VAST Data Platform -ohjelmiston käyttöopas

VAST Data Platform -ohjelmiston käyttö

Johdanto

Nykypäivän datavetoisessa maailmassa jäsentämättömän tiedon luottamuksellisuus ja turvallisuus ovat ensiarvoisen tärkeitä. Multi-Category Security (MCS) ja suojatut vuokrausominaisuudet tarjoavat vankan kehyksen näiden ongelmien ratkaisemiseen. MCS, pääsynvalvontamekanismi Security-Enhanced Linuxissa (SELinux), parantaa tietojen luottamuksellisuutta määrittämällä tiettyjä luokkia files ja prosessit. Tämä varmistaa, että vain valtuutetut käyttäjät ja prosessit pääsevät käsiksi arkaluonteisiin tietoihin, mikä tarjoaa ylimääräisen suojakerroksen jäsentämättömille tiedoille, kuten asiakirjoille, kuville ja videoille.

Suojattu vuokraus vahvistaa edelleen tietojen eristämistä luomalla erilliset ympäristöt eri ryhmille, osastoille tai organisaatioille samassa infrastruktuurissa. Tämä lähestymistapa varmistaa, että jokaisen vuokralaisen tiedot ovat loogisesti tai fyysisesti erotettuja, mikä estää luvattoman käytön ja ylläpitää tietojen yksityisyyttä. Turvallisen vuokrauksen tärkeimmät osa-alueet ovat resurssien eristäminen, tietojen erottelu, verkon segmentointi ja yksityiskohtaiset käyttöoikeuksien hallinta.

VAST Data Platform on esimerkki näistä periaatteista kattavalla ominaisuusvalikoimallaan, mukaan lukien VLAN tagging, rooli- ja attribuuttipohjaiset pääsynhallintalaitteet ja vahvat salausmekanismit. Tässä asiakirjassa tarkastellaan, kuinka MCS:n integrointi suojatun vuokrauksen kanssa VAST Data Platformiin tarjoaa kattavan ja turvallisen ratkaisun jäsentämättömän tiedon hallintaan, erityisesti organisaatioille, joilla on tiukat tietojen luottamuksellisuusvaatimukset. Tämä johdanto on ytimekäs, kohdennettu ja antaa selkeän oppaan asiakirjan sisällöstä, joka on linjassa parhaiden käytäntöjen kanssa teknisen dokumentaation suhteen.

Mikä on VAST-tietoalusta

VAST Data Platform on kattava ratkaisu strukturoimattoman tiedon käsittelyyn, erityisesti tekoäly- ja syväoppimissovelluksiin. Se integroi erilaisia ​​ominaisuuksia tietojen kaappaamiseen, luetteloimiseen, merkitsemiseen, rikastamiseen ja säilyttämiseen, mikä tarjoaa saumattoman pääsyn tietoihin reunasta pilveen.

Eritelty ja jaettu kaikki (DASE) -arkkitehtuuri

Tämä arkkitehtuuri erottaa laskentalogiikan järjestelmän tilasta, mikä mahdollistaa kapasiteetin itsenäisen skaalauksen lisäämällä tietosolmuja (DNodes) ja suorituskyvyn lisäämällä laskentasolmuja (CNodes). Se yhdistää jaetut ja transaktiotietorakenteet voittaakseen perinteisten hajautettujen järjestelmien rajoitukset.

Tuetut asiakkaat: NFS, NFSoRDMA Server Message Block (SMB), Amazon S3 ja Containers (CSI)

Tilattomat protokollapalvelimet (CNodes)

VAST DataStore

Vuonna 2019 esitelty DataStore on suunniteltu strukturoimattoman tiedon tallentamiseen ja palvelemiseen. Se katkaisee suorituskyvyn ja kapasiteetin välisen kompromissin, mikä tekee siitä sopivan yritysten tekoälyvalmiiseen rakenteelliseen tiedontallennustilaan.
VAST-tietokanta

Tämä komponentti tarjoaa tietokannan transaktiotehokkuuden, tietovaraston analyyttisen suorituskyvyn sekä datajärven laajuuden ja kohtuuhintaisuuden. Se tukee sekä rivi- että saraketietojen tallennusta.
VAST DataSpace

Vuonna 2023 lanseerattu DataSpace tarjoaa maailmanlaajuisen pääsyn tietoihin reunasta pilveen tasapainottaen tiukan johdonmukaisuuden paikallisen suorituskyvyn kanssa. Se mahdollistaa tietojen laskemisen mistä tahansa julkisesta, yksityisestä tai reunapilviympäristöstä.

Alusta yhdistää strukturoidun ja strukturoimattoman tiedon, tietokanta-analytiikan ja tarjoaa maailmanlaajuisen nimitilan. Se tukee useita protokollia, kuten NFS, SMB, S3, SQL, ja upottaa Apache Sparkin tietojen muuntamista ja kuluttamista varten viestintäjärjestelmistä.

Alusta on suunniteltu toimimaan tekoäly- ja yrityssovelluksissa, ja se tarjoaa reaaliaikaisen syvän data-analyysin ja syvän oppimiskyvyn. Se kaappaa ja käsittelee tietoja reaaliajassa, mikä mahdollistaa tekoälyn päättelyn, metatietojen rikastamisen ja mallin uudelleenkoulutuksen.

