VAST ma'lumotlar platformasi dasturiy ta'minotidan foydalanish

VAST ma'lumotlar platformasi dasturiy ta'minotidan foydalanish

Tarkib yashirish
1 Kirish
2 VAST ma'lumotlar platformasi nima
3 Tarmoq va tugun segmentatsiyasi
4 Mantiqiy ijara
5 Avtorizatsiya va identifikatsiyani boshqarish
6 Kirish nazorati
7 Protokol ACL va SELinux teglari
8 Sertifikatlarni boshqarish va shifrlash
9 Katalog va audit
10 Himoyalangan va himoyalangan operatsion tizim
11 Xavfsiz dasturiy ta'minot ta'minoti zanjiri
12 Xulosa
13 Hujjatlar / manbalar
13.1 Ma'lumotnomalar

Kirish

Ma'lumotlarga asoslangan bugungi dunyoda tuzilmagan ma'lumotlarning maxfiyligi va xavfsizligi birinchi o'rinda turadi. Ko'p toifali Xavfsizlik (MCS) va xavfsiz ijara xususiyatlari ushbu muammolarni hal qilish uchun mustahkam asosni taklif qiladi. MCS, Security-Enhanced Linux (SELinux) da kirishni boshqarish mexanizmi, maxsus toifalarni belgilash orqali ma'lumotlarning maxfiyligini oshiradi. files va jarayonlar. Bu hujjatlar, tasvirlar va videolar kabi tuzilmagan maʼlumotlar uchun qoʻshimcha himoya qatlamini taʼminlab, maxfiy maʼlumotlarga faqat vakolatli foydalanuvchilar va jarayonlar kirishini taʼminlaydi.

Xavfsiz ijaraga olish bir xil infratuzilmada turli guruhlar, bo'limlar yoki tashkilotlar uchun alohida muhit yaratish orqali ma'lumotlar izolyatsiyasini yanada kuchaytiradi. Ushbu yondashuv har bir ijarachining ma'lumotlarini mantiqiy yoki jismoniy jihatdan ajratishni ta'minlaydi, ruxsatsiz kirishning oldini oladi va ma'lumotlar maxfiyligini saqlaydi. Xavfsiz ijaraning asosiy jihatlariga resurslarni izolyatsiya qilish, ma'lumotlarni ajratish, tarmoq segmentatsiyasi va kirishni nazorat qilish kiradi.

VAST ma'lumotlar platformasi ushbu tamoyillarni o'zining keng qamrovli funktsiyalar to'plami, jumladan VLAN orqali misol qilib keltiradi. tagging, rolga asoslangan va atributga asoslangan kirish boshqaruvlari va mustahkam shifrlash mexanizmlari. Ushbu hujjat MCSni VAST Data Platformasida xavfsiz ijaraga olish bilan qanday qilib integratsiyalashuvi tizimlashtirilmagan maʼlumotlarni boshqarish uchun keng qamrovli va xavfsiz yechim taqdim etishini, xususan, maʼlumotlarning maxfiyligi boʻyicha qatʼiy talablarga ega boʻlgan tashkilotlarni oʻrganadi. Ushbu kirish qisqa, yo'naltirilgan bo'lib, hujjat mazmuni bo'yicha aniq qo'llanmani taqdim etadi va texnik hujjatlarning ilg'or tajribalariga mos keladi.

VAST ma'lumotlar platformasi nima

VAST ma'lumotlar platformasi tuzilmagan ma'lumotlar bilan ishlash uchun keng qamrovli yechimdir, ayniqsa AI va chuqur o'rganish ilovalari uchun. U maʼlumotlarni toʻplash, kataloglash, yorliqlash, boyitish va saqlash boʻyicha turli imkoniyatlarni birlashtirib, chekkadan bulutga uzluksiz maʼlumotlardan foydalanishni taʼminlaydi.

Ajratilgan va birgalikdagi hamma narsa (DASE) arxitekturasi

Ushbu arxitektura hisoblash mantig'ini tizim holatidan ajratadi, bu esa ma'lumotlar tugunlarini (DNodes) qo'shish orqali sig'imni mustaqil ravishda o'zgartirishga va Hisoblash tugunlarini (CNodes) qo'shish orqali ishlashga imkon beradi. U an'anaviy taqsimlangan tizimlarning cheklovlarini yengish uchun umumiy va tranzaksiyaviy ma'lumotlar tuzilmalarini birlashtiradi.

Qo'llab-quvvatlanadigan mijozlar: NFS, NFSoRDMA Server xabar bloki (SMB), Amazon S3 va konteynerlar (CSI)

VAST ma'lumotlar platformasi nima
Fuqaroliksiz protokol serverlari (CNodes)
Ajratilgan va birgalikdagi hamma narsa (DASE) arxitekturasi

VAST DataStore

2019-yilda taqdim etilgan DataStore tizimlashtirilmagan maʼlumotlarni saqlash va ularga xizmat koʻrsatish uchun moʻljallangan. U unumdorlik va sig‘im o‘rtasidagi muvozanatni buzadi va uni korporativ sun’iy intellektga tayyor tuzilmagan ma’lumotlarni saqlash uchun mos qiladi.
VAST ma'lumotlar bazasi

Ushbu komponent ma'lumotlar bazasining tranzaksiya samaradorligini, ma'lumotlar omborining analitik ishlashini va ma'lumotlar ko'lining miqyosi va arzonligini ta'minlaydi. U qatorli va ustunli ma'lumotlarni saqlashni qo'llab-quvvatlaydi.
VAST DataSpace

2023-yilda ishga tushirilgan DataSpace global maʼlumotlardan chekkadan bulutga kirishni taʼminlaydi va mahalliy ishlash bilan qatʼiy muvofiqlikni muvozanatlashtiradi. U har qanday ommaviy, shaxsiy yoki chekka bulutli platformadagi ma'lumotlar bo'yicha hisoblash imkonini beradi.

Platforma tuzilgan va tuzilmagan ma'lumotlarni, ma'lumotlar bazasi tahlilini birlashtiradi va global nomlar maydonini taqdim etadi. U NFS, SMB, S3, SQL kabi turli xil protokollarni qo'llab-quvvatlaydi va xabar almashish tizimlaridan ma'lumotlarni o'zgartirish va iste'mol qilish uchun Apache Spark-ni o'rnatadi.

