حسابرسی Hadoop و ثبت رویداد نام برای بازگشت در زمان

متخصص امنیتی ادی گارسیا این بار حسابرسی را توضیح داده که سومین مورد از سه عنصر اصلی AAA امنیت اطلاعات است. حسابرسی و بررسی برای امنیت داده‌ها حیاتی است. از طریق حسابرسی ما می‌توانیم مطمئن باشیم که کنترل‌های امنیتی در جای خود قرار دارند و به‌درستی کار کرده و می‌توانند تلاش‌هایی را که برای دور زدن آن‌ها صورت می‌گیرد، شناسایی کنند.

رویدادهای نام و گزارش‌ها به‌عنوان یک روش معمول برای ضبط اقدامات یک نرم‌افزار هستند و به مدیران و حسابرسان اجازه می‌دهند تا «به عقب برگشته» و اقدامات یک کاربر را بررسی کنند. این داده‌های ثبت شده بسیار شبیه به کارت اعتباری و یا گزارش‌های بانکی، شواهدی را از تراکنش‌ها نشان می‌دهند. در غیاب دستگاه ماشین زمان، رویدادهای نام و گزارش‌ها ممکن است تنها نگاهی تاریخی به آنچه که در خوشه‌ی Hadoop در یک لحظه‌ی معین رخ می‌دهد، ارائه کنند.

همان‌طور که همه‌ی شما می‌دانید، Hadoop دارای اجزای مختلفی است و بنابراین انواع مختلفی از رویدادهای نام و گزارش‌های حسابرسی را در بردارد. در این مقاله گارسیا بسیاری از قابلیت‌های حسابرسی را در اجزای مختلف بررسی می‌کند.

رویدادهای نام و گزارش‌های حسابرسی HDFS

HDFS هسته‌ی Hadoop است و به ارائه‌ی سامانه پرونده‌های توزیع شده می‌پردازد که Hadoop را تا این حد موفق کرده است. HDFS دارای دو رویدادهای نام و گزارش‌های حسابرسی متفاوت است؛ hdfs-audit.log برای عملکرد کاربر و SecurityAuth-hdfs.audit برای عملکرد خدمات. هر دو این رویدادهای نام و گزارش‌ها با Apache Log۴j پیاده‌سازی شده‌اند که یک مکانیسم مشترک و شناخته شده برای ثبت گزارش در جاوا است. ویژگی‌های log۴j می‌تواند در مشخصات پرونده‌ی log۴j به شکل زیر پیکربندی شود:

log۴j.logger.org.apache.hadoop.hdfs.server.namenode.FSNamesystem.audit

log۴j.category.SecurityLogger

در زیر مثالی از یک کاربر به نام Marty McFly پس از اینکه فهرستی از پرونده‌ها و پوشه‌ها و تلاش برای رونویسی در مسیر /user/doc پذیرفته نمی‌شود، آورده شده است.

۲_۳۷

رویدادهای نام و گزارش‌های حسابرسی MapReduce

همچون HDFS، MapReduce نیز دارای دو رویدادهای نام و گزارش‌ها است که mapred-audit.log برای فعالیت کاربر و SecurityAuthmapred.audit برای فعالیت خدمات است. پیکربندی log۴j می‌تواند در پرونده‌ی log۴j.properties به شکل زیر یافت شود:

log۴j.logger.org.apache.hadoop.mapred.AuditLogger

log۴j.category.SecurityLogger

 

رویدادهای نام و گزارش‌ها ‌های حسابرسی YARN

برای YARN رویدادهای نام و گزارش‌های حسابرسی کاربر در پرونده جداگانه قرار ندارند بلکه بیشتر در پرونده‌های رویدادهای نام و گزارش‌ها daemon با هم ترکیب شده‌اند. برای فعال‌سازی خدمات ثبت گزارش در YARN همچون HSFS و MapReduce شما می‌توانید مشخصات log۴j را به شکل زیر فعال سازید:

log۴j.category.SecurityLogger

 

رویدادهای نام و گزارش‌های حسابرسی Hive

Hive اندکی تفاوت دارد و برای رویدادهای نام و گزارش‌ها خدمات از Hive Metastore استفاده می‌کند. برای تشخیص رویدادهای حسابرسی Hive در میان سایر رویدادهای نام و گزارش‌ها شما می‌توانید خطوطی را که حاوی

org.apache.hadoop.hive.metastore.HiveMetaStore.audit

 

است را جداسازی کنید. رویدادهای نام و گزارش‌های Hive همچنین دارای اطلاعاتی هستند که نشان می‌دهد کدام پایگاه داده یا جدول در حال استفاده است.