Verkon ja solmun segmentointi

VAST Data Platform sisältää useita hallinnan tehokkuuteen ja verkon segmentointiin liittyviä ominaisuuksia, mukaan lukien CNode-ryhmittelytoiminnot sekä mahdollisuuden sitoa CNodeja VLAN-verkkoihin. Tässä on näiden ominaisuuksien yksityiskohtaiset kuvaukset sekä asiaankuuluvat osat VAST-klusterin 5.1 dokumentaatiosta:

CNolmujen ryhmittely ja yhdistäminen

Palvelin (CNode) Pooling: Tallennusprotokollat ​​palvellaan Compute Nodeista (CNodes). VAST-tietoalusta mahdollistaa CNodien ryhmittelyn erillisiin palvelinpooleihin. Jokaisella palvelinjoukolla on määritetty joukko virtuaalisia IP-osoitteita (VIP), jotka on jaettu poolin CNodeille. Tämä tarjoaa mekanismin palvelun laatua (QoS) varten hallitsemalla kullekin poolille määritettyjen palvelimien määrää. Kun CNode siirtyy offline-tilaan, sen palvelleet VIP:t jaetaan häiriöttömästi ryhmän jäljellä oleville CNodeille. Tämä varmistaa kuormituksen tasauksen ja korkean käytettävyyden.

• Osa: VAST-klusterin dokumentaatio, "Virtual IP Pools -hallinta" [s. 593]

VLAN Tagging ja sitominen

VLAN TagGing: VLAN tagging antaa järjestelmänvalvojille mahdollisuuden hallita, mitkä virtuaali-IP:t ovat alttiina millekin verkon VLAN:ille. Tämä ominaisuus varmistaa, että verkkoliikenne on eristetty eri VLAN-verkkojen välillä, mikä estää luvattoman käytön ja tietovuodot vuokralaisten välillä. VLAN tagging konfiguroidaan luomalla VAST-alustan VLAN-verkkoihin virtuaalisia IP-altaita, jotka tarjoavat turvallisen verkon segmentoinnin ja eristyksen.

• Osio: VAST-klusterin dokumentaatio, "TagVirtual IP Pools VLAN:illa” [s. 147]
• Osio: Verkkokäyttö ja tallennustila (v5.1) [s. 141]

Verkon segmentointi

Hallitse pääsyä kohteeseen Views ja protokollat: A VAST View on usean protokollan esitys verkkotallennusosuudesta, -viennistä tai -ämpäristä. Alustan avulla järjestelmänvalvojat voivat hallita, mitkä VLAN-verkot voivat käyttää tiettyjä Views ja mitkä protokollat ​​ovat sallittuja käytettäessä kyseisten VLAN-verkkojen VIP:itä. Tämä ominaisuus parantaa turvallisuutta varmistamalla, että vain valtuutetut VLAN-verkot voivat käyttää tiettyjä tietoja ja palveluita. Se konfiguroidaan käyttämällä View Käytännöt, jotka voivat määrittää käyttöoikeudet VLAN-verkkojen perusteella.

• Osio: VAST-klusterin dokumentaatio, "Luominen View Käytännöt” [s. 628]

Looginen vuokrasopimus

VAST Data Platform tarjoaa useita useaan vuokraukseen liittyviä ominaisuuksia, jotka mahdollistavat vuokralaisten turvallisen eristämisen ja hallinnan. Tässä ovat tärkeimmät vuokrausominaisuudet sekä yksityiskohtaiset kuvaukset ja asiaankuuluvat osat VAST-klusterin 5.1 dokumentaatiosta:

Vuokralaiset

Kuvaus: VAST Data Platformin vuokralaiset määrittävät erilliset tietopolut, ja heillä voi olla omat todennuslähteensä, kuten Active Directory (AD), LDAP tai NIS. Jokainen vuokralainen voi myös hallita omia salausavaimiaan ja varmistaa, että tiedot pysyvät turvallisesti erillään muista vuokralaisista. Tämä ominaisuus on ratkaisevan tärkeä usean vuokraajan ympäristöissä, joissa eri organisaatioiden tai osastojen on säilytettävä tiukka tietojen erottelu.

• Osio: Vuokralaiset (v5.1) [s. 251]

View Käytännöt

Kuvaus: View Käytännöt määrittävät käyttöoikeudet, protokollat ​​ja suojausasetukset Viewon määrätty vuokralaisille. Näiden käytäntöjen avulla järjestelmänvalvojat voivat hallita, kuka voi käyttää tietoja, mitä toimia he voivat suorittaa ja mitä protokollia he voivat käyttää. Tämä rakeinen ohjaus on välttämätöntä turvallisuuden ja vaatimustenmukaisuuden ylläpitämiseksi usean vuokraajan ympäristöissä.

• Osasto: Hallinta Views ja View Käytännöt (v5.1) [s. 260]

VLAN-eristys

Kuvaus: VLAN-verkot voidaan sitoa tiettyyn vuokraajaan vuokralaisten välisen liikenteen eristämiseksi entisestään, mikä estää ristireititys- tai lähetysliikenteen esiintymisen L2-rajan yli.