Platforma AI va korporativ ilovalarni quvvatlantirish uchun yaratilgan boʻlib, real vaqtda maʼlumotlarni chuqur tahlil qilish va chuqur oʻrganish imkoniyatlarini taʼminlaydi. U real vaqt rejimida maʼlumotlarni ushlaydi va qayta ishlaydi, bu esa AI xulosasini chiqarish, metamaʼlumotlarni boyitish va modellarni qayta tayyorlash imkonini beradi.

VAST ma'lumotlar platformasi nima

Tarmoq va tugun segmentatsiyasi

VAST ma'lumotlar platformasi boshqaruv samaradorligi va tarmoq segmentatsiyasi bilan bog'liq bir qancha xususiyatlarni o'z ichiga oladi, jumladan CNode guruhlash funksiyasi, shuningdek, CNode'larni VLAN-larga ulash qobiliyati. Mana ushbu xususiyatlarning batafsil tavsifi va VAST klasteri 5.1 hujjatlarining tegishli boʻlimlari:

CNode guruhlash va birlashtirish

Server (CNode) birlashmasi: Saqlash protokollari hisoblash tugunlaridan (CNode) xizmat ko'rsatadi. VAST ma'lumotlar platformasi CNode-larni alohida server hovuzlariga guruhlash imkonini beradi. Har bir server pulida hovuzdagi CNodelar bo'ylab taqsimlangan virtual IP-manzillar (VIP) to'plami mavjud. Bu har bir hovuzga tayinlangan serverlar sonini nazorat qilish orqali Xizmat sifati (QoS) mexanizmini taqdim etadi. CNode oflayn rejimga o'tganda, u xizmat ko'rsatgan VIPlar hovuzdagi qolgan CNodelar bo'ylab uzluksiz qayta taqsimlanadi. Bu yuk muvozanatini va yuqori mavjudligini ta'minlaydi.

  • Bo'lim: VAST klaster hujjatlari, "Virtual IP hovuzlarini boshqarish" [p. 593]

VLAN Tagging va bog'lash

VLAN Taging: VLAN tagging ma'murlarga tarmoqdagi qaysi Virtual IP-ning qaysi VLAN-larga ta'sir qilishini nazorat qilish imkonini beradi. Bu xususiyat tarmoq trafigining turli VLAN-lar o'rtasida ajratilishini ta'minlaydi, ruxsatsiz kirish va ijarachilar o'rtasida ma'lumotlarning sizib chiqishini oldini oladi. VLAN tagging VAST platformasida VLAN-lar ichida Virtual IP-pullarni yaratish orqali sozlangan, bu xavfsiz tarmoq segmentatsiyasi va izolyatsiyasini ta'minlaydi.

  • Bo'lim: VAST klaster hujjatlari, "TagVirtual IP hovuzlarini VLAN bilan o'rnatish” [p. 147]
  • Bo'lim: Tarmoqqa kirish va saqlashni ta'minlash (v5.1) [p. 141]

Tarmoq segmentatsiyasi

Kirishni boshqarish Views va protokollar: A VAST View tarmoq saqlash ulushi, eksport yoki chelakning ko'p protokolli ifodasidir. Platforma ma'murlarga qaysi VLAN-larning ma'lum biriga kirishini nazorat qilish imkonini beradi Views va ushbu VLAN-lardagi VIP-larga kirishda qanday protokollardan foydalanishga ruxsat berilgan. Bu xususiyat faqat avtorizatsiya qilingan VLANlar maʼlum maʼlumotlar va xizmatlarga kirishini taʼminlash orqali xavfsizlikni kuchaytiradi. Foydalanish orqali sozlangan View VLAN-larga asoslangan kirish ruxsatlarini belgilashi mumkin bo'lgan siyosatlar.

  • Bo'lim: VAST klaster hujjatlari, “Yaratish View Siyosat” [p. 628]

Mantiqiy ijara

VAST ma'lumotlar platformasi ijarachilarni xavfsiz izolyatsiya qilish va boshqarish imkonini beruvchi ko'p ijaraga olish bilan bog'liq bir qancha xususiyatlarni taklif etadi. Bu erda ijaraning asosiy xususiyatlari va VAST klasteri 5.1 hujjatlarining batafsil tavsiflari va tegishli bo'limlari:

Ijarachilar

Tavsif: VAST Data Platformasidagi ijarachilar ajratilgan maʼlumotlar yoʻllarini belgilaydilar va Active Directory (AD), LDAP yoki NIS kabi oʻzlarining autentifikatsiya manbalariga ega boʻlishlari mumkin. Har bir ijarachi o'zining shifrlash kalitlarini ham boshqarishi mumkin, bu esa ma'lumotlarning boshqa ijarachilardan xavfsiz tarzda ajratilishini ta'minlaydi. Bu xususiyat turli tashkilotlar yoki bo'limlar ma'lumotlarni qat'iy ajratishni ta'minlashi kerak bo'lgan ko'p ijarachilarli muhitlar uchun juda muhimdir.

  • Bo'lim: Ijarachilar (v5.1) [p. 251]

View Siyosat

Tavsif: View Siyosatlar kirish ruxsatlarini, protokollarini va xavfsizlik sozlamalarini belgilaydi Views ijarachilarga tayinlangan. Ushbu siyosatlar ma'murlarga ma'lumotlarga kim kirishi mumkinligini, qanday amallarni bajarishi va qaysi protokollardan foydalanishi mumkinligini nazorat qilish imkonini beradi. Ushbu zarracha nazorat ko'p ijarachilarli muhitda xavfsizlik va muvofiqlikni ta'minlash uchun zarurdir.

  • Bo'lim: Boshqaruv Views va View Siyosatlar (v5.1) [p. 260]

VLAN izolyatsiyasi

Tavsif: VLAN-lar ijarachilar o'rtasidagi trafikni yanada izolyatsiya qilish uchun ma'lum bir ijarachiga bog'lanishi mumkin, bu esa L2 chegarasi bo'ylab o'zaro marshrutlash yoki translyatsiya trafigini oldini oladi.

