Выкарыстанне праграмнага забеспячэння VAST Data Platform

Выкарыстанне праграмнага забеспячэння VAST Data Platform

Змест схаваць
1 Уводзіны
2 Што такое платформа дадзеных VAST
3 Сегментацыя сеткі і вузлоў
4 Лагічная арэнда
5 Аўтарызацыя і кіраванне ідэнтыфікацыяй
6 Кантроль доступу
7 ACL пратаколаў і меткі SELinux
8 Кіраванне сертыфікатамі і шыфраванне
9 Каталог і аўдыт
10 Абслугоўваная і абароненая аперацыйная сістэма
11 Бяспечная ланцужок паставак праграмнага забеспячэння
12 Заключэнне
13 Дакументы / Рэсурсы
13.1 Спасылкі

Уводзіны

У сучасным свеце, які кіруецца дадзенымі, канфідэнцыяльнасць і бяспека неструктураваных даных маюць першараднае значэнне. Функцыі шматкатэгорыйнай бяспекі (MCS) і бяспечнай арэнды прапануюць надзейную структуру для вырашэння гэтых праблем. MCS, механізм кантролю доступу ў Linux з павышанай бяспекай (SELinux), павышае канфідэнцыяльнасць даных шляхам прысваення пэўных катэгорый fileы і працэсы. Гэта гарантуе, што толькі аўтарызаваныя карыстальнікі і працэсы могуць атрымаць доступ да канфідэнцыйнай інфармацыі, забяспечваючы дадатковы ўзровень абароны для неструктураваных даных, такіх як дакументы, выявы і відэа.

Бяспечная арэнда дадаткова ўзмацняе ізаляцыю даных, ствараючы розныя асяроддзя для розных груп, аддзелаў або арганізацый у адной інфраструктуры. Такі падыход гарантуе, што даныя кожнага арандатара лагічна або фізічна падзеленыя, прадухіляючы несанкцыянаваны доступ і захоўваючы канфідэнцыяльнасць даных. Ключавыя аспекты бяспечнай арэнды ўключаюць ізаляцыю рэсурсаў, сегрэгацыю даных, сегментацыю сеткі і дэталёвы кантроль доступу.

Платформа даных VAST ілюструе гэтыя прынцыпы праз шырокі набор функцый, уключаючы VLAN tagging, кантроль доступу на аснове роляў і атрыбутаў і надзейныя механізмы шыфравання. У гэтым дакуменце даследуецца, як інтэграцыя MCS з бяспечнай арэндай у рамках платформы даных VAST забяспечвае комплекснае і бяспечнае рашэнне для кіравання неструктураванымі данымі, асабліва для арганізацый з строгімі патрабаваннямі да канфідэнцыяльнасці даных. Гэта ўвядзенне кароткае, мэтанакіраванае і змяшчае дакладнае кіраўніцтва па змесце дакумента ў адпаведнасці з лепшымі практыкамі для тэхнічнай дакументацыі.

Што такое платформа дадзеных VAST

Платформа даных VAST - гэта комплекснае рашэнне для апрацоўкі неструктураваных даных, у прыватнасці, для прыкладанняў штучнага інтэлекту і глыбокага навучання. Ён аб'ядноўвае розныя магчымасці для збору, каталогізацыі, маркіроўкі, узбагачэння і захавання даных, забяспечваючы бесперашкодны доступ да даных ад краю да воблака.

Архітэктура з дэзагрэгацыяй і агульным доступам (DASE).

Гэтая архітэктура аддзяляе вылічальную логіку ад стану сістэмы, дазваляючы незалежнае маштабаванне ёмістасці шляхам дадання вузлоў дадзеных (DNodes) і прадукцыйнасці шляхам дадання вылічальных вузлоў (CNodes). Ён аб'ядноўвае агульныя і транзакцыйныя структуры даных, каб пераадолець абмежаванні традыцыйных размеркаваных сістэм.

Падтрымліваюцца кліенты: NFS, блок паведамленняў сервера NFSoRDMA (SMB), Amazon S3 і кантэйнеры (CSI)

Што такое платформа дадзеных VAST
Серверы пратаколаў без захавання стану (CNodes)
Архітэктура з дэзагрэгацыяй і агульным доступам (DASE).