• Osio: Tagging Virtuaaliset IP-varastot VLAN:illa [s. 147]

Palvelun laatu (QoS)

Kuvaus: QoS-käytännöt tarjoavat tarkat suorituskyvyn säädöt kaistanleveydelle ja IOP:ille (syöttö/lähtötoiminnot sekunnissa) Viewon määrätty vuokralaisille. Nämä käytännöt varmistavat ennustettavan suorituskyvyn ja estävät resurssikiistaongelmat, mikä on erityisen tärkeää usean vuokraajan ympäristöissä, joissa eri vuokralaisilla voi olla erilaisia ​​suorituskykyvaatimuksia. Suorituskyvyn ehtymisen estämiseen tarkoitettujen QoS-maksimikynnysten lisäksi saatavilla on myös QoS-minimikynnykset, jotka auttavat estämään usean vuokrauksen aiheuttaman meluisan naapurin ongelman.

• Osio: Palvelun laatu (v5.1) [s. 323]

Kiintiöt

Kuvaus: Kiintiöiden avulla järjestelmänvalvojat voivat asettaa kapasiteettirajoituksia Views ja hakemistot vuokralaisten eristämistä varten. Tämä ominaisuus varmistaa, että yksikään vuokralainen ei voi kuluttaa enemmän kuin heille on varattu resurssiosuutta, mikä auttaa estämään järjestelmän kapasiteetin resurssien odottamattoman kulumisen.

• Osio: Kiintiöiden hallinta (v5.1) [s. 314]

Valtuutus ja identiteetin hallinta

Vuokralaisen ja henkilöllisyyden hallinta

Kuvaus: VAST Data Platformin vuokralaiset määrittävät erilliset tietopolut, ja heillä voi olla omat todennuslähteensä, kuten Active Directory (AD), LDAP tai NIS. Alusta tukee jopa kahdeksaa yksilöllistä identiteetin tarjoajaa, jotka voidaan konfiguroida käytettäväksi vuokraajatasolla.

• Osio: Vuokralaiset (v5.1) [s. 251]

Views

Kuvaus: Views ovat usean protokollan osuuksia, vientiä tai ämpäriä, jotka kuuluvat tietyille vuokralaisille. Ne tarjoavat turvallisesti eristetyn pääsyn tietoihin ja varmistavat, että jokainen vuokralainen voi käyttää vain omia tietojaan. Views voidaan konfiguroida erityisillä käyttöoikeuksilla ja protokollilla, mikä tekee niistä monipuolisia erilaisiin käyttötapauksiin.

• Osasto: Hallinta Views ja View Käytännöt (v5.1) [s. 260]

View Käytännöt

Kuvaus: View Käytännöt määrittävät käyttöoikeudet, protokollat ​​ja suojausasetukset viewon määrätty vuokralaisille. Näiden käytäntöjen avulla järjestelmänvalvojat voivat hallita, kuka voi käyttää tietoja, mitä toimia he voivat suorittaa ja mitä protokollia he voivat käyttää. Tämä rakeinen ohjaus on välttämätöntä turvallisuuden ja vaatimustenmukaisuuden ylläpitämiseksi usean vuokraajan ympäristöissä.

• Osasto: Hallinta Views ja View Käytännöt (v5.1) [s. 260]

Kulunvalvonta

VAST Data Platform tarjoaa kattavan valikoiman ominaisuuksia valtuutukseen ja identiteetin hallintaan. Tässä on kunkin ominaisuuden yksityiskohtaiset kuvaukset sekä asiaankuuluvat osiot ja sivunumerot VAST-klusterin 5.1 dokumentaatiosta:

Role-Based Access Control (RBAC)

Kuvaus: VAST Cluster käyttää Role-Based Access Control (RBAC) -järjestelmää VAST-hallintajärjestelmän (VMS) käyttöoikeuksien hallintaan. RBAC:n avulla järjestelmänvalvojat voivat määrittää rooleja tietyillä käyttöoikeuksilla ja määrittää nämä roolit käyttäjille. Tämä varmistaa, että käyttäjillä on pääsy vain heidän roolinsa edellyttämiin resursseihin ja toimintoihin, mikä parantaa turvallisuutta ja yksinkertaistaa hallintaa.

• Osa: VMS-käyttöoikeuksien ja -oikeuksien valtuuttaminen [s. 82]

Attribute-Based Access Control (ABAC)

Kuvaus: Attribute-Based Access Control (ABAC) on tuettu views käytetään NFSv4.1:n kautta Kerberos-todennusta tai SMB:n kautta Kerberos- tai NTLM-todennusta käyttäen. ABAC mahdollistaa pääsyn a view jos käyttäjän Active Directory -tiliin liittyy ABAC-attribuutti, joka vastaa ABAC-määritettä tag määrätty view. Tämä tarjoaa hienorakeisen pääsynhallinnan käyttäjän attribuuttien perusteella.

• Osa: Attribute-Based Access Control (ABAC) [s. 269]
  

Single Sign-On (SSO) -todennus

Kuvaus: VAST VMS tukee SSO (Single Sign-On) -todennusta SAML-pohjaisten identiteetintarjoajien (IdP) avulla. Tämän ansiosta VMS-päälliköt voivat kirjautua sisään VAST-klusteriin käyttämällä tunnistetietojaan, kuten Okta, joka voi lisäksi tarjota monitekijätodennusta (MFA). SSO yksinkertaistaa kirjautumisprosessia ja parantaa turvallisuutta keskittämällä todennuksen.

• Osa: Määritä SSO-todennus VMS:ssä [s. 90]

Active Directory -integraatio

Kuvaus: VAST Cluster tukee integraatiota Active Directoryn (AD) kanssa sekä VMS:n että dataprotokollan käyttäjien todennusta ja valtuutusta varten. Näin organisaatiot voivat hyödyntää olemassa olevaa AD-infrastruktuuriaan hallitakseen käyttäjien pääsyä VAST-klusterin resursseihin. AD-integraatio tukee ominaisuuksia, kuten SID-historiaa ryhmille ja käyttäjille, mikä varmistaa saumattoman pääsynhallinnan.