  • Bo'lim: TagVirtual IP hovuzlarini VLAN bilan o'rnatish [p. 147]

Xizmat sifati (QoS)

Tavsif: QoS siyosatlari tarmoqli kengligi va IOP (sekundiga kirish/chiqarish operatsiyalari) uchun batafsil ishlash nazoratini ta'minlaydi. Views ijarachilarga tayinlangan. Ushbu siyosatlar prognoz qilinadigan ishlashni ta'minlaydi va resurslar bilan bog'liq muammolarni oldini oladi, bu turli ijarachilar turli xil ishlash talablariga ega bo'lishi mumkin bo'lgan ko'p ijarachilarli muhitlarda ayniqsa muhimdir. Ishlashning tugashini oldini olishga yordam beradigan QoS maksimal chegaralariga qo'shimcha ravishda, shovqinli qo'shnilar muammosini ko'p ijaraga olishning oldini olishga yordam beradigan QoS minimal chegaralari ham mavjud.

  • Bo'lim: Xizmat sifati (v5.1) [p. 323]

Kvotalar

Tavsif: Kvotalar ma'murlarga sig'im chegaralarini belgilash imkonini beradi Views va ijarachilarni izolyatsiya qilish uchun kataloglar. Bu xususiyat hech bir ijarachi o'zining ajratilgan resurslardan ko'proq iste'mol qila olmasligini ta'minlaydi, bu esa tizim quvvati resurslarining kutilmagan tarzda tugashining oldini olishga yordam beradi.

  • Bo'lim: Kvotalarni boshqarish (v5.1) [p. 314]

Avtorizatsiya va identifikatsiyani boshqarish

Ijarachi va identifikatsiyani boshqarish

Tavsif: VAST Data Platformasidagi ijarachilar ajratilgan maʼlumotlar yoʻllarini belgilaydilar va Active Directory (AD), LDAP yoki NIS kabi oʻzlarining autentifikatsiya manbalariga ega boʻlishlari mumkin. Platforma ijarachi darajasida foydalanish uchun sozlanishi mumkin bo'lgan sakkiztagacha noyob identifikatsiya provayderlarini qo'llab-quvvatlaydi.

  • Bo'lim: Ijarachilar (v5.1) [p. 251]

Views

Tavsif: Views - ko'p protokolli aktsiyalar, eksport yoki maxsus ijarachilarga tegishli chelaklar. Ular xavfsiz izolyatsiya qilingan ma'lumotlarga kirishni ta'minlaydi, har bir ijarachi faqat o'z ma'lumotlariga kirishini ta'minlaydi. Views maxsus kirish ruxsatnomalari va protokollari bilan sozlanishi mumkin, bu ularni turli xil foydalanish holatlari uchun ko'p qirrali qiladi.

  • Bo'lim: Boshqaruv Views va View Siyosatlar (v5.1) [p. 260]

View Siyosat

Tavsif: View Siyosatlar kirish ruxsatlarini, protokollarini va xavfsizlik sozlamalarini belgilaydi views ijarachilarga tayinlangan. Ushbu siyosatlar ma'murlarga ma'lumotlarga kim kirishi mumkinligini, qanday amallarni bajarishi va qaysi protokollardan foydalanishi mumkinligini nazorat qilish imkonini beradi. Ushbu zarracha nazorat ko'p ijarachilarli muhitda xavfsizlik va muvofiqlikni ta'minlash uchun zarurdir.

  • Bo'lim: Boshqaruv Views va View Siyosatlar (v5.1) [p. 260]

Kirish nazorati

VAST ma'lumotlar platformasi avtorizatsiya va identifikatsiyani boshqarish uchun keng qamrovli xususiyatlar to'plamini taklif etadi. Bu yerda har bir xususiyatning batafsil tavsifi hamda VAST klasteri 5.1 hujjatlarining tegishli boʻlimlari va sahifa raqamlari keltirilgan:

Kirish nazorati

Rolga asoslangan kirishni boshqarish (RBAC)

Tavsif: VAST klasteri VAST boshqaruv tizimiga (VMS) kirishni boshqarish uchun rolga asoslangan kirishni boshqarish (RBAC) tizimidan foydalanadi. RBAC ma'murlarga muayyan ruxsatlarga ega rollarni belgilash va bu rollarni foydalanuvchilarga belgilash imkonini beradi. Bu foydalanuvchilarning faqat o'z rollari uchun zarur bo'lgan resurslar va harakatlarga kirishini ta'minlaydi, xavfsizlikni oshiradi va boshqaruvni soddalashtiradi.

  • Bo'lim: VMSga kirish va ruxsatlarni avtorizatsiya qilish [p. 82]

Atributga asoslangan kirishni boshqarish (ABAC)

Tavsif: Atributga asoslangan kirishni boshqarish (ABAC) qo'llab-quvvatlanadi views Kerberos autentifikatsiyasi bilan NFSv4.1 orqali yoki Kerberos yoki NTLM autentifikatsiyasi bilan SMB orqali kirish mumkin. ABAC a ga kirish imkonini beradi view agar foydalanuvchining Active Directory akkaunti ABAC bilan mos keladigan ABAC atributiga ega bo'lsa tag ga tayinlangan view. Bu foydalanuvchi atributlari asosida nozik kirish nazoratini ta'minlaydi.

  • Bo'lim: Atributga asoslangan kirishni boshqarish (ABAC) [p. 269] Kirish nazorati

Yagona tizimga kirish (SSO) autentifikatsiyasi

Tavsif: VAST VMS SAML-ga asoslangan identifikatsiya provayderlari (IdP) yordamida Yagona tizimga kirish (SSO) autentifikatsiyasini qo‘llab-quvvatlaydi. Bu VMS menejerlariga Okta kabi IdP dan hisob maʼlumotlari yordamida VAST klasteriga kirish imkonini beradi, bu esa qoʻshimcha ravishda koʻp faktorli autentifikatsiya (MFA) imkoniyatlarini taqdim etishi mumkin. SSO tizimga kirish jarayonini soddalashtiradi va autentifikatsiyani markazlashtirish orqali xavfsizlikni oshiradi.

