HBase數(shù)據(jù)安全

HBase數(shù)據(jù)安全

本節(jié)將介紹如何保證HBase數(shù)據(jù)的安全性。

在HBase客戶端和服務(wù)器進(jìn)程和網(wǎng)關(guān)之間配置了安全身份驗(yàn)證后，您需要考慮數(shù)據(jù)本身的安全性。HBase提供了下列的幾種保護(hù)數(shù)據(jù)的策略：

• 基于角色的訪問(wèn)控制（RBAC），它控制哪些用戶或組可以使用熟悉的角色范例來(lái)讀取和寫入給定的HBase資源或執(zhí)行協(xié)處理器端點(diǎn)。
• 可見(jiàn)性標(biāo)簽，允許您標(biāo)記單元格并控制對(duì)標(biāo)記單元格的訪問(wèn)，以進(jìn)一步限制誰(shuí)可以讀取或?qū)懭霐?shù)據(jù)的某些子集?？梢?jiàn)性標(biāo)簽存儲(chǔ)為標(biāo)簽。
• 在HFile和WAL中對(duì)底層文件系統(tǒng)的靜態(tài)數(shù)據(jù)進(jìn)行透明加密。這可以保護(hù)您的數(shù)據(jù)免受可以訪問(wèn)底層文件系統(tǒng)的攻擊者的影響，而無(wú)需更改客戶端的實(shí)現(xiàn)。它還可以防止不正確放置的磁盤泄漏數(shù)據(jù)，這對(duì)法律和法規(guī)遵從性可能很重要。

在本章節(jié)的后續(xù)內(nèi)容中，我們將介紹這些功能中的每個(gè)功能的服務(wù)器端配置、管理和實(shí)現(xiàn)細(xì)節(jié)，以及任何性能權(quán)衡。最后將給出一個(gè)安全配置示例，所有的功能一起使用。

HBase安全的各個(gè)方面都在積極發(fā)展和快速演變。您為了保護(hù)您的數(shù)據(jù)而采取的任何策略都應(yīng)該進(jìn)行徹底的測(cè)試。另外，其中一些功能還處于實(shí)驗(yàn)階段。要利用其中的許多功能，您必須運(yùn)行HBase 0.98+并使用HFile v3文件格式。

你需要保護(hù)敏感文件，本節(jié)中的幾個(gè)過(guò)程要求您在群集節(jié)點(diǎn)之間復(fù)制文件。復(fù)制包含敏感字符串的密鑰，配置文件或其他文件時(shí)，請(qǐng)使用安全方法（例如ssh，以避免泄露敏感數(shù)據(jù)）。

基本的服務(wù)器端配置

1. 通過(guò)在hbase-site.xml中將hfile.format.version設(shè)置為3來(lái)啟用HFile v3 。這是HBase 1.0和更高版本的默認(rèn)值。

   <property>
     <name>hfile.format.version</name>
     <value>3</value>
   </property>

2. 為RPC和ZooKeeper啟用SASL和Kerberos身份驗(yàn)證。