• Osio: Yhteyden muodostaminen Active Directoryyn (v5.1) [s. 347]

LDAP-integrointi

Kuvaus: Alusta tukee integraatiota LDAP-palvelimien kanssa sekä VMS- että dataprotokollan käyttäjien todennusta ja valtuutusta varten. Näin organisaatiot voivat käyttää olemassa olevia LDAP-hakemistojaan VAST-klusterin resurssien hallintaan, mikä tarjoaa joustavan ja skaalautuvan todennusratkaisun.

• Osa: Yhteyden muodostaminen LDAP-palvelimeen (v5.1) [s. 342]

NIS-integraatio

Kuvaus: VAST Cluster tukee integraatiota Network Information Servicen (NIS) kanssa dataprotokollan käyttäjien todennusta varten. Tämä ominaisuus on hyödyllinen ympäristöissä, joissa käyttäjätietojen hallinta ja kulunvalvonta ovat riippuvaisia ​​NIS:stä.

• Osa: Yhdistäminen NIS-verkkoon (v5.1) [s. 358]

Paikalliset käyttäjät ja ryhmät

Kuvaus: Järjestelmänvalvojat voivat hallita paikallisia käyttäjiä ja ryhmiä suoraan VAST-klusterissa. Tämä sisältää paikallisten käyttäjätilien ja ryhmien luomisen, muokkaamisen ja poistamisen sekä käyttöoikeuksien ja roolien määrittämisen näille tileille.

• Osio: Paikallisten käyttäjien hallinta (v5.1) [s. 335]
• Osio: Paikallisten ryhmien hallinta (v5.1) [s. 337]
  

Protokollan ACL-luettelot ja SELinux-tunnisteet

VAST Data Platform tukee useita protokollien ACL-luetteloita ja SELinux-tunnisteominaisuuksia, mikä takaa vankan pääsynhallinnan ja suojauksen. Tässä on kunkin ominaisuuden yksityiskohtaiset kuvaukset sekä asiaankuuluvat osiot ja sivunumerot VAST-klusterin 5.1 dokumentaatiosta:

POSIX-käyttöoikeusluettelot (ACL)

Kuvaus: VAST-järjestelmät tukevat POSIX ACL -luetteloita, joiden avulla järjestelmänvalvojat voivat määrittää yksityiskohtaiset käyttöoikeudet files ja kansiot yksinkertaisen Unix/Linux-mallin lisäksi. POSIX ACL:t mahdollistavat käyttöoikeuksien määrittämisen useille käyttäjille ja ryhmille, mikä tarjoaa joustavan ja yksityiskohtaisen pääsynhallinnan.

• Osasto: NFS File Jakamisprotokolla (v5.1) [s. 154]

NFSv4 ACL:t

Kuvaus: NFSv4 on tilallinen protokolla, jossa on suojattu todennus Kerberosin kautta ja joka tukee yksityiskohtaisia ​​ACL-luetteloita. Nämä ACL-luettelot ovat tarkkuudeltaan samanlaisia ​​kuin SMB- ja NTFS-tiedostot, mikä mahdollistaa tehokkaan pääsynhallinnan. NFSv4 ACL -luetteloita voidaan hallita tavallisilla Linux-työkaluilla NFS-protokollan kautta.

• Osasto: NFS File Jakamisprotokolla (v5.1) [s. 154]

SMB ACL:t

Kuvaus: SMB ACL -luetteloita hallitaan samalla tavalla kuin Windows-osuuksia, jolloin käyttäjät voivat asettaa hienojakoisia Windowsin ACL-luetteloita PowerShell-komentosarjojen ja Windowsin avulla. File Tutki SMB:tä. Nämä ACL-luettelot, mukaan lukien estoluettelomerkinnät, voidaan pakottaa käyttäjille, jotka käyttävät samanaikaisesti sekä SMB- että NFS-protokollaa.

• Osasto: SMB File VAST-klusterin jakamisprotokolla (v5.1) [s. 171]

S3-identiteettikäytännöt

Kuvaus: S3 Native Security Flavor mahdollistaa S3-identiteettikäytäntöjen käytön pääsyn hallitsemiseen ja kykyyn määrittää ja muuttaa ACL-luetteloita S3-sääntöjen mukaisesti. Tämä ominaisuus tarjoaa yksityiskohtaisen pääsynhallinnan S3-ämpäriin ja -kohteisiin.

• Osa: S3 Object Storage Protocol (v5.1) [s. 182]

Multi-Protocol ACL:t

Kuvaus: VAST tukee usean protokollan ACL-luetteloita, jotka tarjoavat yhtenäisen käyttöoikeusmallin tietojen käyttämiseen eri protokollien välillä. Tämä varmistaa johdonmukaisen pääsyn hallinnan ja turvallisuuden dataan pääsyyn käytetystä protokollasta riippumatta.