  • Bo'lim: VMS da SSO autentifikatsiyasini sozlash [p. 90]

Active Directory integratsiyasi

Tavsif: VAST klasteri VMS va ma'lumotlar protokoli foydalanuvchi autentifikatsiyasi va avtorizatsiyasi uchun Active Directory (AD) bilan integratsiyani qo'llab-quvvatlaydi. Bu tashkilotlarga foydalanuvchilarning VAST Cluster resurslariga kirishini boshqarish uchun mavjud AD infratuzilmasidan foydalanish imkonini beradi. AD integratsiyasi guruhlar va foydalanuvchilar uchun SID tarixi kabi xususiyatlarni qo'llab-quvvatlaydi, bu esa uzluksiz kirish nazoratini ta'minlaydi.

  • Bo'lim: Active Directory ga ulanish (v5.1) [p. 347]

LDAP integratsiyasi

Tavsif: Platforma VMS va ma'lumotlar protokoli foydalanuvchi autentifikatsiyasi va avtorizatsiyasi uchun LDAP serverlari bilan integratsiyani qo'llab-quvvatlaydi. Bu tashkilotlarga mavjud LDAP kataloglaridan VAST Cluster resurslariga kirishni boshqarish uchun foydalanish imkonini beradi, bu esa moslashuvchan va kengaytiriladigan autentifikatsiya yechimini taqdim etadi.

  • Bo'lim: LDAP serveriga ulanish (v5.1) [p. 342]

NIS integratsiyasi

Tavsif: VAST klaster ma'lumotlar protokoli foydalanuvchi autentifikatsiyasi uchun Network Information Service (NIS) bilan integratsiyani qo'llab-quvvatlaydi. Bu xususiyat foydalanuvchi ma'lumotlarini boshqarish va kirishni boshqarish uchun NISga tayanadigan muhitlar uchun foydalidir.

  • Bo'lim: NIS ga ulanish (v5.1) [p. 358]

Mahalliy foydalanuvchilar va guruhlar

Tavsif: Administratorlar mahalliy foydalanuvchilar va guruhlarni bevosita VAST klasterida boshqarishi mumkin. Bunga mahalliy foydalanuvchi hisoblari va guruhlarini yaratish, o'zgartirish va o'chirish, shuningdek, ushbu hisoblarga ruxsatlar va rollarni belgilash kiradi.

  • Bo'lim: Mahalliy foydalanuvchilarni boshqarish (v5.1) [p. 335]
  • Bo'lim: Mahalliy guruhlarni boshqarish (v5.1) [p. 337] Kirish nazorati

Protokol ACL va SELinux teglari

VAST Data Platformasi turli xil protokollar ACL va SELinux yorlig'i xususiyatlarini qo'llab-quvvatlaydi, bu esa ishonchli kirish nazorati va xavfsizligini ta'minlaydi. Bu yerda har bir xususiyatning batafsil tavsifi hamda VAST klasteri 5.1 hujjatlarining tegishli boʻlimlari va sahifa raqamlari keltirilgan:

POSIX kirishni boshqarish ro'yxati (ACL)

Tavsif: VAST tizimlari ma'murlarga batafsil ruxsatlarni belgilash imkonini beruvchi POSIX ACL-larni qo'llab-quvvatlaydi. files va oddiy Unix/Linux modelidan tashqari papkalar. POSIX ACL-lar bir nechta foydalanuvchilar va guruhlarga ruxsatlarni belgilash imkonini beradi, bu esa moslashuvchan va batafsil kirishni boshqarishni ta'minlaydi.

  • Bo'lim: NFS File Ulashish protokoli (v5.1) [p. 154]

NFSv4 ACL

Tavsif: NFSv4 - bu batafsil ACL-larni qo'llab-quvvatlaydigan Kerberos orqali xavfsiz autentifikatsiyaga ega davlat protokoli. Ushbu ACLlar granularlik jihatidan SMB va NTFS da mavjud bo'lganlarga o'xshash bo'lib, ishonchli kirishni boshqarish imkonini beradi. NFSv4 ACL'larni NFS protokoli orqali standart Linux vositalari yordamida boshqarish mumkin.

  • Bo'lim: NFS File Ulashish protokoli (v5.1) [p. 154]

SMB ACL

Tavsif: SMB ACL'lari Windows aktsiyalari bilan bir xil tarzda boshqariladi, bu foydalanuvchilarga PowerShell skriptlari va Windows orqali nozik Windows ACL'larini o'rnatish imkonini beradi. File SMB orqali Explorer. Ushbu ACLlar, shu jumladan rad etish ro'yxatidagi yozuvlar, bir vaqtning o'zida SMB va NFS protokollari orqali kiradigan foydalanuvchilar uchun qo'llanilishi mumkin.

  • Bo'lim: SMB File VAST klasterida almashish protokoli (v5.1) [p. 171]

S3 Identifikatsiya siyosati

Tavsif: S3 Native Security Flavor kirishni boshqarish va S3 qoidalariga muvofiq ACL larni o'rnatish va o'zgartirish qobiliyatini boshqarish uchun S3 Identity Policies dan foydalanishga imkon beradi. Bu xususiyat S3 chelaklari va ob'ektlari uchun donador kirishni boshqarishni ta'minlaydi.

  • Bo'lim: S3 Ob'ektni saqlash protokoli (v5.1) [p. 182]

Ko'p protokolli ACL

Tavsif: VAST turli protokollar bo'ylab ma'lumotlarga kirish uchun yagona ruxsat modelini ta'minlovchi ko'p protokolli ACL-larni qo'llab-quvvatlaydi. Bu ma'lumotlarga kirish uchun ishlatiladigan protokoldan qat'i nazar, doimiy kirish nazorati va xavfsizligini ta'minlaydi.

