متخصص امنیتی ادی گارسیا این بار حسابرسی را توضیح داده که سومین مورد از سه عنصر اصلی AAA امنیت اطلاعات است. حسابرسی و بررسی برای امنیت دادهها حیاتی است. از طریق حسابرسی ما میتوانیم مطمئن باشیم که کنترلهای امنیتی در جای خود قرار دارند و بهدرستی کار کرده و میتوانند تلاشهایی را که برای دور زدن آنها صورت میگیرد، شناسایی کنند.
رویدادهای نام و گزارشها بهعنوان یک روش معمول برای ضبط اقدامات یک نرمافزار هستند و به مدیران و حسابرسان اجازه میدهند تا «به عقب برگشته» و اقدامات یک کاربر را بررسی کنند. این دادههای ثبت شده بسیار شبیه به کارت اعتباری و یا گزارشهای بانکی، شواهدی را از تراکنشها نشان میدهند. در غیاب دستگاه ماشین زمان، رویدادهای نام و گزارشها ممکن است تنها نگاهی تاریخی به آنچه که در خوشهی Hadoop در یک لحظهی معین رخ میدهد، ارائه کنند.
همانطور که همهی شما میدانید، Hadoop دارای اجزای مختلفی است و بنابراین انواع مختلفی از رویدادهای نام و گزارشهای حسابرسی را در بردارد. در این مقاله گارسیا بسیاری از قابلیتهای حسابرسی را در اجزای مختلف بررسی میکند.
رویدادهای نام و گزارشهای حسابرسی HDFS
HDFS هستهی Hadoop است و به ارائهی سامانه پروندههای توزیع شده میپردازد که Hadoop را تا این حد موفق کرده است. HDFS دارای دو رویدادهای نام و گزارشهای حسابرسی متفاوت است؛ hdfs-audit.log برای عملکرد کاربر و SecurityAuth-hdfs.audit برای عملکرد خدمات. هر دو این رویدادهای نام و گزارشها با Apache Log۴j پیادهسازی شدهاند که یک مکانیسم مشترک و شناخته شده برای ثبت گزارش در جاوا است. ویژگیهای log۴j میتواند در مشخصات پروندهی log۴j به شکل زیر پیکربندی شود:
log۴j.logger.org.apache.hadoop.hdfs.server.namenode.FSNamesystem.audit
log۴j.category.SecurityLogger
در زیر مثالی از یک کاربر به نام Marty McFly پس از اینکه فهرستی از پروندهها و پوشهها و تلاش برای رونویسی در مسیر /user/doc پذیرفته نمیشود، آورده شده است.
رویدادهای نام و گزارشهای حسابرسی MapReduce
همچون HDFS، MapReduce نیز دارای دو رویدادهای نام و گزارشها است که mapred-audit.log برای فعالیت کاربر و SecurityAuthmapred.audit برای فعالیت خدمات است. پیکربندی log۴j میتواند در پروندهی log۴j.properties به شکل زیر یافت شود:
log۴j.logger.org.apache.hadoop.mapred.AuditLogger
log۴j.category.SecurityLogger
رویدادهای نام و گزارشها های حسابرسی YARN
برای YARN رویدادهای نام و گزارشهای حسابرسی کاربر در پرونده جداگانه قرار ندارند بلکه بیشتر در پروندههای رویدادهای نام و گزارشها daemon با هم ترکیب شدهاند. برای فعالسازی خدمات ثبت گزارش در YARN همچون HSFS و MapReduce شما میتوانید مشخصات log۴j را به شکل زیر فعال سازید:
log۴j.category.SecurityLogger
رویدادهای نام و گزارشهای حسابرسی Hive
Hive اندکی تفاوت دارد و برای رویدادهای نام و گزارشها خدمات از Hive Metastore استفاده میکند. برای تشخیص رویدادهای حسابرسی Hive در میان سایر رویدادهای نام و گزارشها شما میتوانید خطوطی را که حاوی
org.apache.hadoop.hive.metastore.HiveMetaStore.audit
است را جداسازی کنید. رویدادهای نام و گزارشهای Hive همچنین دارای اطلاعاتی هستند که نشان میدهد کدام پایگاه داده یا جدول در حال استفاده است.