رویدادهای نام و گزارش‌ها ‌های حسابرسی Hbase

Hbase دارای پرونده جداگانه برای رویدادهای نام و گزارش‌های حسابرسی است، هر چند نشان دادن فعالیت‌های یک کاربر کمی گول زننده است چرا که رویدادها می‌توانند در میان گره‌های Hbase پخش شده باشند. رویدادها حاوی اطلاعاتی در مورد خانواده ستون، ستون، جدول و کارهایی که رخ داده است، هستند. پیکربندی log۴j می‌تواند در پرونده‌ی log۴j.properties به شکل زیر یافت شود:

log۴j.logger.SecurityLogger

 

رویدادهای نام و گزارش‌ها ‌های حسابرسی Sentry

در حالی‌که رویدادهای نام و گزارش‌های عملکردهای کاربر مهم هستند، رویدادهای نام و گزارش‌ها عملکردهای مدیریت و تغییرات در اجازه‌نامه‌های کاربران فوق‌العاده اهمیت دارند. Apache Sentry نیز از log۴j استفاده می‌کند و یک پرونده‌ی اختصاص داده شده با پیکربندی به شکل زیر است:

log۴j.logger.sentry.hive.authorization.ddl.logger

 

رویدادهای نام و گزارش‌ها ‌های حسابرسی Cloudera Impala

هر کدام از daemon های Cloudera Impala دارای پرونده رویدادهای نام و گزارش‌های حسابرسی مخصوص به خود است. قالب آن‌ها هم کمی متفاوت‌تر است و از JSON برای تجزیه‌ی آسان‌تر رویدادها استفاده می‌کند. Imala هم همچون Hive داده‌هایی درباره پایگاه داده، جدول و حتی دستورات SQL اجرا شده را ضبط می‌کند.

نظارت و تجزیه و تحلیل رویدادهای نام و گزارش‌ها برای بررسی ارزش افزوده در اثر تجزیه و تحلیل رویداد و هشدارها

هنگامی که شما همه‌ی رویدادهای نام و گزارش‌های Hadoop را تنظیم کردید، مرحله‌ای به همان میزان با اهمیت نیز وجود دارد که نظارت بر خوشه‌هایی است که به رویدادهای امنیتی و فعالیت‌های مشکوک و نفوذگرانه اشاره دارند؛ و چه جایی بهتر از خود Hadoop برای انجام این کار.

در میان بسیاری دیگر از موارد استفاده‌ی Hadoop برای داده‎های کلان، از آن برای مصرف و ثبت رویدادهای نام و تجزیه و تحلیل امنیتی استفاده می‌شود. در گذشته، داده‌های پر اهمیت که حاوی پرونده‌های رویدادهای نام و گزارش‌ها بودند در طی انجام تغییرات دور ریخته می‌شدند، اما امروزه سازمان‌های هوشمند، با Hadoop همه‌ی داده‌های رویدادهای نام و گزارش‌ها را برای سامانه خود به صورت فعال ذخیره‌سازی می‌کنند. سپس سازمان‌ها از مزایای اکوسیستم بزرگ ابزارهایی که برای تجزیه و تحلیل تهدیدهای پیشرفته و مداوم (APT)، جرم‌شناسی امنیتی، اطلاعات سایبری و یادگیری رفتارهای کاربر در Hadoop قرار دارد، بهره می‌گیرند.

همیشه‌ی ایده‌ی خوبی است که مطمئن باشیم شما رویدادهای نام و گزارش‌ها را به درستی فعال کرده‌اید حتی در مورد خوشه‌های موجود یا بعد از انجام ارتقاء؛ و اگر شما به درستی رویدادهای نام و گزارش‌ها را در Hadoop ذخیره نکرده باشید؛ قطعا باید از همین الان شروع به این کار کنید.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.