  • Bo'lim: Ko'p protokolli kirish (v5.1) [p. 151]

SELinux Label xususiyatlari

1. NFSv4.2 Xavfsizlik yorliqlari

Tavsif: VAST Cluster 5.1 cheklangan server rejimida NFSv4.2 yorlig'ini qo'llab-quvvatlaydi. Ushbu rejimda VAST klasteri xavfsizlik belgilarini saqlashi va qaytarishi mumkin files va NFSdagi kataloglar views NFSv4.2 yoqilgan ijarachilar, lekin Klaster yorliqlarga asoslangan kirish qarorlarini qabul qilishni talab qilmaydi. Yorliqlarni belgilash va tekshirish NFSv4.2 mijozlari tomonidan amalga oshiriladi.

  • Bo'lim: NFSv4.2 Xavfsizlik belgilari (v5.1) [p. 169]

Sertifikatlarni boshqarish va shifrlash

VAST Data Platformasi shifrlash va sertifikatlarni boshqarish uchun keng qamrovli xususiyatlar to‘plamini taklif etadi. Bu yerda har bir xususiyatning batafsil tavsifi hamda VAST klasteri 5.1 hujjatlarining tegishli boʻlimlari va sahifa raqamlari keltirilgan:

Ishsiz holatda ma'lumotlarni shifrlash

Tavsif: VAST Data Platformasi tashqi kalitlarni boshqarish yechimlari yordamida qolgan maʼlumotlarni shifrlashni qoʻllab-quvvatlaydi. Bu xususiyat platformada saqlangan maʼlumotlarning VAST klasteridan tashqarida saqlanadigan kalitlar bilan xavfsiz shifrlanishini taʼminlaydi va maʼlumotlarni ruxsatsiz kirishdan himoya qiladi. Platforma tashqi kalitlarni boshqarish uchun Thales CipherTrust Data Security Platform va Fornetix Vault Core-ni qo'llab-quvvatlaydi. Har bir klaster noyob asosiy kalitga ega va shifrlash klasterni dastlabki sozlashda yoqilishi mumkin.

  • Bo'lim: Ma'lumotlarni shifrlash (v5.1) [p. 128]

FIPS 140-3 1-darajali tasdiqlash

VAST Data Platformasi FIPS 1.1.1-140 3-darajali tasdiqlangan OpenSSL 1 kriptografik modulini o'z ichiga oladi. Ushbu tasdiqlash uchun sertifikat raqami #4675. Parvozdagi va dam olishdagi ma'lumotlar uchun barcha shifrlash FIPS tomonidan tasdiqlangan OpenSSL 1.1.1 kriptografik moduliga bog'langan. Platforma xavfsiz ma'lumotlarni uzatish uchun TLS 1.3 va dam olish vaqtidagi ma'lumotlar uchun 256 bitli AES-XTS shifrlashdan foydalanadi, bu mustahkam xavfsizlik va sanoat standartlariga muvofiqlikni ta'minlaydi. Ko'p toifali xavfsizlik va xavfsiz ijara bilan ma'lumotlar xavfsizligi va boshqaruvini oshirish 14

  • Manba: Kriptografik modulni tekshirish dasturi (CMVP)

TLS sertifikatlarini boshqarish

Tavsif: Platforma aloqa xavfsizligi uchun TLS sertifikatlarini o'rnatish va boshqarishni qo'llab-quvvatlaydi
VAST boshqaruv tizimi (VMS) bilan. Ma'lumotlar uzatilishini ta'minlash uchun ma'murlar TLS sertifikatlarini o'rnatishi mumkin
mijozlar va VMS o'rtasida shifrlangan va xavfsiz.

• Bo'lim: VMS uchun SSL sertifikatini o'rnatish (v5.1) [p. 78]

VMS mijozlari uchun mTLS autentifikatsiyasi

Tavsif: Platforma VMS GUI va API mijozlari uchun o'zaro TLS (mTLS) autentifikatsiyasini qo'llab-quvvatlaydi. mTLS yoqilganda, VMS mijozdan ma'lum bir sertifikat organi tomonidan imzolangan sertifikat taqdim etishini talab qiladi. Bu o'zaro autentifikatsiya qatlamini qo'shadi, bunda mijoz ham, server ham bir-birini autentifikatsiya qiladi va ixtiyoriy ravishda PIV/CAC kartalarini qo'llab-quvvatlash uchun VMS bilan aloqa qilish uchun qo'shimcha xavfsizlik darajasini ta'minlaydi.

  • Bo'lim: VMS mijozlari uchun mTLS autentifikatsiyasini yoqish (v5.1) [p. 78]

Active Directory aloqasini himoya qilish

VAST ma'lumotlar platformasi ma'murlarga NTLM v1 va v2 protokollarini o'chirishga ruxsat berish orqali Active Directory (AD) autentifikatsiyasi uchun mustahkam xavfsizlik choralarini taqdim etadi. NTLM (NT LAN Manager) eski autentifikatsiya protokoli boʻlib, u maʼlum zaifliklarga ega boʻlib, Kerberos kabi zamonaviy protokollarga nisbatan uni xavfsizroq qiladi.

  • Bo'lim: Active Directory ga ulanish (v5.1) [p. 347]

S3 kirishni ta'minlash

VAST Data Platformasi Imzoning 3-versiyasi (SigV2) imzolanishini o‘chirib qo‘yish orqali S2 kirish xavfsizligini kuchaytiradi va barcha S3 o‘zaro aloqalari yanada xavfsizroq Signature Version 4 (SigV4) yordamida amalga oshirilishini ta’minlaydi. Bundan tashqari, platforma FIPS 1.3-3 tasdiqlangan shifrlardan foydalangan holda S140 aloqalari uchun TLS 3 dan foydalanishni taqozo etadi.

  • Bo'lim: S3 Ob'ektni saqlash protokoli (v5.1) [p. 182]

Kripto o'chirish

Tavsif: Kripto o'chirish - bu ijarachining ma'lumotlarini VAST tizimidan olib tashlash usuli. Bu VAST tizimi yoki tashqi kalit menejeri yordamida ijarachining kalitlarini bekor qilish yoki o'chirish orqali amalga oshiriladi. VAST tizimi ma'lumotlarni shifrlash kalitlarini (DEK) va kalit shifrlash kalitlarini (KEK) tizim operativ xotirasidan tozalaydi va shu bilan ushbu kalitlar yordamida yozilgan barcha ma'lumotlarga kirishni darhol o'chiradi. Keyin VAST tizimi shifrlangan ma'lumotlarni o'chirib tashlashi mumkin. Bu xususiyat ma'lumotlar to'kilishi yoki ijarachi platformani tark etganda ma'lumotlarni xavfsiz o'chirish usulini taqdim etadi.

