Apache Hadoopエコシステムのセキュリティ管理フレームワークであるApache Rangerがトップレベルに昇格した。Rangerは、Apache HBase、Hadoop(HDFSとYARN)、Apache Hive、Apache Kafka、Apache Solrなど、サポート対象のHadoopコンポーネントに適用されるセキュリティポリシーを一元的に定義および管理するためのコンポーネントである。
Rangerは、アクセス制御ポリシーを使用して、サポート対象のHadoopコンポーネントに対して標準の認証方法を提供する。標準として、ユーザーアクセスを監査し、コンポーネント間でセキュリティ関連の管理アクションのための一元化されたコンポーネントも提供する。
ポリシーは、属性ベースのアプローチで定義され、適用される。Apache Atlasは、Apache Hadoop用のガバナンスソリューションとメタデータリポジトリである。ポリシーはApache Atlasと連携することで、ファイルとデータ資産をタグで分類したり、ユーザやユーザグループに対してタグセットへのアクセスを制御したりといったタグベースのセキュリティを定義できる。
Rangerには、アクセスが時間などの動的要因によって決まるようなDynamic Policiesの機能もある。時間、IPアドレス、または地理的位置に基づいてリソースへのアクセスを制限することが可能である。
Apache Rangerのアーキテクチャは、Ranger Policy Admin Serverで構成されている。Ranger Policy Admin Serverは、ポリシーをリレーショナルデータベース(一般的なデプロイではMySQLを使用)に格納する。サポート対象の各コンポーネント(Hive、HDFSなど)は、アクセスされたすべてのリソース(ファイル、データベース、テーブル、列)の権限をチェックするRangerプラグインを実行する。認証は、デフォルトで集中管理サーバーからフェッチされた定義済みポリシーに基づく(デフォルトでは30秒ごと)。認証は、デフォルトで集中管理サーバーからフェッチされた定義済みポリシーに基づいている(デフォルトでは30秒ごと)。プラグインは、Admin Serverがダウンしている場合に機能するが、ベストプラクティスはAdmin Serverを高可用な構成にすることである。
認証のために外部システムと統合することは、企業にとって便利な機能である。認証メカニズムとしてLDAP/ADとUnix認証をサポートする。RangerはApache Solrに監査レコードを書き込むことができる。
Rate this Article
- Editor Review
- Chief Editor Action