VAST-i andmeplatvormi tarkvara kasutamine

VAST-i andmeplatvormi tarkvara kasutamine

Sisu peita
1 Sissejuhatus
2 Mis on VAST-i andmeplatvorm
3 Võrgu ja sõlmede segmentimine
4 Loogiline üürileping
5 Autoriseerimine ja identiteedihaldus
6 Juurdepääsu kontroll
7 Protokolli ACL-id ja SELinuxi sildid
8 Sertifikaatide haldus ja krüpteerimine
9 Kataloog ja audit
10 Hooldatud ja turvatud operatsioonisüsteem
11 Turvaline tarkvara tarneahel
12 Järeldus
13 Dokumendid / Ressursid
13.1 Viited

Sissejuhatus

Tänapäeva andmepõhises maailmas on struktureerimata andmete konfidentsiaalsus ja turvalisus ülimalt tähtsad. Multi-Category Security (MCS) ja turvalised üürifunktsioonid pakuvad nende probleemide lahendamiseks tugevat raamistikku. MCS, turvalisusega Linuxi (SELinux) juurdepääsukontrolli mehhanism, suurendab andmete konfidentsiaalsust, määrates sellele konkreetsed kategooriad. files ja protsessid. See tagab, et tundlikule teabele pääsevad juurde ainult volitatud kasutajad ja protsessid, pakkudes täiendavat kaitsekihti struktureerimata andmetele, nagu dokumendid, pildid ja videod.

Turvaline rentimine tugevdab veelgi andmete isoleerimist, luues samas infrastruktuuris erinevatele rühmadele, osakondadele või organisatsioonidele erinevad keskkonnad. Selline lähenemine tagab, et iga rentniku andmed on loogiliselt või füüsiliselt eraldatud, vältides volitamata juurdepääsu ja säilitades andmete privaatsuse. Turvalise üürilepingu põhiaspektid hõlmavad ressursside eraldamist, andmete eraldamist, võrgu segmenteerimist ja üksikasjalikku juurdepääsu juhtimist.

VAST-i andmeplatvorm illustreerib neid põhimõtteid oma laiaulatusliku funktsioonide komplekti, sealhulgas VLAN-i kaudu tagging, rollipõhised ja atribuudipõhised juurdepääsukontrollid ning tugevad krüpteerimismehhanismid. Selles dokumendis uuritakse, kuidas MCS-i integreerimine turvalise üürilepinguga VAST-i andmeplatvormi raames pakub terviklikku ja turvalist lahendust struktureerimata andmete haldamiseks, eriti rangete andmete konfidentsiaalsusnõuetega organisatsioonide jaoks. See sissejuhatus on lühike, keskendunud ja annab selge juhise dokumendi sisu kohta, mis on kooskõlas tehnilise dokumentatsiooni parimate tavadega.

Mis on VAST-i andmeplatvorm

VAST Data Platform on terviklik lahendus struktureerimata andmete haldamiseks, eriti tehisintellekti ja süvaõppe rakenduste jaoks. See integreerib erinevaid võimalusi andmete jäädvustamiseks, kataloogimiseks, märgistamiseks, rikastamiseks ja säilitamiseks, pakkudes andmetele sujuvat juurdepääsu servast pilveni.

Jaotatud ja jagatud kõikehõlmav (DASE) arhitektuur

See arhitektuur lahutab arvutusloogika süsteemi olekust, võimaldades võimsuse sõltumatut skaleerimist andmesõlmede (DNodes) lisamise kaudu ja jõudlust arvutussõlmede (CNodes) lisamise kaudu. See ühendab jagatud ja tehinguandmete struktuurid, et ületada traditsiooniliste hajutatud süsteemide piirangud.

Toetatud kliendid: NFS, NFSoRDMA serveri sõnumiplokk (SMB), Amazon S3 ja konteinerid (CSI)

Mis on VAST-i andmeplatvorm
Riigita protokolliserverid (CNodes)
Jaotatud ja jagatud kõikehõlmav (DASE) arhitektuur

VAST DataStore

2019. aastal kasutusele võetud DataStore on mõeldud struktureerimata andmete salvestamiseks ja teenindamiseks. See katkestab jõudluse ja võimsuse vahelise kompromissi, muutes selle sobivaks ettevõtte tehisintellekti jaoks valmis struktureerimata andmete salvestamiseks.
VAST-i andmebaas

See komponent tagab andmebaasi tehingute toimivuse, andmelao analüütilise jõudluse ning andmejärve ulatuse ja taskukohasuse. See toetab nii rea- kui ka veeruliste andmete salvestamist.
VAST DataSpace

2023. aastal käivitatud DataSpace pakub globaalset juurdepääsu andmetele servast pilveni, tasakaalustades ranget kooskõla kohaliku jõudlusega. See võimaldab arvutada andmeid mis tahes avalikult, privaatselt või äärepilveplatvormilt.

Platvorm ühendab struktureeritud ja struktureerimata andmed, andmebaasi analüütika ja pakub globaalset nimeruumi. See toetab erinevaid protokolle, nagu NFS, SMB, S3, SQL, ja manustab Apache Sparki andmete teisendamiseks ja sõnumsidesüsteemide tarbimiseks.