Bo'lim: Ma'lumotlarni shifrlash (v5.1) [p. 128]

Katalog va audit

VAST ma'lumotlar platformasi ishonchli ma'lumotlarni boshqarish va muvofiqlikni ta'minlaydigan audit va kataloglashtirish uchun keng qamrovli xususiyatlar to'plamini taklif etadi. Bu yerda har bir xususiyatning batafsil tavsifi hamda VAST klasteri 5.1 hujjatlarining tegishli boʻlimlari va sahifa raqamlari keltirilgan:

Protokol tekshiruvi

Tavsif: VAST Data Platformasidagi protokol tekshiruvi yaratuvchi, oʻchiradigan yoki oʻzgartiruvchi operatsiyalarni qayd qiladi files, kataloglar, ob'ektlar va metama'lumotlar. Shuningdek, u o'qish operatsiyalari va seans faoliyatini qayd qiladi. Bu xususiyat foydalanuvchi faoliyatini kuzatishda va xavfsizlik siyosatiga muvofiqligini taʼminlashda yordam beradi. Administratorlar global audit sozlamalarini va view VAST orqali audit jurnallari Web UI yoki CLI.

  • Bo'lim: Protokol tekshiruvi tugadiview [p. 243]
  • Bo'lim: Global audit sozlamalarini sozlash [p. 243]
  • Bo'lim: bilan Auditni sozlash View Siyosatlar [p. 245]
  • Bo'lim: Tekshirilgan protokol operatsiyalari [p. 245]
  • Bo'lim: ViewProtokolni tekshirish jurnallari [p. 248]

Protokol tekshiruvi jurnallarini VAST ma'lumotlar bazasi jadvallarida saqlash

Tavsif: VAST ma'lumotlar platformasi VMS konfiguratsiyasiga protokol audit jurnallarini VAST ma'lumotlar bazasi jadvalida saqlash imkonini beradi. Jurnal yozuvlari JSON yozuvlari sifatida saqlanadi, bu bo'lishi mumkin viewto'g'ridan-to'g'ri VASTdan olingan Web VAST Audit jurnali sahifasida UI. Bu xususiyat foydalanuvchi faoliyatini batafsil tekshirish va tahlil qilish qobiliyatini oshiradi. Bo'lim: Protokol tekshiruvi jurnallarini VAST ma'lumotlar bazasi jadvallarida saqlash [p. 25]

VAST katalogi

Tavsif: VAST katalogi o'rnatilgan metama'lumotlar indeksi bo'lib, foydalanuvchilarga ma'lumotlarni tezda qidirish va topish imkonini beradi. U davolaydi file ma'lumotlar bazasi kabi tizim, keyingi avlod AI va ML ilovalaridan o'z-o'zidan ma'lumot beruvchi xususiyatlar do'koni sifatida foydalanishga imkon beradi. Katalog SQL uslubidagi so'rovlarni qo'llab-quvvatlaydi va intuitivlikni ta'minlaydi WebUI, boy CLI va o'zaro ta'sir qilish uchun API.

  • Bo'lim: VAST katalogi tugadiview [p. 489]
  • Bo'lim: VAST katalogini sozlash [p. 491]
  • Bo'lim: VAST katalogidan VAST so'rovi Web UI [p. 492]
  • Bo'lim: VAST CLI katalogiga mijozga kirishni ta'minlash [p. 493] Katalog va audit

VAST ma'lumotlar bazasi

Tavsif: VAST ma'lumotlar bazasi to'liq xususiyatli ma'lumotlar bazasida murakkabroq tarkibni saqlash orqali VAST katalogining imkoniyatlarini kengaytiradi. U yuqori tezlikdagi va katta hajmdagi ma'lumotlar so'rovlarini qo'llab-quvvatlaydi, ma'lumotlarni Apache Parketga o'xshash samarali ustunli formatda saqlaydi. Ma'lumotlar bazasi real vaqt rejimida jadval ma'lumotlari va kataloglangan metama'lumotlarning katta zahiralariga nozik so'rovlar uchun mo'ljallangan.

  • Bo'lim: VAST DataBase Overview [p. 495]
  • Bo'lim: Ma'lumotlar bazasiga kirish uchun VAST klasterini sozlash [p. 499]
  • Bo'lim: VAST ma'lumotlar bazasi CLI Tez boshlash qo'llanmasi [p. 494]

Audit jurnali yozuv maydonlari

Tavsif: Audit jurnali yozuvlari maydonlari har bir qayd qilingan voqea haqida batafsil ma'lumot beradi, jumladan operatsiya turi, foydalanuvchi ma'lumotlari, vaqtamps va ta'sirlangan resurslar. Ushbu batafsil ro'yxatga olish muvofiqlik va sud-tibbiy tahlil uchun juda muhimdir.

  • Bo'lim: Audit jurnali yozuv maydonlari [p. 250]

ViewProtokol tekshiruvi jurnallari

Tavsif: Administratorlar mumkin view VAST orqali protokol tekshiruvi jurnallari Web UI yoki CLI. Jurnallar foydalanuvchi faoliyati va tizim operatsiyalari haqida ma'lumot beradi, bu muvofiqlikni ta'minlash va ruxsat etilmagan harakatlarni aniqlashga yordam beradi.

  • Bo'lim: ViewProtokolni tekshirish jurnallari [p. 248]

Himoyalangan va himoyalangan operatsion tizim

VAST ma'lumotlar platformasi o'zining operatsion tizimini himoya qilish, mustahkamligini ta'minlash uchun kompleks yondashuvni qo'llaydi.
himoya qilish va sanoat standartlariga muvofiqligi. Bu erda operatsion tizimning asosiy jihatlari va amalga oshirilgan xavfsizlik choralari:

Saqlangan operatsion tizim

Tavsif: VAST Data Platformasi CIQ tomonidan taqdim etilgan texnik xizmat ko'rsatuvchi operatsion tizimdan, xususan Enterprise Rocky 8dan foydalanadi, bu RHEL ikkilik-mos keluvchi operatsion tizim tasviridir. CIQ tog‘li platformasi xavfsiz, obro‘li va yuqori darajada kengaytiriladigan tasvir, paket va konteyner yetkazib berish bo‘yicha umumiy bulutda ham, mahalliy joylarda ham mavjud yechimni taqdim etadi.