رویدادهای نام و گزارشها های حسابرسی Hbase
Hbase دارای پرونده جداگانه برای رویدادهای نام و گزارشهای حسابرسی است، هر چند نشان دادن فعالیتهای یک کاربر کمی گول زننده است چرا که رویدادها میتوانند در میان گرههای Hbase پخش شده باشند. رویدادها حاوی اطلاعاتی در مورد خانواده ستون، ستون، جدول و کارهایی که رخ داده است، هستند. پیکربندی log۴j میتواند در پروندهی log۴j.properties به شکل زیر یافت شود:
log۴j.logger.SecurityLogger
رویدادهای نام و گزارشها های حسابرسی Sentry
در حالیکه رویدادهای نام و گزارشهای عملکردهای کاربر مهم هستند، رویدادهای نام و گزارشها عملکردهای مدیریت و تغییرات در اجازهنامههای کاربران فوقالعاده اهمیت دارند. Apache Sentry نیز از log۴j استفاده میکند و یک پروندهی اختصاص داده شده با پیکربندی به شکل زیر است:
log۴j.logger.sentry.hive.authorization.ddl.logger
رویدادهای نام و گزارشها های حسابرسی Cloudera Impala
هر کدام از daemon های Cloudera Impala دارای پرونده رویدادهای نام و گزارشهای حسابرسی مخصوص به خود است. قالب آنها هم کمی متفاوتتر است و از JSON برای تجزیهی آسانتر رویدادها استفاده میکند. Imala هم همچون Hive دادههایی درباره پایگاه داده، جدول و حتی دستورات SQL اجرا شده را ضبط میکند.
نظارت و تجزیه و تحلیل رویدادهای نام و گزارشها برای بررسی ارزش افزوده در اثر تجزیه و تحلیل رویداد و هشدارها
هنگامی که شما همهی رویدادهای نام و گزارشهای Hadoop را تنظیم کردید، مرحلهای به همان میزان با اهمیت نیز وجود دارد که نظارت بر خوشههایی است که به رویدادهای امنیتی و فعالیتهای مشکوک و نفوذگرانه اشاره دارند؛ و چه جایی بهتر از خود Hadoop برای انجام این کار.
در میان بسیاری دیگر از موارد استفادهی Hadoop برای دادههای کلان، از آن برای مصرف و ثبت رویدادهای نام و تجزیه و تحلیل امنیتی استفاده میشود. در گذشته، دادههای پر اهمیت که حاوی پروندههای رویدادهای نام و گزارشها بودند در طی انجام تغییرات دور ریخته میشدند، اما امروزه سازمانهای هوشمند، با Hadoop همهی دادههای رویدادهای نام و گزارشها را برای سامانه خود به صورت فعال ذخیرهسازی میکنند. سپس سازمانها از مزایای اکوسیستم بزرگ ابزارهایی که برای تجزیه و تحلیل تهدیدهای پیشرفته و مداوم (APT)، جرمشناسی امنیتی، اطلاعات سایبری و یادگیری رفتارهای کاربر در Hadoop قرار دارد، بهره میگیرند.
همیشهی ایدهی خوبی است که مطمئن باشیم شما رویدادهای نام و گزارشها را به درستی فعال کردهاید حتی در مورد خوشههای موجود یا بعد از انجام ارتقاء؛ و اگر شما به درستی رویدادهای نام و گزارشها را در Hadoop ذخیره نکرده باشید؛ قطعا باید از همین الان شروع به این کار کنید.
منبع: asis
درباره نماد امنیت وب
“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.