Platvorm on loodud tehisintellekti ja ettevõtte rakenduste toiteks, pakkudes reaalajas sügavat andmeanalüüsi ja sügavaid õppimisvõimalusi. See kogub ja töötleb andmeid reaalajas, võimaldades tehisintellekti järeldamist, metaandmete rikastamist ja mudelite ümberõpet.

Mis on VAST-i andmeplatvorm

Võrgu ja sõlmede segmentimine

VAST-i andmeplatvorm sisaldab mitmeid haldustõhususe ja võrgu segmenteerimisega seotud funktsioone, sealhulgas CNode'i rühmitamise funktsionaalsust, aga ka võimalust siduda CNode VLAN-idega. Siin on nende funktsioonide üksikasjalikud kirjeldused koos asjakohaste jaotistega VAST-klastri 5.1 dokumentatsioonist.

CNode'i rühmitamine ja ühendamine

Serveri (CNode) kogumine: salvestusprotokolle teenindavad arvutussõlmed (CNodes). VAST-i andmeplatvorm võimaldab CNode rühmitada erinevateks serverikogumiteks. Igal serverikogumil on määratud komplekt virtuaalseid IP-aadresse (VIP), mis on jaotatud basseini CNode'ide vahel. See tagab teenuse kvaliteedi (QoS) mehhanismi, kontrollides igale kogumile määratud serverite arvu. Kui CNode läheb võrguühenduseta, jaotatakse selle teenindatud VIP-id häirimatult ümber kogu ülejäänud CNode'ide vahel. See tagab koormuse tasakaalustamise ja kõrge kättesaadavuse.

  • Jaotis: VAST-klastri dokumentatsioon, „Virtuaalsete IP-kogumite haldamine” [lk. 593]

VLAN Tagging ja sidumine

VLAN Tagging: VLAN tagging võimaldab administraatoritel kontrollida, millised virtuaalsed IP-d millistele võrgu VLAN-idele on avatud. See funktsioon tagab, et võrguliiklus on isoleeritud erinevate VLAN-ide vahel, vältides volitamata juurdepääsu ja andmeleket rentnike vahel. VLAN tagging on konfigureeritud, luues VAST-platvormil VLAN-ides virtuaalsed IP-kogumid, mis pakuvad turvalist võrgu segmenteerimist ja isoleerimist.

  • Jaotis: VAST-i klastri dokumentatsioon, “TagVLAN-idega virtuaalsete IP-kogumite loomine” [lk. 147]
  • Jaotis: Võrgujuurdepääs ja salvestusruumi pakkumine (v5.1) [lk. 141]

Võrgu segmenteerimine

Juurdepääsu juhtimine Views ja protokollid: A VAST View on võrgu salvestusruumi, ekspordi või ämbri mitme protokolli esitus. Platvorm võimaldab administraatoritel kontrollida, millistele VLAN-idele on juurdepääs konkreetsetele Views ja milliseid protokolle on lubatud kasutada nende VLAN-ide VIP-idele juurdepääsul. See funktsioon suurendab turvalisust, tagades, et ainult volitatud VLAN-id pääsevad juurde teatud andmetele ja teenustele. See on konfigureeritud kasutades View Eeskirjad, mis võivad VLAN-idel põhinevaid juurdepääsuõigusi määrata.

  • Jaotis: VAST-klastri dokumentatsioon, „Loomine View Poliitika” [lk. 628]

Loogiline üürileping

VAST-i andmeplatvorm pakub mitmeid mitme üürilepinguga seotud funktsioone, mis võimaldavad üürnike turvalist isoleerimist ja haldamist. Siin on peamised üürifunktsioonid koos üksikasjalike kirjelduste ja VAST-klastri 5.1 dokumentatsiooni vastavate jaotistega.

Üürnikud

Kirjeldus: VAST-i andmeplatvormi rentnikud määravad isoleeritud andmeteed ja neil võib olla oma autentimisallikad, nagu Active Directory (AD), LDAP või NIS. Iga üürnik saab hallata ka oma krüpteerimisvõtmeid, tagades andmete turvalise isolatsiooni teistest üürnikest. See funktsioon on ülioluline mitme rentnikuga keskkondades, kus erinevad organisatsioonid või osakonnad peavad hoidma andmete ranget eraldamist.

  • Jaotis: Üürnikud (v5.1) [lk. 251]

View Eeskirjad

Kirjeldus: View Reeglid määravad juurdepääsuõigused, protokollid ja turvaseaded Views on määratud üürnikele. Need eeskirjad võimaldavad administraatoritel kontrollida, kes pääseb andmetele juurde, milliseid toiminguid nad saavad teha ja milliseid protokolle nad saavad kasutada. See üksikasjalik kontroll on turvalisuse ja vastavuse säilitamiseks mitme rentnikuga keskkondades hädavajalik.

  • Jaotis: Juhtimine Views ja View Eeskirjad (v5.1) [lk. 260]

VLAN-i isolatsioon

Kirjeldus: VLAN-id saab siduda konkreetse rentnikuga, et veelgi isoleerida rentnike vahelist liiklust, vältides ristmarsruutimist või leviedastusliiklust üle L2 piiri.