Muntazam tuzatish va zaifliklarni boshqarish

Tavsif: VAST xavfsizlikning so'nggi zaifliklari haqida xabardor bo'lib turish, kerakli yamoqlarni qo'llash va tegishli yumshatilish choralarini o'z vaqtida amalga oshirish orqali operatsion tizimning muntazam ravishda yamoqlanishi va yangilanishini ta'minlaydi. Ushbu proaktiv yondashuv operatsion tizimning xavfsizlik holatini saqlashga yordam beradi.

Doimiy monitoring

Tavsif: Operatsion tizimning xavfsizlik holatini saqlab qolish uchun doimiy monitoring amaliyotlari amalga oshiriladi. Bu muntazam baholash, audit va qayta o'z ichiga oladiviews tizimning xavfsizlik nazorati va konfiguratsiyasi, shuningdek, shubhali harakatlar va mumkin bo'lgan xavfsizlik intsidentlari uchun jurnalga kirish imkonini beradi.

DISA STIG muvofiqligi

Tavsif: VAST Data Platformasi RedHat Linux 8, MAC 1 Pro uchun DISA STIG (Xavfsizlik bo‘yicha texnik qo‘llanma) ni qo‘llab-quvvatlaydi.file – Kritik missiya tasnifi. Ushbu muvofiqlik operatsion tizimning tartibga solinadigan muhitda mijozlar tomonidan talab qilinadigan qat'iy xavfsizlik standartlariga rioya qilishini ta'minlaydi.

Konfiguratsiya boshqaruvi

Tavsif: Platforma RHEL 8 tizimlari uchun asosiy konfiguratsiyani, shu jumladan tizim komponentlari sozlamalarini saqlaydi, file ruxsatlar va dasturiy ta'minotni o'rnatish. Shuningdek, u kuzatish, qayta tiklash uchun o'zgarishlarni boshqarish jarayonlarini amalga oshiradiview, va tizim konfiguratsiyasiga kiritilgan oʻzgarishlarni tasdiqlash, tizimlar xavfsiz va standartlashtirilgan konfiguratsiyaga rioya qilishini taʼminlash.

Eng kam funksionallik

Tavsif: Eng kam funksionallik printsipi keraksiz dasturiy ta'minot, xizmatlar va tizim komponentlarini olib tashlash yoki o'chirishni tavsiya qilish orqali ta'kidlanadi. Bu potentsial zaifliklar va hujum vektorlarini kamaytiradi.

Tizim va axborot yaxlitligi

Tavsif: Platformaning shifrlash va kalitlarni boshqarish xususiyatlari, shuningdek, SIEM tizimlari bilan integratsiyalashuvi ma'lumotlar va ma'lumotlarning yaxlitligini ta'minlashga yordam beradi. Bunga muntazam xavfsizlikni baholash, kirish testlari va zamonaviy xavfsizlik yamoqlari, konfiguratsiyalar va eng yaxshi amaliyotlarni taʼminlash uchun zaifliklarni boshqarish kiradi.

Xavfsiz dasturiy ta'minot ta'minoti zanjiri

Xavfsiz dasturiy ta'minotni etkazib berish zanjirini ta'minlash Savdo kelishuvlari to'g'risidagi qonun (TAA), Federal sotib olish to'g'risidagi nizom (FAR) va ISO standartlari kabi qoidalarga muvofiqligi uchun juda muhimdir. VAST ma'lumotlar platformasi dasturiy ta'minotni ta'minlash zanjiri xavfsizligini ta'minlash uchun keng qamrovli chora-tadbirlarni amalga oshiradi, dasturiy ta'minot to'g'ri ishlab chiqilganligini va qat'iy xavfsizlik talablariga javob beradi.

Xavfsiz dasturiy ta'minotni ishlab chiqish ramkasi (SSDF)

VAST ma'lumotlar platformasi xavfsiz dasturiy ta'minotni ishlab chiqish bo'yicha ko'rsatmalarni taqdim etadigan NIST Secure Software Development Framework (SSDF) ni qabul qiladi. Ushbu ramka xavfsiz kodlash, zaifliklarni boshqarish va doimiy monitoring amaliyotlarini belgilab berish orqali dasturiy ta'minotni ta'minot zanjirlarini xavflardan himoya qilishga yordam beradi.

Dasturiy ta'minot tarkibi tahlili (SCA)

GitLab kabi vositalar zaifliklar uchun xususiy va ochiq kodli kodlarni tahlil qilish uchun Static Application Security Testing (SAST) va Dynamic Application Security Testing (DAST) uchun ishlatiladi. Bu joylashtirishdan oldin xavfsizlikning zaif tomonlarini aniqlash uchun juda muhimdir.

Dasturiy ta'minot materiallari to'plami (SBOM)

Platforma dasturiy ta'minotni ishlab chiqishda ishlatiladigan komponentlarni kuzatish uchun SBOMlarni ishlab chiqaradi va boshqaradi. GitLab va Artifactory 14028-sonli Ijroiya buyrug'iga muvofiqlikni va shaffoflikni oshirish uchun quvur liniyasida qo'llaniladi.

Uzluksiz integratsiya va uzluksiz joylashtirish (CI/CD) quvur liniyasi

CI/CD quvur liniyasi xavfsizlik testini o'z ichiga oladi, kod qaytaview, va muvofiqlikni tekshirish. Quvur TAA/FAR talablariga javob berish uchun AQSHda joylashgan bulutli platformada joylashgan boʻlib, barcha operatsiyalar AQShda bajarilishini va AQSH korxonalari tomonidan boshqarilishini taʼminlaydi.

