1、產品名稱
BIGDAF
2、所屬分類
3、產品介紹
BIGDAF(Big Data Application Firewall)是國內第一個網關級Hadoop大數據安全防火牆,也是目前唯一通過公安部認證的Hadoop安全防護產品,具備“軟件-硬件-雲”多樣化產品形態。
BIGDAF由網管代理Gateway、管理後臺Admin、插件三部分組成。網管代理Gateway等於在物理隔離區和公共區有一個橋樑,分析師必須通過身份驗證後才能提交相關數據或分析任務;管理後臺Admin主要配置相應的用戶和權限,採取圖形界面,不需要進行代碼級操作;插件主要是對用戶資源設置不同的權限。
三個部分合在一起,形成一個完整的大數據應用安全管控與防護平臺。其核心能力包括用戶管理、角色管理、權限管理、操作行爲管控、任務管控、基線檢測與漏洞掃描等。兼容各主流大數據平臺版本,爲銀行、金融機構提供底層的安全防護能力。
4、應用場景/人羣
包括大數據安全管理人員、大數據平臺架構負責人等。
BIGDAF的安全防護能力橫向覆蓋銀行、金融機構大數據平臺的各個組件,以及平臺可能對接的各類系統,縱向覆蓋大數據的整個生命週期。從內到外構成一個分層的安全管控體系,做到事前可管、事中可控、事後可查。具體應用場景包括:
大數據平臺的邊界安全:銀行、金融機構的數據敏感度、機密性很高,而大數據系統漏洞導致的入侵、拖庫、接口攻擊,以及內部合作或第三方通過接口調用數據,都有可能導致數據泄露。BIGDAF等於在物理隔離區和公共區設置一個邊界,所有人都必須通過身份驗證後才能提交相關數據或分析任務,這就從源頭上避免數據泄露所導致的安全問責。
大數據平臺的權限管理:金融銀行機構由於權限控制缺乏體系,普遍存在越權訪問、操作問題;服務器漏洞組件、常規型漏洞(如SQL諸如、存儲XSS)升級修補都不及時,容易被攻擊者侵入篡改數據;BIGDAF設置了嚴格的訪問權限,從內到外,保護大數據資產的安全。
大數據平臺的安全體系:很多銀行、金融機構的安全體系化建設停留在紙面,爲應對監管或安全檢查,僅定期做安全測試。很多新發布的業務需求,未及時經過安全把關。BIGDAF形成一整套的安全解決方案,通過簡易操作即可實現基線檢測、漏洞掃描,提高大數據平臺的安全防護能力。。
5、產品功能
BIGDAF的主要功能包括賬戶及認證管理、授權和訪問控制、任務沙箱及多租戶、數據安全、漏洞掃描、基線檢查、監控、審計等。
賬戶及認證管理。BIGDAF繼承並接管Hadoop原生賬戶,完全重構了一套權限機制,技術上採用身份認證、多因素身份鑑別、網絡控制、登錄控制登措施,所有人必須通過身份認證後才能提交相關數據或分析任務。
授權和訪問控制。針對大數據平臺上的幾乎所有組件進行單獨授權管理(HDFS、Hbase、Strom、Knox、solr、Kafka)。實現了多種安全模型,包括符合國家等級保護制度的自主訪問控制模型(DAC)、強制訪問控制模型(MAC)、基於角色訪問控制(RBAC)以及基於任務的訪問控制(TBAC)。
任務沙箱及多租戶。可通過沙箱預執行,判斷訪問資源是否越權;通過後臺管理可以查看歷史任務,給每個用戶對應的使用資源,實現多租戶的功能。
數據安全。包括數據脫敏和數據加密。BIGDAF可以根據需求對敏感區域進行,替換、重排、加密、截斷、掩碼;數據加密,BIGDAF的Gateway是https的通信加密方式,同時也支持kerberos、KMS的加密。
漏洞掃描。基於對大數據的漏洞研究,提煉出漏洞特徵,形成大數據漏洞掃描功能,可以對大數據平臺組件進行安全檢測,針對大數據環境各個組件進行事前安全掃描,及時瞭解大數據環境的安全狀態及安全隱患。
基線檢測。針對大數據環境的各個組件進行安全配置合規性檢查,覆蓋大數據平臺的基礎設施、網絡系統、數據處理層、數據採集層、數據存儲層等各層級系統結構。
監控。對大數據環境中組件節點狀態、資源的使用情況進行監控展示,包括節點正常運行時間、節點存活狀態和內存、CPU、硬盤的使用情況;可設置預警值,當資源緊張時報警。