  • Jaotis: TagVLAN-idega virtuaalsed IP-kogumid [lk. 147]

Teenuse kvaliteet (QoS)

Kirjeldus: QoS-i poliitikad pakuvad ribalaiuse ja IOP-de (sisend/väljundtoimingud sekundis) jaoks üksikasjalikke jõudluse juhtelemente Views on määratud üürnikele. Need eeskirjad tagavad prognoositava jõudluse ja hoiavad ära ressurssidega seotud probleemid, mis on eriti oluline mitme rentnikuga keskkondades, kus erinevatel üürnikel võivad olla erinevad jõudlusnõuded. Lisaks QoS-i maksimumlävedele, mis aitavad vältida jõudluse ammendumist, on saadaval ka QoS-i minimaalsed läved, mis aitavad vältida mitme üürilepinguga kaasnevat mürarikka naabri probleemi.

  • Jaotis: Teenuse kvaliteet (v5.1) [lk. 323]

Kvoodid

Kirjeldus: kvoodid võimaldavad administraatoritel seada võimsuspiirangud Views ja kataloogid üürnike isoleerimiseks. See funktsioon tagab, et ükski rentnik ei saa tarbida rohkem kui talle eraldatud ressursside osa, aidates ära hoida ootamatut süsteemivõimsuse ressursi ammendumist.

  • Jaotis: Kvootide haldamine (v5.1) [lk. 314]

Autoriseerimine ja identiteedihaldus

Üürnike ja identiteedihaldus

Kirjeldus: VAST-i andmeplatvormi rentnikud määravad eraldatud andmeteed ja neil võib olla oma autentimisallikad, nagu Active Directory (AD), LDAP või NIS. Platvorm toetab kuni kaheksat unikaalset identiteedi pakkujat, mida saab konfigureerida kasutamiseks rentniku tasemel.

  • Jaotis: Üürnikud (v5.1) [lk. 251]

Views

Kirjeldus: Views on mitme protokolliga aktsiad, ekspordid või ämbrid, mis kuuluvad konkreetsetele rentnikele. Need pakuvad turvaliselt isoleeritud juurdepääsu andmetele, tagades, et iga rentnik pääseb juurde ainult oma andmetele. ViewNeid saab konfigureerida konkreetsete juurdepääsuõiguste ja protokollidega, muutes need mitmekülgseks erinevate kasutusjuhtude jaoks.

  • Jaotis: Juhtimine Views ja View Eeskirjad (v5.1) [lk. 260]

View Eeskirjad

Kirjeldus: View Reeglid määravad juurdepääsuõigused, protokollid ja turvaseaded views on määratud üürnikele. Need eeskirjad võimaldavad administraatoritel kontrollida, kes pääseb andmetele juurde, milliseid toiminguid nad saavad teha ja milliseid protokolle nad saavad kasutada. See üksikasjalik kontroll on turvalisuse ja vastavuse säilitamiseks mitme rentnikuga keskkondades hädavajalik.

  • Jaotis: Juhtimine Views ja View Eeskirjad (v5.1) [lk. 260]

Juurdepääsu kontroll

VAST-i andmeplatvorm pakub autoriseerimiseks ja identiteedi haldamiseks laiaulatuslikku funktsioonide komplekti. Siin on iga funktsiooni üksikasjalik kirjeldus koos asjakohaste jaotiste ja leheküljenumbritega VAST-klastri 5.1 dokumentatsioonist.

Juurdepääsu kontroll

Rollipõhine juurdepääsukontroll (RBAC)

Kirjeldus: VAST-klaster kasutab VAST-i haldussüsteemile (VMS) juurdepääsu haldamiseks rollipõhist juurdepääsukontrolli (RBAC) süsteemi. RBAC võimaldab administraatoritel määratleda kindlate õigustega rolle ja määrata need rollid kasutajatele. See tagab, et kasutajatel on juurdepääs ainult nende rollide jaoks vajalikele ressurssidele ja toimingutele, suurendades turvalisust ja lihtsustades haldust.

  • Jaotis: VMS-i juurdepääsu ja lubade autoriseerimine [lk. 82]

Atribuutidepõhine juurdepääsukontroll (ABAC)

Kirjeldus: atribuutidepõhine juurdepääsukontroll (ABAC) on toetatud views pääseb juurde Kerberose autentimisega NFSv4.1 kaudu või Kerberose või NTLM autentimisega SMB kaudu. ABAC võimaldab juurdepääsu a view kui Active Directory kasutajakontol on seotud ABAC-i atribuut, mis vastab ABAC-ile tag määratud view. See tagab kasutaja atribuutidel põhineva täpse juurdepääsukontrolli.

  • Jaotis: Atribuutidepõhine juurdepääsukontroll (ABAC) [lk. 269] Juurdepääsu kontroll

Ühekordse sisselogimise (SSO) autentimine

Kirjeldus: VAST VMS toetab ühekordse sisselogimise (SSO) autentimist SAML-põhiste identiteedipakkujate (IdP) abil. See võimaldab VMS-i halduritel VAST-klastrisse sisse logida, kasutades oma IdP-lt (nt Okta) saadud mandaate, mis võivad lisaks pakkuda mitmefaktorilise autentimise (MFA) võimalusi. SSO lihtsustab sisselogimisprotsessi ja suurendab turvalisust autentimise tsentraliseerimise kaudu.