VAST DataStore

DataStore, прадстаўлены ў 2019 годзе, прызначаны для захоўвання і абслугоўвання неструктураваных даных. Ён парушае кампраміс паміж прадукцыйнасцю і ёмістасцю, што робіць яго прыдатным для карпаратыўнага захоўвання неструктураваных даных, гатовага да штучнага інтэлекту.
База даных VAST

Гэты кампанент забяспечвае транзакцыйную прадукцыйнасць базы дадзеных, аналітычную прадукцыйнасць сховішча даных, а таксама маштаб і даступнасць возера даных. Ён падтрымлівае як радковае, так і слупковае захоўванне дадзеных.
VAST DataSpace

DataSpace, запушчаны ў 2023 годзе, забяспечвае глабальны доступ да даных ад краю да воблака, ураўнаважваючы строгую ўзгодненасць з лакальнай прадукцыйнасцю. Гэта дазваляе вылічваць дадзеныя з любой публічнай, прыватнай або краявой воблачнай платформы.

Платформа аб'ядноўвае структураваныя і неструктураваныя дадзеныя, аналітыку базы дадзеных і забяспечвае глабальную прастору імёнаў. Ён падтрымлівае розныя пратаколы, такія як NFS, SMB, S3, SQL, і ўбудоўвае Apache Spark для пераўтварэння і спажывання даных з сістэм абмену паведамленнямі.

Платформа створана для забеспячэння штучнага інтэлекту і карпаратыўных прыкладанняў, забяспечваючы глыбокі аналіз даных у рэжыме рэальнага часу і магчымасці глыбокага навучання. Ён захоплівае і апрацоўвае даныя ў рэжыме рэальнага часу, дазваляючы рабіць высновы штучнага інтэлекту, узбагачаць метададзеныя і перападрыхтоўваць мадэль.

Што такое платформа дадзеных VAST

Сегментацыя сеткі і вузлоў

Платформа даных VAST уключае некалькі функцый, звязаных з эфектыўнасцю кіравання і сегментацыяй сеткі, у тым ліку функцыянальнасць групоўкі CNode, а таксама магчымасць прывязваць CNode да VLAN. Вось падрабязныя апісанні гэтых функцый разам з адпаведнымі раздзеламі з дакументацыі VAST Cluster 5.1:

Групоўка і пул CNode

Аб'яднанне сервераў (CNode): Пратаколы захоўвання абслугоўваюцца з вылічальных вузлоў (CNodes). Платформа даных VAST дазваляе згрупаваць CNodes у асобныя пулы сервераў. Кожны пул сервераў мае прызначаны набор віртуальных IP-адрасоў (VIP), якія размеркаваны па CNodes у пуле. Гэта забяспечвае механізм якасці абслугоўвання (QoS), кантралюючы колькасць сервераў, прызначаных кожнаму пулу. Калі CNode пераходзіць у аўтаномны рэжым, VIP-асобы, якія ён абслугоўваў, пераразмяркоўваюцца без перабояў паміж астатнімі CNode у пуле. Гэта забяспечвае балансаванне нагрузкі і высокую даступнасць.

  • Раздзел: Дакументацыя кластара VAST, «Кіраванне віртуальнымі IP-пуламі» [стар. 593]

VLAN Tagгінг і пераплёт

VLAN Tagging: VLAN tagging дазваляе адміністратарам кантраляваць, якія віртуальныя IP-адрасы падвяргаюцца ўздзеянню якіх VLAN у сетцы. Гэтая функцыя гарантуе ізаляцыю сеткавага трафіку паміж рознымі VLAN, прадухіляючы несанкцыянаваны доступ і ўцечку даных паміж арандатарамі. VLAN tagging наладжваецца шляхам стварэння віртуальных IP-пулаў у VLAN на платформе VAST, забяспечваючы бяспечную сегментацыю і ізаляцыю сеткі.

