云上大数据安全：Kerberos实践与挑战

"藏经阁-云上基于Kerberos的大数据安全实践"是一篇由Intel大数据研发工程师ApacheDirectory/KerbyPMC成员李佳佳与阿里云技术专家嵩林合作撰写的论文，重点关注在云计算环境下如何通过Kerberos技术来提升Hadoop大数据的安全性。该研究背景起源于2017年一系列针对Hadoop集群的数据安全威胁，当时有大量Hadoop集群的数据暴露在公网上，这促使了对大数据安全方案的需求。 论文首先探讨了HadoopAuthenticationService（HAS）的必要性和挑战。HAS是为了解决Hadoop环境中身份验证的问题，尤其是在面临用户冒充、服务冒充等风险时。Hadoop目前主要依赖Kerberos进行身份验证，这是一种对称加密的协议，提供服务到服务和客户端到服务器的双向认证。Kerberos支持灵活的SASL质量OfProtection（QoP），允许通过命令行（如kinit和SSO）以及在不同平台（Linux/Windows、J2SE）上进行认证。 然而，Kerberos在Hadoop中的应用也存在一些问题。首先，Java缺乏完整的Kerberos库，导致Java/JRE对Kerberos的支持不够全面，缺乏完整的加密和校验选项，使得底层的GSSAPI/SASL层不易访问。其次，Kerberos的部署过程可能带来额外的成本，因为它本质上是一个复杂的系统，需要管理和配置多个组件。 HAS的设计旨在解决这些问题，提供一个更加安全且易于管理的身份验证解决方案。论文详细介绍了HAS的解决方案设计，包括针对不同用户场景的考虑和优化，以及针对现有Kerberos局限性的改进措施。尽管存在挑战，但通过HAS，作者们希望能够提升Hadoop集群在云环境下的安全性，降低黑客攻击的风险，并简化管理员的工作负担。 这篇论文深入分析了云上大数据安全的现状，强调了Kerberos在其中的关键作用，同时提出了HadoopAuthenticationService作为应对策略，以期为云计算环境下的Hadoop安全提供更为坚实的基础。这对于企业和组织在实施大数据项目时理解和优化安全措施具有重要的参考价值。"