  • Jaotis: SSO autentimise konfigureerimine VMS-is [lk. 90]

Active Directory integratsioon

Kirjeldus: VAST Cluster toetab integreerimist Active Directoryga (AD) nii VMS-i kui ka andmeprotokolli kasutaja autentimiseks ja autoriseerimiseks. See võimaldab organisatsioonidel kasutada olemasolevat AD infrastruktuuri, et hallata kasutajate juurdepääsu VAST-klastri ressurssidele. AD integreerimine toetab selliseid funktsioone nagu SID ajalugu rühmade ja kasutajate jaoks, tagades sujuva juurdepääsu kontrolli.

  • Jaotis: Ühenduse loomine Active Directoryga (v5.1) [lk. 347]

LDAP integratsioon

Kirjeldus: platvorm toetab integreerimist LDAP-serveritega nii VMS-i kui ka andmeprotokolli kasutaja autentimiseks ja autoriseerimiseks. See võimaldab organisatsioonidel kasutada oma olemasolevaid LDAP-katalooge, et hallata juurdepääsu VAST-klastri ressurssidele, pakkudes paindlikku ja skaleeritavat autentimislahendust.

  • Jaotis: Ühenduse loomine LDAP-serveriga (v5.1) [lk. 342]

NIS-i integreerimine

Kirjeldus: VAST Cluster toetab andmeprotokolli kasutaja autentimiseks integreerimist võrgu teabeteenusega (NIS). See funktsioon on kasulik keskkondades, mis kasutavad kasutajateabe haldamisel ja juurdepääsu kontrollimisel NIS-i.

  • Jaotis: NIS-iga ühendamine (v5.1) [lk. 358]

Kohalikud kasutajad ja rühmad

Kirjeldus: administraatorid saavad kohalikke kasutajaid ja rühmi hallata otse VAST-klastris. See hõlmab kohalike kasutajakontode ja rühmade loomist, muutmist ja kustutamist, samuti nendele kontodele õiguste ja rollide määramist.

  • Jaotis: Kohalike kasutajate haldamine (v5.1) [lk. 335]
  • Jaotis: Kohalike rühmade haldamine (v5.1) [lk. 337] Juurdepääsu kontroll

Protokolli ACL-id ja SELinuxi sildid

VAST Data Platform toetab erinevaid protokolli ACL-e ja SELinuxi sildi funktsioone, tagades tugeva juurdepääsukontrolli ja turvalisuse. Siin on iga funktsiooni üksikasjalik kirjeldus koos asjakohaste jaotiste ja leheküljenumbritega VAST-klastri 5.1 dokumentatsioonist.

POSIXi juurdepääsukontrolli loendid (ACL)

Kirjeldus: VAST-süsteemid toetavad POSIX-i ACL-e, võimaldades administraatoritel määrata nende jaoks üksikasjalikud õigused files ja kaustad peale lihtsa Unixi/Linuxi mudeli. POSIX-i ACL-id võimaldavad lubade määramist mitmele kasutajale ja rühmale, pakkudes paindlikku ja üksikasjalikku juurdepääsukontrolli.

  • Jaotis: NFS File Jagamisprotokoll (v5.1) [lk. 154]

NFSv4 ACL-id

Kirjeldus: NFSv4 on Kerberose kaudu turvalise autentimisega olekupõhine protokoll, mis toetab üksikasjalikke ACL-e. Need ACL-id on detailsuse poolest sarnased SMB-s ja NTFS-is saadaolevatele, võimaldades tugevat juurdepääsukontrolli. NFSv4 ACL-e saab hallata standardsete Linuxi tööriistade abil NFS-protokolli kaudu.

  • Jaotis: NFS File Jagamisprotokoll (v5.1) [lk. 154]

SMB ACL-id

Kirjeldus: SMB ACL-e hallatakse samamoodi nagu Windowsi aktsiaid, võimaldades kasutajatel PowerShelli skriptide ja Windowsi kaudu määrata täpseid Windowsi ACL-e. File Uurige SMB kaudu. Neid ACL-e, sealhulgas loendi keelamise kirjeid, saab jõustada kasutajatele, kes pääsevad korraga juurde nii SMB kui ka NFS-protokolli kaudu.

  • Jaotis: SMB File VAST-klastri ühiskasutusprotokoll (v5.1) [lk. 171]

S3 identiteedipoliitikad

Kirjeldus: S3 Native Security Flavor võimaldab kasutada S3 identiteedipoliitikaid, et juhtida juurdepääsu ja võimalust seadistada ja muuta ACL-e vastavalt S3 reeglitele. See funktsioon pakub üksikasjalikku juurdepääsukontrolli S3 ämbritele ja objektidele.

  • Jaotis: S3 Object Storage Protocol (v5.1) [lk. 182]

Mitme protokolli ACL-id

Kirjeldus: VAST toetab mitme protokolli ACL-e, pakkudes ühtset loamudelit erinevate protokollide andmetele juurdepääsuks. See tagab järjepideva juurdepääsukontrolli ja turvalisuse sõltumata andmetele juurdepääsuks kasutatavast protokollist.

