基于Hadoop的云计算平台安全机制研究
Hadoop是目前我国工业界及学术界用来进行云计算的最标准平台,是由Apache基金会开发的基于Java实现的云计算框架,但是由于其安全机制薄弱,导致其使用者在决定是否在使用Hadoop解决问题时会有所顾虑。本文就基于Hadoop的云计算平台安全机制研究做出了浅析,希望能够对提高其安全性有所帮助。
【关键词】Hadoop 云计算平台 安全机制
Hadoop是由Apache基金会提供基金支持基于Java应用程序中实现的云计算框架,它的出现使软件使用者在云计算平台上能如意的进行软件设计及开发。在企业中已被广泛使用,但是由于其安全机制薄弱,也是阻碍Hadoop发展的最中心问题,如何解决这一问题是关系到Hadoop是否能更好发展的前提和基础。
1 云计算安全问题
传统网络在安全上存在这一系列的问题,Hadoop的发展则是将传统网络为发展基础而进行发展的,解决传统网络的安全问题能再很大程度上的为Hadoop的发展提供良好网络环境,能有效的促进Hadoop的健康发展。
1.1 传统网络的安全问题及管理策略
传统网络中存在的最常见问题有窃听、修改、重放、伪装、欺骗、渗透、抵赖、拒绝服务、病毒、蠕虫、木马、后门、入侵这十三种,对应解决这些问题的途径则有信息屏蔽、完整性保证、身份认证、访问控制、电磁泄露控制及网络防御策略,这些安全防护策略能够在一定程度上保护传统网络,但是这些安全措施也不足以应对Hadoop在发展中所遇到的问题,这也就要求技术人员根据Hadoop在发展中变现出来的问题进行准确的分析,根据不同的情况制定出相应的解决方案。
1.2 云计算的不安全因素
在云计算中服务器中,供应商被提供了动态储存空间,这也就将传统的划分物理和逻辑安全域来提供数据隔离以及保护,这就让不同安全领域的不同使用商都存在与同一介质上,这样就会让传统的安防体系有更大的挑战。
如果用户把数据存储到云中,那么用户就会失去了对数据的绝对管理权。以此同时,由于云中计算服务的提供商对用户的数据权限较大,以至于会存在用户的数据和资料面对被非法访问或者有可能泄漏的情况。
在云计算模式下,服务器能够完成所有数据的处理业务,在这种情况下就要求服务器终端的设计需要更加完善及健全。在这种情况下,少数的服务器终端攻击都可能会使绝大多数用户的应用瘫痪,不能够正常使用。
2 安全机制平台
Hadoop在设计最初没有考虑网络安全的因素,系统将Hadoop传输的节点都默都认为是安全可靠的,都是可以信赖的,并且也将Hadoop的传输网络都默认为是正常的、安全的,也未考虑到恶意攻击的情况,这也就导致了Hadoop存在这以下的这些问题。
2.1 安全机制存在的问题
在hadoop系统中KDC成为该系统的瓶颈,hadoop的认证方式是基于kerberos的认证,每次认证都需要使用kerberos的密钥分配中心KDC.在该系统中,一个mapReduce集合了数不清的任务,每次执行任务的同时都要是用Kerberos进行认证,就好像这些任务在一段很短的时间里向Kerberos服务器请求获得数据,从而使得整个系统处于一个瓶颈状态,影响系统性能,而且Client向KDC申请TGT时发送的个人信息容易被网络上的不法分子截取,所以,存在一定的安全风险。
2.2 中心控制存在的问题
中心控制模式脆弱,抵抗力较弱。Hadoop选用的服务器系统下,整个部落集合专有的服务器主要项目性能宏大。客户进行详细各类操作身份登陆以及浏览限制,各项文件命名执行全都归功于主要服务器,只要攻击了中心控制模式,破坏了单一的主服务器,全部的运行系统都会得到不可弥补的损失。
2.3 访问控制
非常简单的访问控制。在Hadoop中加入了基于ACL的控制。但是这种方式在服务器访问的使用中容易被修改,有很大的安全隐患。而且,这种从用户出发的方式控制方法太过简单,而且不安全,不能满足企业不断发展变化的需求,对于企业来说,我们需要不断改进才能满足现实中对于角色安全访问的要求。
2.4 节点数据传输
节点数据的传输。现在普遍的Hadoop并没有在传输、储存的基础上进行加密解密处理。即使有的版本经过改进在安全层次上有所增加,但其简单的算法还是不能满足企业对其安全性的需求。存储了之后没有保护。现普遍使用的Hadoop还没有解决在服务器中储存数据时进行保护。
2.5 Hadoop框架
Hadoop在设计初是由通用计算机设备组成的大型集群上执行的分布式应用,实现了分布式文件系统的分布,并且在其基础上集成了整合的数据库,还能够进行数据收集等一系列的子系统模式。
2.6 安全传输
目前我国并没有对Hadoop的数据传输进行加密解密处理,目前的Hadoop传输和储存过程只是简单的传输,并未有安全防护,即便有些版本进行了在TCP以及IP上嵌套了SSL,但是由于其简单的嵌套技术并不能满足Hadoop传输的安全需求。
2.7 解决方案
对于上述所说的安全问题,现在主要的解决方式是采用密码技术和提高网络安全性能。
身份的认证:对于KDC瓶颈出现的问题,文中放弃了kerberos的密码加密的身份认证,而是注重PKI身份的认证,在认证的过程中主要的过程是:(1) CA严格审核申请者的身份及其合法数字证书;(2)在使用证书时,必须发验证码进行身份的认证。在对身份的认证中,只要CA颁布了数字证书就不需要PKI参与到其中在对使用者身份的认证,这样做的好处是减少业务的工作量,避免出现KDC瓶颈的问题。
防止网络防御使单点失效:Hadoop 采用的主要防御是对数据的备份,但是这只是单方面出现的故障,不能全方位防止网络出现的网络恶性攻击。
3 结语
随着网络科技的不断发展,作为应用平台的Hadoop 的发展起到了至关重要的引导作用,随着网络科技的不断发展,许多企业采对网络模拟技术的使用也在空前发展,只有将Hadoop 中存在的问题都得到完善的有效的解决才能更好的适应企业的发展,为企业的发展提供有效的技术支持。
参考文献
[1]戴一鸣,李琦,苏城.通讯网的安全理论与技术[M].北京:清华大学出版社,2014(11):78-79.
作者单位
云南省德宏师范高等专科学校现代教育技术中心 云南省德宏州芒市 678400