• Osa: Multi-Protocol Access (v5.1) [s. 151]

SELinux Label -ominaisuudet

1. NFSv4.2-suojaustarrat

Kuvaus: VAST Cluster 5.1 tukee NFSv4.2-merkintää rajoitetussa palvelintilassa. Tässä tilassa VAST-klusteri voi tallentaa ja palauttaa suojaustunnisteita files ja hakemistot NFS:ssä views NFSv4.2-yhteensopivien vuokralaisten, mutta klusteri ei pakota etikettiin perustuvaa pääsypäätösten tekemistä. NFSv4.2-asiakkaat suorittavat tunnisteen määrittämisen ja validoinnin.

• Osa: NFSv4.2 Suojaustarrat (v5.1) [s. 169]

Varmenteiden hallinta ja salaus

VAST Data Platform tarjoaa kattavan valikoiman ominaisuuksia salaukseen ja sertifikaattien hallintaan. Tässä on kunkin ominaisuuden yksityiskohtaiset kuvaukset sekä asiaankuuluvat osiot ja sivunumerot VAST-klusterin 5.1 dokumentaatiosta:

Tietojen salaus lepotilassa

Kuvaus: VAST Data Platform tukee lepotilassa olevien tietojen salausta käyttämällä ulkoisia avaintenhallintaratkaisuja. Tämä ominaisuus varmistaa, että alustalle tallennetut tiedot salataan turvallisesti VAST-klusterin ulkopuolella säilytetyillä avaimilla, mikä suojaa tietoja luvattomalta käytöltä. Alusta tukee Thales CipherTrust Data Security Platformia ja Fornetix Vault Corea ulkoista avainten hallintaa varten. Jokaisella klusterilla on yksilöllinen pääavain, ja salaus voidaan ottaa käyttöön klusterin alkuasennuksen aikana.

• Osa: Tietojen salaus (v5.1) [s. 128]

FIPS 140-3:n tason 1 validointi

VAST-tietoalusta sisältää OpenSSL 1.1.1 -salausmoduulin, joka on FIPS 140-3:n taso 1 validoitu. Tämän vahvistuksen varmenteen numero on #4675. Kaikki lennon aikana ja levossa olevien tietojen salaus on linkitetty FIPS-validoituun OpenSSL 1.1.1 -salausmoduuliin. Alusta käyttää TLS 1.3:a suojattuun tiedonsiirtoon ja 256-bittistä AES-XTS-salausta levossa oleville tiedoille, mikä varmistaa vankan turvallisuuden ja alan standardien noudattamisen. Tietoturvan ja -hallinnan parantaminen usean luokan tietoturvan ja suojatun vuokrauksen avulla 14

• Lähde: Cryptographic Module Validation Program (CMVP)

TLS-sertifikaattien hallinta

Kuvaus: Alusta tukee TLS-varmenteiden asennusta ja hallintaa viestinnän turvaamiseksi
VAST-hallintajärjestelmän (VMS) kanssa. Järjestelmänvalvojat voivat asentaa TLS-varmenteita varmistaakseen, että tiedot lähetetään
asiakkaiden ja VMS:n välillä on salattu ja suojattu.

• Osio: SSL-sertifikaatin asentaminen VMS:lle (v5.1) [s. 78]

mTLS-todennus VMS-asiakkaille

Kuvaus: Alusta tukee keskinäistä TLS (mTLS) -todennusta VMS GUI- ja API-asiakkaille. Kun mTLS on käytössä, VMS edellyttää, että asiakas esittää tietyn varmenteen myöntäjän allekirjoittaman varmenteen. Tämä lisää molemminpuolisen todennuskerroksen, jossa sekä asiakas että palvelin todentavat toisensa, mikä tarjoaa lisäsuojaustasoa VMS:n kanssa tapahtuvalle kommunikaatiolle, joka tukee valinnaisesti PIV/CAC-kortteja.

• Osa: mTLS-todennuksen ottaminen käyttöön VMS-asiakkaille (v5.1) [s. 78]

Active Directory -viestinnän turvaaminen

VAST Data Platform tarjoaa vankat suojaustoimenpiteet Active Directory (AD) -todennusta varten sallimalla järjestelmänvalvojien poistaa käytöstä NTLM v1- ja v2-protokollat. NTLM (NT LAN Manager) on vanhempi todennusprotokolla, jossa on tunnettuja haavoittuvuuksia, mikä tekee siitä vähemmän turvallisen verrattuna nykyaikaisimpiin protokolliin, kuten Kerberos.

• Osio: Yhteyden muodostaminen Active Directoryyn (v5.1) [s. 347]

S3-pääsyn turvaaminen

VAST Data Platform parantaa S3-käytön turvallisuutta sallimalla sinun poistaa Signature Version 2 (SigV2) -allekirjoituksen käytöstä ja varmistaa, että kaikki S3-vuorovaikutukset suoritetaan käyttämällä turvallisempaa Signature Version 4:tä (SigV4). Lisäksi alusta pakottaa TLS 1.3:n käytön S3-viestintään hyödyntäen FIPS 140-3 -salauksia.

• Osa: S3 Object Storage Protocol (v5.1) [s. 182]

Salauksen poistaminen

Kuvaus: Salauksen poisto on tapa poistaa vuokralaisen tiedot VAST-järjestelmästä. Tämä tehdään kumoamalla tai poistamalla vuokralaisen avaimet joko VAST-järjestelmän tai External Key Managerin avulla. VAST-järjestelmä puhdistaa tietojen salausavaimet (DEK) ja Key Encryption Keys (KEK:t) järjestelmän RAM-muistista, mikä poistaa välittömästi pääsyn kaikkeen näillä avaimilla kirjoitettuun tietoon. VAST-järjestelmä voi sitten poistaa salatut tiedot. Tämä ominaisuus tarjoaa menetelmän poistaa tiedot turvallisesti, jos tietoja vuotaa tai kun vuokralainen poistuu alustalta.