  • Jaotis: Multi-Protocol Access (v5.1) [lk. 151]

SELinuxi sildi funktsioonid

1. NFSv4.2 turvamärgised

Kirjeldus: VAST Cluster 5.1 toetab piiratud serverirežiimis NFSv4.2 märgistamist. Selles režiimis saab VAST-klaster salvestada ja tagastada turvasilte files ja kataloogid NFS-is views NFSv4.2-toega rentnike jaoks, kuid klaster ei jõusta sildipõhist juurdepääsuotsuste tegemist. Sildi määramise ja valideerimise teostavad NFSv4.2 kliendid.

  • Jaotis: NFSv4.2 turbesildid (v5.1) [lk. 169]

Sertifikaatide haldus ja krüpteerimine

VAST-andmeplatvorm pakub laiaulatuslikku funktsioonide komplekti krüptimiseks ja sertifikaatide haldamiseks. Siin on iga funktsiooni üksikasjalik kirjeldus koos asjakohaste jaotiste ja leheküljenumbritega VAST-klastri 5.1 dokumentatsioonist.

Andmete krüpteerimine puhkeolekus

Kirjeldus: VAST Data Platform toetab puhkeolekus olevate andmete krüptimist, kasutades väliseid võtmehalduslahendusi. See funktsioon tagab, et platvormile salvestatud andmed on turvaliselt krüptitud võtmetega, mida hoitakse väljaspool VAST-klastrit, kaitstes andmeid volitamata juurdepääsu eest. Platvorm toetab välise võtmehalduse jaoks Thales CipherTrust Data Security Platformi ja Fornetix Vault Core'i. Igal klastril on kordumatu peavõti ja krüptimise saab lubada klastri esmase seadistamise ajal.

  • Jaotis: Andmete krüpteerimine (v5.1) [lk. 128]

FIPS 140-3 1. taseme valideerimine

VAST-i andmeplatvorm sisaldab OpenSSL 1.1.1 krüptomoodulit, mis on kinnitatud FIPS 140-3 1. tasemega. Selle kinnitamise sertifikaadi number on #4675. Kogu andmete krüpteerimine lennu ajal ja puhkeolekus on lingitud FIPS valideeritud OpenSSL 1.1.1 krüptomooduliga. Platvorm kasutab turvaliseks andmeedastuseks TLS 1.3 ja puhkeolekus olevate andmete jaoks 256-bitist AES-XTS krüptimist, tagades tugeva turvalisuse ja vastavuse tööstusstandarditele. Andmeturbe ja -halduse tõhustamine mitme kategooria turvalisuse ja turvalise üürilepinguga 14

  • Allikas: Cryptographic Module Validation Program (CMVP)

TLS-i sertifikaatide haldus

Kirjeldus: platvorm toetab side turvamiseks mõeldud TLS-sertifikaatide installimist ja haldamist
VAST-i haldussüsteemiga (VMS). Administraatorid saavad andmete edastamise tagamiseks installida TLS-sertifikaadid
klientide ja VMS-i vahel on krüptitud ja turvaline.

• Jaotis: VMS-i SSL-sertifikaadi installimine (v5.1) [lk. 78]

mTLS-i autentimine VMS-i klientidele

Kirjeldus: platvorm toetab vastastikust TLS-i (mTLS) autentimist VMS-i GUI- ja API-klientide jaoks. Kui mTLS on lubatud, nõuab VMS, et klient esitaks konkreetse sertifitseerimisasutuse allkirjastatud sertifikaadi. See lisab vastastikuse autentimise kihi, milles nii klient kui ka server autentivad üksteist, pakkudes VMS-iga suhtlemiseks täiendava turvakihi, et soovi korral toetada PIV/CAC-kaarte.

  • Jaotis: mTLS-i autentimise lubamine VMS-i klientidele (v5.1) [lk. 78]

Active Directory suhtluse turvamine

VAST-i andmeplatvorm pakub tugevaid turvameetmeid Active Directory (AD) autentimiseks, võimaldades administraatoritel keelata NTLM v1 ja v2 protokollid. NTLM (NT LAN Manager) on vanem autentimisprotokoll, millel on teadaolevad haavatavused, mis muudab selle vähem turvaliseks võrreldes kaasaegsemate protokollidega, nagu Kerberos.

  • Jaotis: Ühenduse loomine Active Directoryga (v5.1) [lk. 347]

S3 juurdepääsu tagamine

VAST-andmeplatvorm suurendab S3 juurdepääsu turvalisust, võimaldades teil keelata allkirja versiooni 2 (SigV2) allkirjastamise, tagades, et kõik S3 interaktsioonid viiakse läbi turvalisema allkirja versiooni 4 (SigV4) abil. Lisaks jõustab platvorm S1.3 side jaoks TLS 3 kasutamist, kasutades selleks FIPS 140-3 kinnitatud šifreid.