Konteyner va paketni imzolash

Butunlik va haqiqiylikni ta'minlash uchun konteynerlar va paketlarni raqamli imzolash amalga oshiriladi. Docker Content Trust va RPM imzolash konteynerli ilovalar va paketlarni taqsimlashni ta'minlash uchun tavsiya etilgan amaliyotdir.

Zaiflik va muvofiqlikni skanerlash

Tenable va Qualys kabi vositalar operatsion tizimlarni skanerlash va paketlarni yaratish, shuningdek, virus va zararli dasturlarni aniqlash uchun ishlatiladi. Ushbu vositalar dasturiy ta'minot muhitidagi potentsial tahdidlarni aniqlash va yumshatish uchun quvur liniyasiga kiritilgan.

Uchinchi tomon dasturiy ta'minotini boshqarish

Barcha uchinchi tomon dasturlari, xoh ochiq manbali, xoh mulkiy boʻlsin, TAA/FAR qoidalariga muvofiq boʻlishi uchun AQSH manzillaridan olinadi. Ushbu dastur xavfsizlikni ta'minlash uchun SAST va DAST skanerlash jarayonlariga kiritilgan.

Hujjatlar va audit yo'llari

Kodni ro'yxatdan o'tkazishdan tortib mijozlar tomonidan ishlatiladigan yuklab olinadigan paketgacha bo'lgan barcha jarayonning to'liq hujjatlari saqlanadi. Ushbu hujjatlar rahbariyat talab qilganidek, mijozlar tomonidan audit va tekshirishlar uchun NDA ostida foydalanish mumkin.

Xodimlar va aktivlarni boshqarish

Jarayon AQSh tashkiloti (Vast Federal) xodimlari tomonidan boshqariladi va dasturiy ta'minotni ishlab chiqish va joylashtirish jarayonida foydalaniladigan barcha aktivlar ushbu tashkilotga tegishli. Ushbu muvofiqlik federal sotib olish qoidalariga rioya qilish uchun juda muhimdir.

Xavfsiz rivojlanish muhiti

Dasturiy ta'minot xavfsiz muhitda ishlab chiqilgan va qurilgan bo'lib, ko'p faktorli autentifikatsiya, shartli kirish va nozik ma'lumotlarni shifrlash kabi choralar ko'riladi. Ishonch munosabatlarini muntazam ro'yxatga olish, monitoring qilish va tekshirish amalga oshiriladi.

Ishonchli manba kodi ta'minot zanjirlari

Avtomatlashtirilgan vositalar yoki taqqoslanadigan jarayonlar ichki kod va uchinchi tomon komponentlarining xavfsizligini tekshirish, tegishli zaifliklarni samarali boshqarish uchun ishlatiladi.

Xavfsizlik zaifligini tekshirish

Ongoing vulnerability checks are conducted before releasing new products, versions, or updates. A vulnerability disclosure program is maintained to assess and address disclosed software vulnerabilities promptly.

Xulosa

Ko'p toifali Xavfsizlikning (MCS) xavfsiz ijara xususiyatlari bilan integratsiyasi tuzilmagan ma'lumotlarning maxfiyligi va xavfsizligini oshirish uchun mustahkam asos yaratadi. MCS-dan foydalanish orqali tashkilotlar muayyan toifalarni belgilashlari mumkin files, faqat ruxsat etilgan jarayonlar va foydalanuvchilar maxfiy ma'lumotlarga kirishini ta'minlash. Ushbu qo'shimcha xavfsizlik qatlami hujjatlar, tasvirlar va videolar kabi tuzilmagan ma'lumotlarni himoya qilish uchun juda muhimdir.

Xavfsiz ijaraga olish bir xil infratuzilmada turli guruhlar, bo'limlar yoki tashkilotlar uchun alohida muhit yaratish orqali ma'lumotlar izolyatsiyasini yanada kuchaytiradi. Resurslarni izolyatsiya qilish, ma'lumotlarni ajratish, tarmoq segmentatsiyasi va kirishni nazorat qilish kabi asosiy jihatlar har bir ijarachining ma'lumotlari shaxsiy va xavfsiz bo'lishini ta'minlaydi. VAST ma'lumotlar platformasi ushbu tamoyillarni o'zining keng qamrovli funktsiyalar to'plami, jumladan VLAN orqali misol qilib keltiradi. tagging, rolga asoslangan va atributga asoslangan kirish boshqaruvlari va mustahkam shifrlash mexanizmlari.

Xulosa qilib aytadigan bo'lsak, VAST Data Platformasi MCS integratsiyasi va xavfsiz ijaraga ega bo'lib, tuzilmagan ma'lumotlarni boshqarish uchun keng qamrovli va xavfsiz yechimni taqdim etadi. Ushbu yondashuv davlat idoralari, moliya institutlari va sog'liqni saqlash provayderlari kabi ma'lumotlarning maxfiyligiga qat'iy talablarga ega bo'lgan tashkilotlar uchun juda muhimdir. Ushbu ilg'or xavfsizlik choralarini qo'llash orqali tashkilotlar o'zlarining nozik ma'lumotlarini ishonchli himoya qilishlari va samarali va kengaytiriladigan ma'lumotlarni boshqarish imkonini beradi. Ushbu xulosa aniqlik va ixchamlikni ta'minlagan holda asosiy fikrlarni saqlaydi.

Xulosa

 

Belgi VAST Data Platformasi haqida koʻproq maʼlumot olish va u sizning ilova muammolaringizni hal qilishda sizga qanday yordam berishi mumkinligi uchun biz bilan bogʻlaning hello@vastdata.com.

Logotip

Hujjatlar / manbalar

VAST ma'lumotlar platformasi dasturiy ta'minoti [pdf] Foydalanuvchi uchun qoʻllanma
Ma'lumotlar platformasi dasturiy ta'minoti, platforma dasturiy ta'minoti, dasturiy ta'minot
VAST ma'lumotlar platformasi dasturiy ta'minoti [pdf] Foydalanuvchi uchun qoʻllanma
Ma'lumotlar platformasi dasturiy ta'minoti, platforma dasturiy ta'minoti, dasturiy ta'minot

Ma'lumotnomalar

Fikr qoldiring

Sizning elektron pochta manzilingiz nashr etilmaydi. Majburiy maydonlar belgilangan *