Osa: Tietojen salaus (v5.1) [s. 128]

Luettelo ja tarkastus

VAST Data Platform tarjoaa kattavan valikoiman ominaisuuksia auditointiin ja luettelointiin, mikä varmistaa vankan tiedonhallinnan ja vaatimustenmukaisuuden. Tässä on kunkin ominaisuuden yksityiskohtaiset kuvaukset sekä asiaankuuluvat osiot ja sivunumerot VAST-klusterin 5.1 dokumentaatiosta:

Protokollan tarkastus

Kuvaus: VAST Data Platformin protokollatarkistus kirjaa toiminnot, jotka luovat, poistavat tai muokkaavat files, hakemistot, objektit ja metatiedot. Se myös kirjaa lokiin lukutoiminnot ja istuntotoiminnot. Tämä ominaisuus auttaa seuraamaan käyttäjien toimintaa ja varmistamaan suojauskäytäntöjen noudattamisen. Järjestelmänvalvojat voivat määrittää yleiset valvonta-asetukset ja view tarkastuslokit VAST:n kautta Web UI tai CLI.

• Osa: Protokollan tarkastus ohiview [s. 243]
• Osa: Yleisten tarkastusasetusten määrittäminen [s. 243]
• Osa: Tarkastuksen määrittäminen kanssa View Käytännöt [s. 245]
• Osio: Tarkastetut protokollatoiminnot [s. 245]
• Osio: ViewProtocol Audit Logs [s. 248]

Protokollan valvontalokien tallentaminen VAST-tietokantataulukoihin

Kuvaus: VAST Data Platform sallii VMS:n määrityksen tallentaa protokollan valvontalokit VAST-tietokantataulukkoon. Lokimerkinnät tallennetaan JSON-tietueina, jotka voivat olla viewsuoraan VAST:sta Web Käyttöliittymä VAST-tarkastuslokisivulla. Tämä ominaisuus parantaa kykyä suorittaa yksityiskohtaisia ​​tarkastuksia ja analyyseja käyttäjien toiminnasta. Osio: Protokollan valvontalokien tallentaminen VAST-tietokantataulukoihin [s. 25]

VAST katalogi

Kuvaus: VAST-luettelo on sisäänrakennettu metatietohakemisto, jonka avulla käyttäjät voivat etsiä ja löytää tietoja nopeasti. Se hoitaa file järjestelmä kuin tietokanta, jolloin seuraavan sukupolven AI- ja ML-sovellukset voivat käyttää sitä itseviittaavana ominaisuusvarastona. Luettelo tukee SQL-tyylisiä kyselyitä ja tarjoaa intuitiivisen WebKäyttöliittymä, monipuolinen CLI ja sovellusliittymät vuorovaikutusta varten.

• Osa: VAST Catalog Overview [s. 489]
• Osa: VAST-luettelon määrittäminen [s. 491]
• Osio: VAST-luettelon kysely VAST:sta Web Käyttöliittymä [s. 492]
• Osio: Asiakkaan pääsyn tarjoaminen VAST Catalog CLI:hen [s. 493]
  

VAST-tietokanta

Kuvaus: VAST-tietokanta laajentaa VAST-luettelon ominaisuuksia tallentamalla monimutkaisempaa sisältöä täysin varustettuun tietokantaan. Se tukee nopeita ja suuria tietokyselyitä tallentamalla tiedot tehokkaassa sarakemuodossa, joka on samanlainen kuin Apache Parquet. Tietokanta on suunniteltu reaaliaikaisia, hienojakoisia kyselyitä varten, jotka koskevat valtavia taulukkotietovarantoja ja luetteloituja metatietoja.

• Osio: VAST-tietokanta ohiview [s. 495]
• Osa: VAST-klusterin määrittäminen tietokantakäyttöä varten [s. 499]
• Osa: VAST Database CLI -pikaopas [s. 494]

Tarkastuslokin tietuekentät

Kuvaus: Tarkastuslokin tietuekentät tarjoavat yksityiskohtaista tietoa jokaisesta kirjatusta tapahtumasta, mukaan lukien toiminnon tyyppi, käyttäjätiedot, aikaamps ja niihin liittyvät resurssit. Tämä yksityiskohtainen kirjaus on olennainen vaatimustenmukaisuuden ja rikosteknisen analyysin kannalta.

• Osa: Tarkastuslokin tietuekentät [s. 250]

ViewProtokollan tarkastuslokeja

Kuvaus: Järjestelmänvalvojat voivat view protokollan tarkastuslokit VAST:n kautta Web UI tai CLI. Lokit tarjoavat tietoa käyttäjien toiminnasta ja järjestelmän toiminnasta, mikä auttaa varmistamaan vaatimustenmukaisuuden ja havaitsemaan luvattomat toimet.