  • Раздзел: Дакументацыя кластара VAST, "Tagстварэнне віртуальных IP-пулаў з сеткамі VLAN” [с. 147]
  • Раздзел: Доступ да сеткі і прадастаўленне сховішча (версія 5.1) [стар. 141]

Сегментацыя сеткі

Кантроль доступу да Views і пратаколы: A VAST View - гэта шматпратакольнае прадстаўленне долі, экспарту або сегмента сеткавага сховішча. Платформа дазваляе адміністратарам кантраляваць, якія VLAN маюць доступ да пэўных Views і якія пратаколы дазволена выкарыстоўваць пры доступе да VIP у гэтых VLAN. Гэтая функцыя павышае бяспеку, гарантуючы, што толькі аўтарызаваныя сеткі VLAN могуць атрымаць доступ да пэўных даных і паслуг. Ён настроены з дапамогай View Палітыкі, якія могуць вызначаць правы доступу на аснове VLAN.

  • Раздзел: Дакументацыя кластара VAST, «Стварэнне View Палітыкі» [с. 628]

Лагічная арэнда

Платформа даных VAST прапануе некалькі функцый, звязаных з мультыарэндай, якія забяспечваюць бяспечную ізаляцыю і кіраванне арандатарамі. Вось асноўныя функцыі арэнды разам з падрабязнымі апісаннямі і адпаведнымі раздзеламі з дакументацыі VAST Cluster 5.1:

Арандатары

Апісанне: арандатары ў VAST Data Platform вызначаюць ізаляваныя шляхі перадачы дадзеных і могуць мець уласныя крыніцы аўтэнтыфікацыі, такія як Active Directory (AD), LDAP або NIS. Кожны арандатар таксама можа кіраваць уласнымі ключамі шыфравання, гарантуючы, што даныя застаюцца надзейна ізаляванымі ад іншых арандатараў. Гэта асаблівасць мае вырашальнае значэнне для асяроддзя з некалькімі арэндамі, дзе розныя арганізацыі або аддзелы павінны падтрымліваць строгі падзел даных.

  • Раздзел: Арандатары (v5.1) [с. 251]

View Палітыкі

Апісанне: View Палітыкі вызначаюць дазволы доступу, пратаколы і параметры бяспекі для Views прызначаны арандатарам. Гэтыя палітыкі дазваляюць адміністратарам кантраляваць, хто можа атрымліваць доступ да дадзеных, якія дзеянні яны могуць выконваць і якія пратаколы яны могуць выкарыстоўваць. Гэты дэталёвы кантроль неабходны для падтрымання бяспекі і адпаведнасці ў асяроддзі з некалькімі арэндамі.

  • Раздзел: Кіраванне Viewз і View Палітыкі (версія 5.1) [стар. 260]

Ізаляцыя VLAN

Апісанне: сеткі VLAN могуць быць прывязаны да канкрэтнага арандатара для далейшай ізаляцыі трафіку паміж арандатарамі, прадухілення перакрыжаванай маршрутызацыі або шырокавяшчальнага трафіку праз мяжу L2.

  • Раздзел: Tagстварэнне віртуальных IP-пулаў з VLAN [стар. 147]

Якасць абслугоўвання (QoS)

Апісанне: Палітыкі QoS забяспечваюць дэталёвы кантроль прадукцыйнасці прапускной здольнасці і IOP (аперацыі ўводу/вываду ў секунду) для Views прызначаны арандатарам. Гэтыя палітыкі забяспечваюць прадказальную прадукцыйнасць і прадухіляюць праблемы канкурэнцыі за рэсурсы, што асабліва важна ў асяроддзі з некалькімі арандатарамі, дзе розныя арандатары могуць мець розныя патрабаванні да прадукцыйнасці. У дадатак да максімальных парогавых значэнняў QoS, якія дапамагаюць прадухіліць знясіленне прадукцыйнасці, таксама даступныя мінімальныя парогавыя значэнні QoS, якія дапамагаюць прадухіліць праблему шумных суседзяў пры мультыарэндзе.

  • Раздзел: Якасць абслугоўвання (v5.1) [стар. 323]

Квоты

Апісанне: Квоты дазваляюць адміністратарам усталёўваць абмежаванні ёмістасці Views і каталогі для ізаляцыі арандатараў. Гэта функцыя гарантуе, што ні адзін арандатар не можа спажываць больш, чым выдзеленая ім доля рэсурсаў, дапамагаючы прадухіліць нечаканае вычарпанне рэсурсаў ёмістасці сістэмы.

