Cloudera lance RecordService, un système unifié de mise en application de règles basées sur les rôles, dédié à l’écosystème Apache Hadoop


Rédigé par Communiqué de Cloudera le 14 Octobre 2015

Disponible sous la forme d’une version bêta publique, une nouvelle couche de sécurité fournit des contrôles d’accès granulaires et une fonction de masquage de données pour Apache Spark, MapReduce et d’autres produits



Cloudera, leader de la gestion analytique des données d’entreprise basée sur Apache Hadoop™, annonce la disponibilité de la version bêta publique de RecordService, une nouvelle couche de sécurité haute-performance pour Apache Hadoop qui met en application des règles de contrôle d’accès basées sur les rôles, de manière centralisée. Complément d’Apache Sentry (en incubation), qui unifie la définition de règles, RecordService est la première solution délivrant une sécurité complète couvrant les lignes et les colonnes, ainsi qu’une fonction de masquage dynamique de données, pour chaque moteur d’accès Hadoop. Une version bêta publique de RecordService est disponible dès aujourd’hui sous licence open source Apache et sera transférée vers la Fondation Apache Software dans le futur.



La sécurité est une priorité des entreprises dès lors que leurs déploiements Hadoop passent d’un statut de pilote à celui de système en production. Pour garantir que des données sensibles ne puissent tomber dans de mauvaises mains, une approche complète de sécurité doit inclure des contrôles d’accès granulaires qui définissent ce que les utilisateurs peuvent voir et ce qu’ils peuvent faire avec. Cependant, pour que les entreprises puissent tirer le meilleur parti de la puissance d’Hadoop, ces contrôles d’accès ne doivent pas limiter l’agilité de la plate-forme ou des utilisateurs. Ces permissions d’accès doivent être les mêmes pour l’utilisateur, quel que soit le moteur d’accès qu’ils ont choisi d’utiliser, jusqu’au niveau de la colonne et de la ligne.



Sentry, la solution standard de définition unifiée des règles dans Hadoop, joue un rôle essentiel en appliquant des règles homogènes à travers tous les différents chemins d’accès. Toutefois, certains chemins d’accès supportent des restrictions plus granulaires que d’autres. A mesure que l’écosystème Hadoop s’est amplifié pour inclure différents moteurs d’accès tels que Apache Spark, Impala et Apache Solr, il est devenu de plus en plus difficile de mettre en application ces règles de manière homogène et sans limiter l’accès aux données. Par exemple, alors qu’Impala supporte des contrôles granulaires au niveau des lignes et des colonnes, Spark et MapReduce supportent seulement des contrôles au niveau des fichiers et des tables. Au sein d’architectures modernes qui utilisent de multiples moteurs d’accès, cette différence peut aboutir au développement de solutions de contournement complexes ou à l’exploitation du « plus petit dénominateur commun » de sécurité, avec des utilisateurs disposant d’un accès à la totalité du jeu de données ou ne disposant pas d’accès du tout, ce qui aboutit à des applications Hadoop moins agiles et moins sécurisées.



RecordService complète la définition de règles de Sentry, en prenant la forme d’une nouvelle couche fournissant un point unique de mise en application, ce qui simplifie la sécurité grâce à des contrôles d’accès unifiés au niveau des colonnes et des lignes, dédiés à l’ensemble des chemins d’accès, comprenant Spark et MapReduce. Cette mise en application granulaire des règles de sécurité permet aux entreprises de tirer parti de toutes les fonctionnalités d’Hadoop, tout en éliminant les solutions de contournement complexes qui, souvent, peuvent générer des erreurs de sécurité. Avec RecordService, tous les utilisateurs sont en mesure de mieux comprendre leurs données, de manière sécurisée et à l’aide de l’outil de leur choix.



« La sécurité d’Hadoop a été améliorée rapidement pour répondre à la nécessité accrue de stocker et d’analyser des données sensibles dans la plate-forme. Toutefois, pour qu’Hadoop continue d’évoluer et de supporter la nouvelle génération d’applications analytiques en couvrant plus d’utilisateurs et plus de chemins d’accès, la sécurité doit devenir universelle au sein de la plate-forme » déclare Eddie Garcia, Chief Security Architect chez Cloudera. « Grâce à RecordService, la communauté Hadoop concrétise la vision de contrôles d’accès unifiés et granulaires appliqués à chaque chemin d’accès Hadoop. Avec des innovations majeures en matière de sécurité, comme Sentry, RecordService permet aux entreprises d’améliorer leurs connaissances via Hadoop, tout en s’assurant qu’une puissante couche de sécurité de base protège leurs données sensibles. »



En favorisant la création des premiers contrôles granulaires natifs pour Apache Spark, RecordService contribue à enrichir Spark pour répondre aux besoins des entreprises. Avec la sécurité qui forme l’un des domaines prioritaires du développement de Spark, dans le cadre du programme « One Platform » récemment annoncé par Cloudera, RecordService est un projet critique qui permettra à Spark de progresser pour devenir le prochain moteur d’exécution par défaut d’Hadoop.



Nouvelle couche de sécurité placée entre le stockage Hadoop et les moteurs d’exécution, RecordService non seulement met en application de manière homogène les contrôles d’accès granulaires basés sur le rôle définis par Sentry, mais fournit en outre une fonction de masquage dynamique de données dans Hadoop. Celle-ci permet aux entreprises de masquer des éléments de données sensibles, offrant ainsi une protection lors des accès temps réel. Avec cette fonction de masquage dynamique de données, un nombre accru d’utilisateurs peut accéder à des données, puis les analyser, sans nécessiter de permissions d’accès. La plate-forme offre une protection avancée inédite : jamais une telle fonction de sécurité n’avait été disponible dans le passé.



Dans des secteurs réglementés, des fonctions de sécurité avancées sont essentielles pour protéger des données sensibles, sans limiter l’agilité analytique nécessaire pour dégager un avantage concurrentiel. Capital One, l’un des premiers utilisateurs de la version bêta de RecordService, a contribué activement au projet. RecordService est également développé en collaboration avec des partenaires de Cloudera, tels que Datameer et Platfora, et d’autres éditeurs Hadoop.



« RecordService va permettre à nos clients de mettre en application des permissions au niveau des lignes et colonnes, au sein de leurs clusters Hadoop étendus, multi-tenant et à usage multiple » commente Raghu Thiagarajan, senior director, Product Management chez Datameer. « Ceci permettra de stocker des données de manière plus efficace, tout en s’assurant que chaque rôle d’utilisateur accède uniquement aux données dont il a besoin. Nous avons collaboré étroitement avec Cloudera pour améliorer les options de sécurité Hadoop de nos clients et sommes fiers de nous engager auprès de la communauté open source de RecordService. »



« La sécurité est un facteur déterminant d’adoption d’Hadoop par les entreprises. Cloudera continue de mener des efforts pour qu’elle progresse et RecordService marque une étape essentielle pour la communauté open source » poursuit Denise Hemka, Director of Product Management, chez Platfora. « Nous sommes fiers de collaborer avec Cloudera autour de ce nouveau projet et de fournir à nos clients communs, dont la plupart évoluent sur des marchés hautement réglementés comme les finances, des contrôles d’accès granulaires unifiés. »



RecordService marque une réelle avancée de la sécurité Hadoop, en complétant ses fonctions existantes d’autorisation. Nouvelle couche de sécurité native pour l’écosystème Hadoop, RecordService favorise l’extension continuelle d’Hadoop dans l’entreprise, afin de l’aider à innover sans compromis.



Dans la même rubrique :