Apache Sentry

DATA SHEET
Hadoopに対する集中アクセス管理
Apache Sentry
総合的
Hadoop向けロールベースのアクセスコントロール
• HDFS、Hive、Impala、Searchに共通のポリシ
拡大を続けるApache Hadoopクラスタを利用して、
データにアクセスしたり、
アプリケーション
を利用するユーザーが増加の一途をたどっています。ユーザーやデータドリブンな企業にと
っては良いニュースと言えますが、
こと機密データを扱っているような場合、セキュリティ管理
者やコンプライアンス担当者は、既存のHadoopインフラストラクチャーをセキュリティやコ
ンプライアンス違反が生じないようエンドユーザーに使用させたい、
と考えます。Clouderaの
エンタープライズデータハブは、Hadoopが持つ柔軟性と同時に、もっともセキュリティに優
れたHadoopディストリビューションとして、業務システムに求められるセキュリティやガバナ
ンス要件にも包括的に対応します。Clouderaは、防御境界線 (Perimeter)、
アクセス、可視性、
データという4本の柱を中心に、総合的なセキュリティ機能を提供します。
ーを適用可能
メタデータ保護
• ポリシーを直接的または間接的なメタデー
タのアクセスにも拡張可能
使いやすさ
• ADのグループ割り当てを利用し、SQLまたは
HUE UIから容易な管理が可能
監査対応
• Sentryが検知した不正アクセスやアクセス許
可ポリシーの変更を、Cloudera Navigatorで
監査
オープンスタンダード
• Apache Sentryは、オープンソースの標準と
して、多くのコントリビューターやベンダーの
サポートを受け、インテグレーターやさまざ
まな業界が導入
プロセス
データ投入
ディスカバー
モデル
サーブ
分析
機械学習
SAS, R,
Spark, Mahout
データベース
Sqoop, Flume
データベース
データ変換
MapReduce,
Hive, Pig, Spark
検索
Impala
HBase
ストリーミング
Spark Streaming
Solr
セキュリティと管理
NoSQL
YARN, Cloudera Manager,
Cloudera Navigator
無制限のストレージ HDFS, HBase
Clouderaは、ユーザーやアプリケーションのデータの扱い方をコントロールするアクセスセキ
ュリティに対応するため、Apache Sentryを提供します。Apache Sentryは、Hadoopエコシス
テム全般に、ロールベースのアクセスコントロール (RBAC)を可能にする、標準的かつオープ
ンソースによる総合的な認可エンジンであり、Hadoopにストアされたデータに加え、メタデ
ータに対するアクセスコントロールも可能です。データセットに対してアクセス権限設定を行
ない、HDFS、Apache Hive、Impala、Cloudera Search、さらにApache PigやHCatalog を利用
した Apache MapReduce/Yarn など、複数のアクセスパスをコントロールすることができま
す。
アクセスコントロールにより、然るべきユーザーやアプリケーションが、特定のデータセットや
メタデータにアクセスできる、適切な許可を与えることができます。
また、業務ロールやグルー
プに基づくポリシーテンプレートを使用することで、大規模なHadoopであっても、容易な管
理が可能です。Sentryは、ユーザーのグループ割り当てを、Active Directory (AD) を利用して
行うことが可能で、ロールの割り当てに変更が発生した場合は、自動的にこれを更新します。
さらに、SQLまたはHUE UIから簡単なコマンドを実行するだけで、新規ユーザーに業務ロー
ルを割り当てたり、ポリシーを変更することが可能です。
また、管理者はマルチテナントのアク
セス管理機能を使って、データの一部を有効なポリシー管理下に異動することができます。
DATA SHEET
主な特長
Sentryは、既存のHiveメタストアを使用し、HiveServer2のための拡張プラグインを提供することで、既存の並行機能やセキュリティの標準コンポーネントである
Kerberosベースの認証の上に、Hadoopのセキュリティ強化を図っています。
より多くのユーザーや案件にHadoopを適用可能に
ファイルに機密データフィールドが含まれている場合、
これまではアクセス可能なユーザーを限定する必要がありました。
しかし、Sentryは、仮に機密データと
一緒に保存されていても、非機密データフィールドは公開する、
といったきめ細かなアクセスコントロールが可能です。データのコントロールは、サーバー、
データベース、テーブルまたはカラムレベルで可能です。
容易に一貫した管理と運用が可能な、総合アクセス許可機能
S e n t r y の もっとも重 要 な 点 は 、デ ータセットに 対 する複 数 のアクセス パス に 、共 通 の 権 限 設 定 を 行 なえることで す。一 度 ポリシ ー を 定 義 す れ
ば、HDFS、
Hive、Impala、Searchなど、複数のアクセスパスに一貫した適用が可能です。
オープンソース、
オープンスタンダード
Sentryは100% Apacheオープンソースとして、Hadoopの包括的なセキュリティ管理機能のイニシアチブの1つ、
IntelのRhinoプロジェクトから提供されたものです。
Sentryの品質維持や機能拡張には、複数の企業の多くのコントリビューターが関与しています。また、複数のHadoopベンダーがこれをサポートし、特定の
ベンダーに縛られることはありません。さらに、エコシステム全般における互換性のため、サードパーティー製品との連携も可能です。
コンプライアンス対応
Sentryによって、例えばPCIやHIPAAなど、データセキュリティやガバナンスに関する重要な要件に対応可能となります。Clouderaは業界初のPCI認定の
Hadoopプラットフォームとして、
こうしたコンプライアンスに対応できるよう、Sentryをセキュリティのコアコンポーネントに採用しています。
Clouderaエンタープライズデータハブの統合コンポーネント
Sentryは、Clouderaのプラットフォームに組み込まれ、Cloudera Managerから設定を行なったり、YARNリソース管理との連携、HUE UIによる視覚的なポリシー
管理が可能で、
また、Cloudera Navigatorからの情報をもとに監査ログを生成することができます。現在、HDFS、HCatalog、Hive、ImpalaおよびSearchを一律
管理可能ですが、
さらに対象を増やす予定です。
Cloudera Enterpriseサブスクリプション
Cloudera Enterpriseサブスクリプションで、Sentryを最大限活用できます。Cloudera Enterpriseは、総合的な技術サポートに加え、Sentryを最大限活用して、
ミッションクリティカルなアプリケーションに必要なセキュリティ機能を提供します。
図2:HUEインタフェースを使ったApache Sentry ポリシー管理
Cloudera Enterprise Trialで、Clouderaの総合的な
セキュリティ機能を体験する
go.cloudera.com/ced
cloudera.com
Cloudera株式会社
〒104-0031 東京都中央区京橋2-7-14 ビュレックス京橋211
Cloudera Live で試す
cloudera.com/live
© 2015 Cloudera, Inc. All rights reserved. ClouderaおよびClouderaのロゴはCloudera株式会社の商標として米国その他の国に登録されています。その他
の商標については、その商標が表す企業に帰属します。
このデータシートの情報は事前告知なしに変更される場合があります。
ご質問は[email protected]までご自由にお寄せ下さい。
またClouderaニュースレターについては、
[email protected] に「ML_SUBSCRIBE」
という件名でメールをお送り下さい(本文不要)。
cloudera-sentry-datasheet-101