  • Раздзел: Кіраванне квотамі (v5.1) [с. 314]

Аўтарызацыя і кіраванне ідэнтыфікацыяй

Арандатар і кіраванне ідэнтыфікацыяй

Апісанне: арандатары ў VAST Data Platform вызначаюць ізаляваныя шляхі перадачы дадзеных і могуць мець уласныя крыніцы аўтэнтыфікацыі, такія як Active Directory (AD), LDAP або NIS. Платформа падтрымлівае да васьмі унікальных правайдэраў ідэнтыфікацыі, якія можна наладзіць для выкарыстання на ўзроўні арандатара.

  • Раздзел: Арандатары (v5.1) [с. 251]

Views

Апісанне: Views - гэта шматпратакольныя долі, экспарты або пакеты, якія належаць пэўным арандатарам. Яны забяспечваюць бяспечны ізаляваны доступ да даных, гарантуючы, што кожны арандатар можа атрымаць доступ толькі да сваіх уласных даных. Views можна наладзіць з пэўнымі правамі доступу і пратаколамі, што робіць іх універсальнымі для розных выпадкаў выкарыстання.

  • Раздзел: Кіраванне Viewз і View Палітыкі (версія 5.1) [стар. 260]

View Палітыкі

Апісанне: View Палітыкі вызначаюць дазволы доступу, пратаколы і параметры бяспекі для views прызначаны арандатарам. Гэтыя палітыкі дазваляюць адміністратарам кантраляваць, хто можа атрымліваць доступ да дадзеных, якія дзеянні яны могуць выконваць і якія пратаколы яны могуць выкарыстоўваць. Гэты дэталёвы кантроль неабходны для падтрымання бяспекі і адпаведнасці ў асяроддзі з некалькімі арэндамі.

  • Раздзел: Кіраванне Viewз і View Палітыкі (версія 5.1) [стар. 260]

Кантроль доступу

Платформа даных VAST прапануе поўны набор функцый для аўтарызацыі і кіравання ідэнтыфікацыяй. Вось падрабязныя апісанні кожнай функцыі разам з адпаведнымі раздзеламі і нумарамі старонак з дакументацыі VAST Cluster 5.1:

Кантроль доступу

Кантроль доступу на аснове роляў (RBAC)

Апісанне: Кластар VAST выкарыстоўвае сістэму кантролю доступу на аснове роляў (RBAC) для кіравання доступам да сістэмы кіравання VAST (VMS). RBAC дазваляе адміністратарам вызначаць ролі з пэўнымі дазволамі і прызначаць гэтыя ролі карыстальнікам. Гэта гарантуе, што карыстальнікі маюць доступ толькі да рэсурсаў і дзеянняў, неабходных для іх роляў, павышаючы бяспеку і спрашчаючы кіраванне.

  • Раздзел: Аўтарызацыя доступу і дазволаў VMS [стар. 82]

Кантроль доступу на аснове атрыбутаў (ABAC)

Апісанне: Кантроль доступу на аснове атрыбутаў (ABAC) падтрымліваецца на viewдоступ праз NFSv4.1 з аўтэнтыфікацыяй Kerberos або праз SMB з аўтэнтыфікацыяй Kerberos або NTLM. ABAC дазваляе атрымаць доступ да a view калі ўліковы запіс карыстальніка ў Active Directory мае звязаны атрыбут ABAC, які адпавядае ABAC tag прызначаны ст view. Гэта забяспечвае дэталёвы кантроль доступу на аснове атрыбутаў карыстальніка.

  • Раздзел: Кіраванне доступам на аснове атрыбутаў (ABAC) [стар. 269] Кантроль доступу

Аўтэнтыфікацыя адзінага ўваходу (SSO).

Апісанне: VAST VMS падтрымлівае аўтэнтыфікацыю адзінага ўваходу (SSO) з выкарыстаннем пастаўшчыкоў ідэнтыфікацыйных дадзеных (IdP) на аснове SAML. Гэта дазваляе менеджэрам VMS уваходзіць у VAST Cluster, выкарыстоўваючы свае ўліковыя даныя ад IdP, напрыклад Okta, які можа дадаткова забяспечваць магчымасці шматфактарнай аўтэнтыфікацыі (MFA). SSO спрашчае працэс уваходу і павышае бяспеку шляхам цэнтралізацыі аўтэнтыфікацыі.