• Osio: ViewProtocol Audit Logs [s. 248]

Ylläpidetty ja suojattu käyttöjärjestelmä

VAST Data Platform käyttää kattavaa lähestymistapaa käyttöjärjestelmänsä turvaamiseen, mikä takaa sen vankan
suojelu ja alan standardien noudattaminen. Tässä ovat käyttöjärjestelmän tärkeimmät osat ja toteutetut suojaustoimenpiteet:

Ylläpidetty käyttöjärjestelmä

Kuvaus: VAST Data Platform käyttää ylläpidettyä CIQ:n tarjoamaa käyttöjärjestelmää, erityisesti Enterprise Rocky 8:aa, joka on RHEL-binääriyhteensopiva käyttöjärjestelmän näköistiedosto. CIQ:n Mountain Platform tarjoaa turvallisen, arvovaltaisen ja erittäin skaalautuvan kuvan, paketin ja kontin toimitusratkaisun, joka on saatavilla sekä julkisessa pilvessä että paikan päällä.

Säännöllinen korjaus ja haavoittuvuuksien hallinta

Kuvaus: VAST varmistaa, että käyttöjärjestelmä päivitetään ja päivitetään säännöllisesti pysymällä ajan tasalla uusimmista tietoturvahaavoittuvuuksista, asentamalla tarvittavat korjaustiedostot ja toteuttamalla asianmukaiset torjuntakeinot oikea-aikaisesti. Tämä ennakoiva lähestymistapa auttaa säilyttämään käyttöjärjestelmän suojausasennon.

Jatkuva seuranta

Kuvaus: Jatkuvat valvontakäytännöt toteutetaan käyttöjärjestelmän suojausasennon ylläpitämiseksi. Tämä sisältää säännölliset arvioinnit, auditoinnit ja uudelleenviews järjestelmän suojausohjaimista ja -kokoonpanoista sekä mahdollistaa epäilyttävien toimintojen ja mahdollisten tietoturvahäiriöiden kirjaamisen.

DISA STIG -yhteensopivuus

Kuvaus: VAST Data Platform tukee DISA STIGiä (Security Technical Implementation Guide) RedHat Linux 8:lle, MAC 1 Prollefile – Mission Critical luokiteltu. Tämä vaatimustenmukaisuus varmistaa, että käyttöjärjestelmä noudattaa asiakkaiden säännellyissä ympäristöissä vaatimia tiukkoja turvallisuusstandardeja.

Kokoonpanon hallinta

Kuvaus: Alusta ylläpitää peruskokoonpanoa RHEL 8 -järjestelmille, mukaan lukien järjestelmäkomponenttien asetukset, file käyttöoikeudet ja ohjelmiston asennus. Se myös toteuttaa muutosten ohjausprosesseja seuratakseen uudelleenview, ja hyväksyä muutokset järjestelmän kokoonpanoon varmistaen, että järjestelmät noudattavat turvallista ja standardoitua kokoonpanoa.

Vähiten toimivuutta

Kuvaus: Vähiten toimivuuden periaatetta korostetaan suosittelemalla tarpeettomien ohjelmistojen, palveluiden ja järjestelmäkomponenttien poistamista tai poistamista käytöstä. Tämä vähentää mahdollisia haavoittuvuuksia ja hyökkäysvektoreita.

Järjestelmän ja tietojen eheys

Kuvaus: Alustan salaus- ja avaintenhallintaominaisuudet sekä sen integrointi SIEM-järjestelmiin auttavat varmistamaan tietojen ja tietojen eheyden. Tämä sisältää säännölliset tietoturvaarvioinnit, tunkeutumistestaukset ja haavoittuvuuksien hallinnan, jotta voidaan varmistaa ajantasaiset tietoturvakorjaukset, -kokoonpanot ja parhaat käytännöt.

Suojattu ohjelmiston toimitusketju

Ohjelmistojen turvallisen toimitusketjun varmistaminen on ratkaisevan tärkeää säännösten, kuten kauppasopimuslain (TAA), Federal Acquisition Regulation (FAR) ja ISO-standardien noudattamisen kannalta. VAST Data Platform toteuttaa kattavia toimenpiteitä ohjelmistojen toimitusketjunsa turvaamiseksi ja varmistaa, että ohjelmisto kehitetään oikein ja täyttää tiukat turvallisuusvaatimukset.

Secure Software Development Framework (SSDF)

VAST Data Platform ottaa käyttöön NIST Secure Software Development Framework (SSDF) -kehyksen, joka antaa ohjeita turvalliselle ohjelmistokehitykselle. Tämä kehys auttaa suojaamaan ohjelmistojen toimitusketjuja riskeiltä hahmottelemalla suojatun koodauksen, haavoittuvuuksien hallinnan ja jatkuvan valvonnan käytännöt.

Software Composition Analysis (SCA)

GitLabin kaltaisia ​​työkaluja käytetään Static Application Security Testing (SAST) ja Dynamic Application Security Testing (DAST) -testaukseen sekä patentoidun että avoimen lähdekoodin haavoittuvuuksien analysoimiseksi. Tämä on ratkaisevan tärkeää turvallisuuden heikkouksien tunnistamisessa ennen käyttöönottoa.

Software Bill of Materials (SBOM)

Alusta luo ja hallitsee SBOM-tiedostoja ohjelmistokehityksessä käytettyjen komponenttien seuraamiseksi. GitLabia ja Artifactorya hyödynnetään valmisteilla avoimuuden ja Executive Order 14028:n noudattamisen parantamiseksi.

Jatkuva integrointi ja jatkuva käyttöönotto (CI/CD) -putki

CI/CD-putki sisältää tietoturvatestauksen, koodi reviewja vaatimustenmukaisuustarkastukset. Putkilinjaa isännöidään yhdysvaltalaispohjaisella pilvialustalla TAA/FAR-vaatimusten täyttämiseksi ja varmistaa, että kaikki toiminnot suoritetaan Yhdysvalloissa ja että niitä hallinnoivat yhdysvaltalaiset tahot.