  • Jaotis: S3 Object Storage Protocol (v5.1) [lk. 182]

Krüpto kustutamine

Kirjeldus. Krüpto kustutamine on meetod rentniku andmete eemaldamiseks VAST-süsteemist. Selleks tühistatakse või kustutatakse rentniku võtmed kas VAST-süsteemi või välise võtmehalduri abil. VAST-süsteem puhastab andmete krüpteerimisvõtmed (DEK) ja võtme krüpteerimisvõtmed (KEK) süsteemi RAM-ist, eemaldades seeläbi kohe juurdepääsu kõikidele nende võtmetega kirjutatud andmetele. Seejärel saab VAST-süsteem krüptitud andmed kustutada. See funktsioon pakub meetodit andmete turvaliseks kustutamiseks andmete lekkimise või üürniku platvormilt lahkumisel.

Jaotis: Andmete krüpteerimine (v5.1) [lk. 128]

Kataloog ja audit

VAST-i andmeplatvorm pakub laiaulatuslikku funktsioonide komplekti auditeerimiseks ja kataloogimiseks, tagades tugeva andmehalduse ja vastavuse. Siin on iga funktsiooni üksikasjalik kirjeldus koos asjakohaste jaotiste ja leheküljenumbritega VAST-klastri 5.1 dokumentatsioonist.

Protokolli auditeerimine

Kirjeldus. Protokolli auditeerimine VAST-i andmeplatvormis logib toimingud, mis loovad, kustutavad või muudavad files, kataloogid, objektid ja metaandmed. Samuti logib see lugemistoiminguid ja seansi tegevusi. See funktsioon aitab jälgida kasutajate tegevusi ja tagada vastavus turvapoliitikale. Administraatorid saavad seadistada globaalseid auditi sätteid ja view auditilogid VAST-i kaudu Web UI või CLI.

  • Jaotis: Protokolli auditeerimine läbiview [lk. 243]
  • Jaotis: Globaalse auditi sätete konfigureerimine [lk. 243]
  • Jaotis: Auditi konfigureerimine rakendusega View Poliitika [lk. 245]
  • Jaotis: Auditeeritud protokollitoimingud [lk. 245]
  • Jaotis: ViewProtokolli auditi logid [lk. 248]

Protokolli auditi logide salvestamine VAST-i andmebaasi tabelitesse

Kirjeldus: VAST-i andmeplatvorm võimaldab konfigureerida VMS-i protokolli auditi logide salvestamiseks VAST-i andmebaasi tabelisse. Logikirjed salvestatakse JSON-kirjetena, mida saab viewotse VAST-ist Web Kasutajaliides VAST-i auditilogi lehel. See funktsioon suurendab võimalust teha kasutaja tegevuste üksikasjalikke auditeid ja analüüse. Jaotis: Protokolli auditi logide salvestamine VAST-i andmebaasi tabelites [lk. 25]

VAST kataloog

Kirjeldus: VAST-i kataloog on sisseehitatud metaandmete register, mis võimaldab kasutajatel andmeid kiiresti otsida ja leida. See ravib file süsteem nagu andmebaas, mis võimaldab järgmise põlvkonna AI- ja ML-rakendustel kasutada seda eneseviitefunktsioonide poena. Kataloog toetab SQL-tüüpi päringuid ja pakub intuitiivset teavet WebUI, rikkalik CLI ja API-d suhtlemiseks.

  • Jaotis: VAST Catalog Overview [lk. 489]
  • Jaotis: VAST-i kataloogi seadistamine [lk. 491]
  • Jaotis: VAST-i kataloogi päringute tegemine VAST-ist Web UI [lk. 492]
  • Jaotis: Kliendile juurdepääsu pakkumine VAST-i kataloogi CLI-le [lk. 493] Kataloog ja audit

VAST-i andmebaas

Kirjeldus: VAST-i andmebaas laiendab VAST-i kataloogi võimalusi, salvestades keerukama sisu täisfunktsionaalsusega andmebaasi. See toetab kiireid ja ulatuslikke andmepäringuid, salvestades andmeid tõhusas veeruvormingus, mis sarnaneb Apache Parquetiga. Andmebaas on loodud reaalajas peeneteraliste päringute jaoks, mis on seotud suurte tabeliandmete ja kataloogitud metaandmete reservidega.

  • Jaotis: VAST-andmebaas on läbiview [lk. 495]
  • Jaotis: VAST-klastri konfigureerimine andmebaasile juurdepääsu jaoks [lk. 499]
  • Jaotis: VAST-i andmebaasi CLI kiirjuhend [lk. 494]

Auditi logi kirjeväljad

Kirjeldus: auditilogi kirje väljad pakuvad üksikasjalikku teavet iga logitud sündmuse kohta, sealhulgas toimingu tüüp, kasutaja andmed, ajamõõtmineamps ja mõjutatud ressursse. See üksikasjalik logimine on vastavuse ja kohtuekspertiisi analüüsi jaoks ülioluline.

  • Jaotis: Auditilogi kirje väljad [lk. 250]

ViewProtokolli auditi logid

Kirjeldus: Administraatorid saavad view protokolli auditi logid läbi VAST-i Web UI või CLI. Logid annavad ülevaate kasutaja tegevustest ja süsteemitoimingutest, aidates tagada vastavust ja tuvastada volitamata toimingud.