  • Раздзел: Налада аўтэнтыфікацыі SSO у VMS [с. 90]

Інтэграцыя Active Directory

Апісанне: VAST Cluster падтрымлівае інтэграцыю з Active Directory (AD) як для VMS, так і для аўтэнтыфікацыі і аўтарызацыі карыстальнікаў па пратаколе даных. Гэта дазваляе арганізацыям выкарыстоўваць існуючую інфраструктуру AD для кіравання доступам карыстальнікаў да рэсурсаў VAST Cluster. Інтэграцыя AD падтрымлівае такія функцыі, як гісторыя SID для груп і карыстальнікаў, забяспечваючы бясшвоўнае кіраванне доступам.

  • Раздзел: Падключэнне да Active Directory (v5.1) [стар. 347]

Інтэграцыя LDAP

Апісанне: Платформа падтрымлівае інтэграцыю з серверамі LDAP для аўтэнтыфікацыі і аўтарызацыі карыстальнікаў VMS і пратаколу перадачы дадзеных. Гэта дазваляе арганізацыям выкарыстоўваць свае існуючыя каталогі LDAP для кіравання доступам да рэсурсаў VAST Cluster, забяспечваючы гнуткае і маштабаванае рашэнне аўтэнтыфікацыі.

  • Раздзел: Падключэнне да сервера LDAP (v5.1) [стар. 342]

Інтэграцыя NIS

Апісанне: VAST Cluster падтрымлівае інтэграцыю з сеткавай інфармацыйнай службай (NIS) для аўтэнтыфікацыі карыстальніка па пратаколе даных. Гэтая функцыя карысная для асяроддзяў, якія абапіраюцца на NIS для кіравання інфармацыяй карыстальніка і кантролю доступу.

  • Раздзел: Падключэнне да NIS (v5.1) [стар. 358]

Лакальныя карыстальнікі і групы

Апісанне: адміністратары могуць кіраваць лакальнымі карыстальнікамі і групамі непасрэдна ў кластары VAST. Гэта ўключае ў сябе стварэнне, змяненне і выдаленне лакальных уліковых запісаў карыстальнікаў і груп, а таксама прызначэнне дазволаў і роляў гэтым уліковым запісам.

  • Раздзел: Кіраванне лакальнымі карыстальнікамі (v5.1) [стар. 335]
  • Раздзел: Кіраванне лакальнымі групамі (v5.1) [стар. 337] Кантроль доступу

ACL пратаколаў і меткі SELinux

Платформа даных VAST падтрымлівае розныя пратаколы ACL і функцыі цэтлікаў SELinux, забяспечваючы надзейны кантроль доступу і бяспеку. Вось падрабязныя апісанні кожнай функцыі разам з адпаведнымі раздзеламі і нумарамі старонак з дакументацыі VAST Cluster 5.1:

Спісы кантролю доступу POSIX (ACL)

Апісанне: сістэмы VAST падтрымліваюць спісы ACL POSIX, што дазваляе адміністратарам вызначаць падрабязныя дазволы для files і папкі за межамі простай мадэлі Unix/Linux. POSIX ACL дазваляюць прызначаць дазволы некалькім карыстальнікам і групам, забяспечваючы гнуткі і дэталёвы кантроль доступу.

  • Раздзел: NFS File Пратакол сумеснага выкарыстання (v5.1) [стар. 154]

Спісы ACL NFSv4

Апісанне: NFSv4 - гэта пратакол з захаваннем стану з бяспечнай аўтэнтыфікацыяй праз Kerberos, які падтрымлівае падрабязныя ACL. Гэтыя спісы кантролю доступу падобныя па дэталізацыі на тыя, што даступныя ў SMB і NTFS, што забяспечвае надзейны кантроль доступу. NFSv4 ACL можна кіраваць з дапамогай стандартных інструментаў Linux праз пратакол NFS.