Säiliön ja paketin allekirjoitus

Säiliöiden ja pakettien digitaalinen allekirjoitus toteutetaan eheyden ja aitouden varmistamiseksi. Docker Content Trust ja RPM-allekirjoitus ovat suositeltuja käytäntöjä konttisovellusten ja pakettijakelujen suojaamiseen.

Haavoittuvuuden ja vaatimustenmukaisuuden tarkistus

Työkaluja, kuten Tenable ja Qualys, käytetään käyttöjärjestelmien ja koontipakettien tarkistamiseen sekä virusten ja haittaohjelmien havaitsemiseen. Nämä työkalut on sisällytetty prosessiin ohjelmistoympäristön mahdollisten uhkien tunnistamiseksi ja lieventämiseksi.

Kolmannen osapuolen ohjelmistojen hallinta

Kaikki kolmannen osapuolen ohjelmistot, olivatpa ne avoimen lähdekoodin tai omistusoikeuden alaisia, hankitaan Yhdysvalloista TAA/FAR-määräysten mukaisesti. Tämä ohjelmisto sisältyy SAST- ja DAST-skannausprosesseihin turvallisuuden varmistamiseksi.

Dokumentaatio ja seurantapolku

Kattava dokumentaatio ylläpidetään koko prosessista koodin sisäänkirjautumisesta asiakkaiden käyttämään ladattavaan pakettiin. Tämä dokumentaatio on saatavilla NDA:n puitteissa asiakkaiden suorittamia auditointeja ja validointia varten johdon edellyttämällä tavalla.

Työntekijä- ja omaisuudenhallinta

Prosessia hallinnoivat yhdysvaltalaisen yrityksen (Vast Federal) työntekijät, ja kaikki ohjelmistokehitys- ja käyttöönottoprosessissa käytetyt varat ovat tämän tahon omistuksessa. Tämä noudattaminen on ratkaisevan tärkeää liittovaltion hankintamääräysten noudattamisen kannalta.

Turvallinen kehitysympäristö

Ohjelmisto on kehitetty ja rakennettu turvallisiin ympäristöihin, joissa on muun muassa monitekijätodennus, ehdollinen pääsy ja arkaluonteisten tietojen salaus. Luottamussuhteiden säännöllinen kirjaaminen, seuranta ja auditointi on pakotettu.

Luotetut lähdekoodin toimitusketjut

Automaattisia työkaluja tai vastaavia prosesseja käytetään sisäisen koodin ja kolmannen osapuolen komponenttien turvallisuuden vahvistamiseen ja niihin liittyvien haavoittuvuuksien hallintaan.

Tietoturvahaavoittuvuuden tarkistukset

Ongoing vulnerability checks are conducted before releasing new products, versions, or updates. A vulnerability disclosure program is maintained to assess and address disclosed software vulnerabilities promptly.

Johtopäätös

Multi-Category Securityn (MCS) integrointi turvallisiin vuokrausominaisuuksiin tarjoaa vankan kehyksen jäsentämättömien tietojen luottamuksellisuuden ja turvallisuuden parantamiselle. MCS:ää hyödyntämällä organisaatiot voivat määrittää tiettyjä luokkia files, varmistaen, että vain valtuutetut prosessit ja käyttäjät pääsevät käsiksi arkaluonteisiin tietoihin. Tämä lisäsuojaustaso on ratkaisevan tärkeä strukturoimattomien tietojen, kuten asiakirjojen, kuvien ja videoiden, suojaamisessa.

Suojattu vuokraus vahvistaa edelleen tietojen eristämistä luomalla erilliset ympäristöt eri ryhmille, osastoille tai organisaatioille samassa infrastruktuurissa. Tärkeimmät näkökohdat, kuten resurssien eristäminen, tietojen erottelu, verkon segmentointi ja yksityiskohtaiset käyttöoikeudet varmistavat, että jokaisen vuokralaisen tiedot pysyvät yksityisinä ja turvallisina. VAST Data Platform on esimerkki näistä periaatteista kattavalla ominaisuusvalikoimallaan, mukaan lukien VLAN tagging, rooli- ja attribuuttipohjaiset pääsynhallintalaitteet ja vahvat salausmekanismit.

Yhteenvetona voidaan todeta, että VAST Data Platform, jossa on integroitu MCS ja turvallinen vuokraus, tarjoaa kattavan ja turvallisen ratkaisun jäsentämättömän tiedon hallintaan. Tämä lähestymistapa on välttämätön organisaatioille, joilla on tiukat tietojen luottamuksellisuusvaatimukset, kuten valtion virastoille, rahoituslaitoksille ja terveydenhuollon tarjoajille. Ottamalla nämä edistyneet suojaustoimenpiteet käyttöön organisaatiot voivat suojata luottamuksellisesti arkaluonteisia tietojaan ja mahdollistaa samalla tehokkaan ja skaalautuvan tiedonhallinnan. Tämä päätelmä säilyttää keskeiset kohdat ja varmistaa samalla selkeyden ja tiiviyden.

 

 Saat lisätietoja VAST Data Platformista ja siitä, kuinka se voi auttaa sinua ratkaisemaan sovellusongelmasi, ottamalla yhteyttä meihin osoitteessa hello@vastdata.com.