  • Jaotis: ViewProtokolli auditi logid [lk. 248]

Hooldatud ja turvatud operatsioonisüsteem

VAST-i andmeplatvorm kasutab oma operatsioonisüsteemi turvalisuse tagamiseks terviklikku lähenemisviisi, tagades töökindluse
kaitse ja vastavus tööstusstandarditele. Siin on operatsioonisüsteemi põhiaspektid ja rakendatud turvameetmed:

Hooldatud operatsioonisüsteem

Kirjeldus: VAST Data Platform kasutab hooldatud operatsioonisüsteemi, mida pakub CIQ, täpsemalt Enterprise Rocky 8, mis on RHEL-i kahendkoodiga ühilduv operatsioonisüsteemi kujutis. CIQ mägiplatvorm pakub turvalist, autoriteetset ja hästi skaleeritavat kujutiste, pakettide ja konteinerite kohaletoimetamise lahendust, mis on saadaval nii avalikus pilves kui ka kohapeal.

Regulaarne paikamine ja haavatavuse haldamine

Kirjeldus: VAST tagab operatsioonisüsteemi korrapärase lapimise ja värskendamise, olles kursis viimaste turvaaukudega, rakendades vajalikke parandusi ja rakendades õigeaegselt asjakohaseid leevendusi. See ennetav lähenemisviis aitab säilitada operatsioonisüsteemi turvalisust.

Pidev jälgimine

Kirjeldus: operatsioonisüsteemi turvalisuse säilitamiseks rakendatakse pidevat jälgimist. See hõlmab regulaarseid hindamisi, auditeid ja uuestiviews süsteemi turvakontrolli ja konfiguratsioonid, samuti kahtlaste tegevuste ja võimalike turvaintsidentide logimise võimaldamine.

DISA STIGi vastavus

Kirjeldus: VAST-i andmeplatvorm toetab RedHat Linux 8, MAC 1 Pro jaoks mõeldud DISA STIG-i (turvalisuse tehnilise juurutamise juhend).file – Mission Critical Salastatud. See vastavus tagab, et operatsioonisüsteem järgib rangeid turvastandardeid, mida kliendid reguleeritud keskkondades nõuavad.

Konfiguratsioonihaldus

Kirjeldus: platvorm säilitab RHEL 8 süsteemide baaskonfiguratsiooni, sealhulgas süsteemikomponentide seaded, file õigused ja tarkvara installimine. Samuti rakendab see muudatuste kontrollimise protsesse, et jälgida, reviewja kinnitada süsteemi konfiguratsiooni muudatused, tagades, et süsteemid järgivad turvalist ja standardset konfiguratsiooni.

Väikseim funktsionaalsus

Kirjeldus: Väikseima funktsionaalsuse põhimõtet rõhutatakse mittevajaliku tarkvara, teenuste ja süsteemikomponentide eemaldamise või keelamise soovitamisega. See vähendab potentsiaalseid haavatavusi ja rünnakute vektoreid.

Süsteemi ja teabe terviklikkus

Kirjeldus: platvormi krüpteerimis- ja võtmehaldusfunktsioonid ning integreerimine SIEM-süsteemidega aitavad tagada andmete ja teabe terviklikkuse. See hõlmab regulaarseid turbeanalüüse, läbitungimistesti ja haavatavuse haldamist, et tagada ajakohased turvapaigad, konfiguratsioonid ja parimad tavad.

Turvaline tarkvara tarneahel

Turvalise tarkvara tarneahela tagamine on ülioluline, et järgida selliseid määrusi nagu kaubanduslepingute seadus (TAA), föderaalne omandamismäärus (FAR) ja ISO standardid. VAST Data Platform rakendab oma tarkvara tarneahela turvalisuse tagamiseks kõikehõlmavaid meetmeid, tagades, et tarkvara töötatakse õigesti ja vastab rangetele turbenõuetele.

Turvaline tarkvaraarenduse raamistik (SSDF)

VAST-i andmeplatvorm võtab kasutusele NIST Secure Software Development Frameworki (SSDF), mis annab juhised turvaliseks tarkvaraarenduseks. See raamistik aitab kaitsta tarkvara tarneahelaid riskide eest, kirjeldades turvalise kodeerimise, haavatavuse haldamise ja pideva jälgimise tavad.

Tarkvara koostise analüüs (SCA)

Selliseid tööriistu nagu GitLab kasutatakse staatilise rakenduste turbe testimise (SAST) ja dünaamilise rakenduse turbe testimise (DAST) jaoks, et analüüsida nii patenteeritud kui ka avatud lähtekoodiga turvaauke. See on ülioluline turvanõrkuste tuvastamiseks enne kasutuselevõttu.

Tarkvara materjalide loetelu (SBOM)

Platvorm genereerib ja haldab SBOM-e, et jälgida tarkvaraarenduses kasutatavaid komponente. GitLab ja Artifactory on ettevalmistamisel võimendatud, et suurendada läbipaistvust ja vastavust täidesaatva korraldusega 14028.

Pideva integreerimise ja pideva juurutamise (CI/CD) torujuhe

CI/CD konveier sisaldab turvatesti, koodi reviewja vastavuskontrollid. Torujuhe on majutatud USA-põhisel pilveplatvormil, et see vastaks TAA/FAR nõuetele, tagades, et kõik toimingud tehakse USA-s ja neid haldavad USA üksused.

