Google大数据分析服务Cloud Dataproc终于可以直接套用现成Hadoop资安政策了

Google为其全託管Apache Spark与Hadoop服务Cloud Dataproc，增加支援网路身份验证协定Kerberos以及Hadoop安全模式，用户现在不只能够在云端使用进阶安全功能，也能使用原本企业内Hadoop和Spark环境熟悉的安全控制方式。

使用Kerberos和Hadoop安全模式，用户可以在不需要更改安全政策以及程序的情况，将现有的Hadoop安全控制直接搬迁到云端。当Hadoop以安全模式执行，则Hadoop服务以及每个使用者都需要使用Kerberos进行身份验证。

Kerberos则为一个网路身份验证协定，以安全的方法让节点在不安全的网路中进行沟通，Kerberos採用客户端与伺服器架构，两方可以互相进行身份认证，能用于防止窃听、重放攻击或是保护资料的完整性。

使用者可以启用Cloud Dataproc中的新功能，连结Cloud Dataproc与Microsoft Active Directory，并且节点之间传输的资料也会即时加密，还能支援多租户丛集。Cloud Dataproc上的Kerberos和Hadoop安全模式，能为用户提供与传统Hadoop安全平台奇偶校验，使得工作负载移植的过程更为安全轻鬆。

在Cloud Dataproc中的常见Kerberos配置，每个GCP使用者都与Cloud Identity关联，而这样的身份认证机制可以让使用者以SSH操作丛集、以API执行任务，或是创建像是Cloud Dataproc等云端资源。

Google提到，当用户使用Kerberos的Hadoop应用程式，则必须要包含Kerberos原则，因为Microsoft Active Directory对使用者以及群组来说，是以Cross-Realm Trust的方式映射到Cloud Dataproc的Kerberos原则。而当Hadoop应用程式需要使用Cloud Storage，则可以使用Cloud Storage连接器，这个连接器能以帐户身份认证存取Cloud Storage，并让Hadoop以区块层级存取Cloud Storage的资料。

用户可以在Cloud Dataproc控制台，勾选启用Kerberos和Hadoop安全模式选项，而且为了安全地交换密钥以及管理者密码，用户需要另外使用金钥管理服务，创建并加密这些机密资讯档案，才能在控制台中应用。Cloud Dataproc预设启用包括即时加密在内的所有Hadoop安全模式功能，Cloud Dataproc也会为加密自动产生自签署的凭证。