審計。將主客體的訪問形成詳細日誌,包含用戶名、IP、操作、資源、訪問類型、時間、授權結果。可以根據用戶、時間、認證結果進行篩選分析,做到事中監控、事後審計,追溯安全事件。
6、產品優勢
易於部署。大數據平臺有大量的組件和集羣節點,各個組件的功能作用不同。BIGDAF支持跨平臺運行,通過簡單修改配置文件即可運行。
更全面的訪問控制安全模型。BIGDAF針對金融、銀行業大數據平臺的複雜特顯,實現了多種安全模型,包括自主訪問控制模型(DAC)、強制訪問控制模型(MAC)、基於角色訪問控制(RBAC)、基於任務的訪問控制(TBAC)。
定製化、自動化的漏洞掃描與基線檢測。目前在大數據平臺組件的基礎安全方面,安全漏洞檢測和基線檢查更多的還是依靠手工,沒有一個定製化的自動化解決方案。基於觀數團隊十餘年的檢測經驗,以及CVE漏洞特徵,BIGDAF能夠實現大數據組件的自動化漏洞掃描和自動檢測功能。
文件訪問控制粒度更細緻。BIGDAF對於Hadoop平臺組件HDFS、Hbase、Hive等能夠做到細粒度的訪問控制。Hbase方面,可以達到基於列簇及列的訪問控制。Hive可以針對數據庫、表、字段進行細粒度的訪問控制。
不存在性能瓶頸。BIGDAF並不轉發流量,ACL與審計只針對主客體訪問行爲,幾乎沒有性能消耗。而並連模式支持多機高可用方案,不會存在性能瓶頸。
良好的兼容性。BIGDAF採用非侵入式技術,獨立於Hadoop系統之外的防護體系,因此對通用版、發行版都具有良好的兼容性。
安全性。BIGDAF爲獨立體系,無法從Hadoop上配置BIGDAF的安全策略,可形式化語言驗證的多種安全模型,配置、日誌可備份保存,格式加密,後臺防破解,全程SSL加密。
7、服務客戶/使用人數
目前服務客戶百餘家,其中包括銀行、金融、保險、運營商等政企單位。
8、市場價值
作爲國內第一個大數據安全解決方案提供商,觀數的理念就是“防風險、護業務、保價值”。大數據資產是金融、銀行機構創新發展和轉型突破的戰略性資源。確保其安全性,不僅是業務層面的要求,也事關個人、機構主體和國家利益。
但就目前而言,國內還沒有成熟的大數據安全解決方案。BIGDAF的部署可以爲銀行、金融機構減少安全隱患,避免重要數據的流失,及時發現攻擊,避免潛在的安全事件出來以後的安全問責。
BIGDAF的價值就在於,實現賬戶的集中管理,對大數據平臺所有操作者身份的合法性檢查;靈活的權限管控體系,對用戶使用大數據平臺資源的具體情況進行合理分配;統一的日誌信息管控,實現對安全事件的預警、響應、追因、追責;針對大數據環境的各個組件進行基線檢測和漏洞掃描,實現事前預警、事中監控、事後可查。
BIGDAF致力於爲銀行、金融機構的大數據平臺提供底層的防護能力,希望通過案例推動國內大數據安全的標準建立。
9、產品地址
http://www.databps.com/index.html
10、所屬企業
北京觀數科技有限公司
11、企業介紹
北京觀數科技有限公司,總部在北京,貴陽設有分公司,是國內第一個Hadoop大數據安全解決方案的提供商。2017年,觀數科技被認定爲“國家級高新技術企業”。自主研發的產品BIGDAF是國內首個獲得公安部認證的Hadoop安全防護產品,具備完整的“軟件—硬件—雲”多樣化產品形態。目前產品已經逐步覆蓋大數據中的多個應用組件,在大數據生命週期中的各個環節,爲客戶提供安全防護能力。
觀數科技已與多個行業集成商、大數據基礎軟件發行商深度合作,從產品、方案、服務等多個維度進行融合,形成了多項創新成果,既提高了合作方在大數據上的安全防護能力,也爲其帶來了新的競爭力和贏利點。除此之外,觀數科技還在“數谷”貴陽與高校和科研院所開展深度合作,承擔大數據安全相關科研項目,並參與起草貴州省地方大數據安全相關標準制定。
觀數科技雖然是一家新創企業,但核心團隊均擁有超過10年以上的信息安全從業經驗,是目前國內唯一擁有完全自主可控、並能提供本土化安全防護產品的高新技術企業。未來我們將爲更多的政企客戶提供“缺失的”的大數據底層保護能力,提高其防護的力度和精度。