Konteinerite ja pakendite allkirjastamine

Terviklikkuse ja autentsuse tagamiseks on rakendatud konteinerite ja pakendite digiallkirjastamine. Dockeri sisu usaldusväärsus ja RPM-i allkirjastamine on soovitatavad tavad konteinerrakenduste ja pakettide levitamise turvamiseks.

Haavatavuse ja vastavuse kontrollimine

Selliseid tööriistu nagu Tenable ja Qualys kasutatakse operatsioonisüsteemide ja komplekteerimispakettide skannimiseks, samuti viiruste ja pahavara tuvastamiseks. Need tööriistad on integreeritud tarkvarakeskkonna potentsiaalsete ohtude tuvastamiseks ja leevendamiseks.

Kolmanda osapoole tarkvarahaldus

Kogu kolmanda osapoole tarkvara, olgu see siis avatud lähtekoodiga või patenteeritud, pärineb USA asukohtadest, et see vastaks TAA/FAR eeskirjadele. See tarkvara on turvalisuse tagamiseks kaasatud SAST- ja DAST-skannimisprotsessidesse.

Dokumentatsioon ja kontrolljäljed

Säilitatakse põhjalik dokumentatsioon kogu protsessi kohta koodi registreerimisest kuni klientide poolt kasutatava allalaaditava paketini. See dokumentatsioon on NDA raames juurdepääsetav klientide audititeks ja valideerimiseks, nagu juhtkond seda nõuab.

Töötajate ja varahaldus

Protsessi haldavad USA üksuse (Vast Federal) töötajad ning kõik tarkvara arendamise ja juurutamise protsessis kasutatavad varad kuuluvad sellele üksusele. See vastavus on föderaalsete omandamiseeskirjade täitmiseks ülioluline.

Turvaline arenduskeskkond

Tarkvara on välja töötatud ja ehitatud turvalistes keskkondades koos selliste meetmetega nagu mitmefaktoriline autentimine, tingimuslik juurdepääs ja tundlike andmete krüpteerimine. Usaldussuhete regulaarne logimine, jälgimine ja auditeerimine on jõustatud.

Usaldusväärsed lähtekoodi tarneahelad

Automaatseid tööriistu või võrreldavaid protsesse kasutatakse sisekoodi ja kolmanda osapoole komponentide turvalisuse kinnitamiseks, hallates sellega seotud haavatavusi tõhusalt.

Turvahaavatavuse kontrollid

Ongoing vulnerability checks are conducted before releasing new products, versions, or updates. A vulnerability disclosure program is maintained to assess and address disclosed software vulnerabilities promptly.

Järeldus

Multi-Category Security (MCS) integreerimine turvaliste üürifunktsioonidega loob tugeva raamistiku struktureerimata andmete konfidentsiaalsuse ja turvalisuse suurendamiseks. MCS-i võimendades saavad organisatsioonid määrata konkreetsed kategooriad files, tagades, et tundlikule teabele pääsevad juurde ainult volitatud protsessid ja kasutajad. See täiendav turvakiht on ülioluline struktureerimata andmete (nt dokumendid, pildid ja videod) kaitsmiseks.

Turvaline rentimine tugevdab veelgi andmete isoleerimist, luues samas infrastruktuuris erinevatele rühmadele, osakondadele või organisatsioonidele erinevad keskkonnad. Peamised aspektid, nagu ressursside eraldamine, andmete eraldamine, võrgu segmenteerimine ja üksikasjalik juurdepääsu kontroll, tagavad, et iga rentniku andmed jäävad privaatseks ja turvaliseks. VAST-i andmeplatvorm illustreerib neid põhimõtteid oma laiaulatusliku funktsioonide komplekti, sealhulgas VLAN-i kaudu tagging, rollipõhised ja atribuudipõhised juurdepääsukontrollid ning tugevad krüpteerimismehhanismid.

Kokkuvõttes pakub VAST-i andmeplatvorm koos MCS-i ja turvalise üürilepinguga terviklikku ja turvalist lahendust struktureerimata andmete haldamiseks. See lähenemine on oluline rangete andmete konfidentsiaalsusnõuetega organisatsioonide jaoks, nagu valitsusasutused, finantsasutused ja tervishoiuteenuse osutajad. Nende täiustatud turvameetmete rakendamisel saavad organisatsioonid oma tundlikke andmeid kindlalt kaitsta, võimaldades samal ajal tõhusat ja skaleeritavat andmehaldust. See järeldus säilitab põhipunktid, tagades samas selguse ja kokkuvõtlikkuse.

Järeldus

 

Sümbol VAST-i andmeplatvormi kohta lisateabe saamiseks ja selle kohta, kuidas see aitab teil rakendusprobleeme lahendada, võtke meiega ühendust aadressil hello@vastdata.com.

Logo

Dokumendid / Ressursid

VAST andmeplatvormi tarkvara [pdfKasutusjuhend
Andmeplatvormi tarkvara, platvormi tarkvara, tarkvara
VAST andmeplatvormi tarkvara [pdfKasutusjuhend
Andmeplatvormi tarkvara, platvormi tarkvara, tarkvara

Viited

Jäta kommentaar

Teie e-posti aadressi ei avaldata. Kohustuslikud väljad on märgitud *