudera unternimmt übrigens gerade ähnliche Bemühungen, seine kommerzielle Cloudera-Distribution um ein mit XA Secure vergleichbares Sicherheits-Framework aufzubohren und hat dazu einer Meldung in dem amrekanischen Medium „Infoworld“ zur Folge, die kommerzielle Software Voltage SecureData für die Cloudera-Distribution zertifiziert.

Allerdings kommt eine kommerzielle Software für Hortonworks gemäß der eigenen Philosophie nicht in Frage und damit auch nicht als übergreifender Standard für das Apache-Projekt Hadoop. Auch das von Intel initiierte Projekt Rhino verspricht Verbesserungen im Bereich der Datensicherheit und erweitert einen Hadoop-Cluster um hardwaregestützte Verschlüsselung und Zweifaktor-Authentisierung, einschließlich Single-Sign-on. Mit der Aufgabe der eigenen Hadoop-Distribution und dem Einstieg bei Cloudera wird Rhino vermutlich ebenfalls Cloudera-spezifisch bleiben.

Der Autor:

Thomas Drilling schreib in seinem Blog "Drillings Open Source Eck" über quelloffene Software für Unternehmen.

(ID:42699401)