  • Раздзел: NFS File Пратакол сумеснага выкарыстання (v5.1) [стар. 154]

ACL для SMB

Апісанне: ACL для SMB кіруюцца такім жа чынам, што і агульныя доступы Windows, што дазваляе карыстальнікам усталёўваць падрабязныя спісы ACL для Windows з дапамогай сцэнарыяў PowerShell і Windows File Правадыр праз SMB. Гэтыя спісы ACL, у тым ліку забараніць запісы ў спісе, могуць прымяняцца да карыстальнікаў, якія адначасова атрымліваюць доступ праз пратаколы SMB і NFS.

  • Раздзел: SMB File Пратакол сумеснага выкарыстання ў кластары VAST (v5.1) [стар. 171]

Палітыкі ідэнтыфікацыі S3

Апісанне: S3 Native Security Flavor дазваляе выкарыстоўваць палітыку ідэнтыфікацыі S3 для кантролю доступу і магчымасці ўсталёўваць і змяняць ACL у адпаведнасці з правіламі S3. Гэтая функцыя забяспечвае дэталёвы кантроль доступу да вёдраў і аб'ектаў S3.

  • Раздзел: Пратакол захоўвання аб'ектаў S3 (версія 5.1) [стар. 182]

Шматпратакольныя ACL

Апісанне: VAST падтрымлівае шматпратакольныя ACL, забяспечваючы ўніфікаваную мадэль дазволу для доступу да даных па розных пратаколах. Гэта забяспечвае паслядоўны кантроль доступу і бяспеку незалежна ад пратаколу, які выкарыстоўваецца для доступу да даных.

  • Раздзел: Шматпратакольны доступ (v5.1) [стар. 151]

Асаблівасці этыкеткі SELinux

1. Пазнакі бяспекі NFSv4.2

Апісанне: VAST Cluster 5.1 падтрымлівае маркіроўку NFSv4.2 у абмежаваным рэжыме сервера. У гэтым рэжыме кластар VAST можа захоўваць і вяртаць меткі бяспекі files і каталогі на NFS views арандатараў з падтрымкай NFSv4.2, але кластар не забяспечвае прыняцце рашэнняў аб доступе на аснове метак. Прызначэнне метак і праверка выконваюцца кліентамі NFSv4.2.

  • Раздзел: Меткі бяспекі NFSv4.2 (v5.1) [стар. 169]

Кіраванне сертыфікатамі і шыфраванне

Платформа даных VAST прапануе шырокі набор функцый для шыфравання і кіравання сертыфікатамі. Вось падрабязныя апісанні кожнай функцыі разам з адпаведнымі раздзеламі і нумарамі старонак з дакументацыі VAST Cluster 5.1:

Шыфраванне даных у стане спакою

Апісанне: Платформа даных VAST падтрымлівае шыфраванне даных у стане спакою з дапамогай знешніх рашэнняў для кіравання ключамі. Гэтая функцыя гарантуе, што даныя, якія захоўваюцца на платформе, надзейна зашыфраваны ключамі, якія захоўваюцца па-за межамі VAST Cluster, абараняючы даныя ад несанкцыянаванага доступу. Платформа падтрымлівае Thales CipherTrust Data Security Platform і Fornetix Vault Core для кіравання знешнімі ключамі. Кожны кластар мае унікальны галоўны ключ, і шыфраванне можа быць уключана падчас першапачатковай налады кластара.

  • Раздзел: Шыфраванне даных (v5.1) [стар. 128]

Праверка FIPS 140-3 Узровень 1

Платформа даных VAST убудоўвае крыптаграфічны модуль OpenSSL 1.1.1, які мае праверку FIPS 140-3 Узровень 1. Нумар сертыфіката для гэтай праверкі - #4675. Усё шыфраванне даных у палёце і ў стане спакою звязана з правераным FIPS крыптаграфічным модулем OpenSSL 1.1.1. Платформа выкарыстоўвае TLS 1.3 для бяспечнай перадачы даных і 256-бітнае шыфраванне AES-XTS для даных у стане спакою, што забяспечвае надзейную бяспеку і адпаведнасць галіновым стандартам. Павышэнне бяспекі даных і кіравання імі з дапамогай шматкатэгорыйнай бяспекі і бяспечнай арэнды 14

  • Крыніца: Праграма праверкі крыптаграфічнага модуля (CMVP)

Кіраванне сертыфікатамі TLS

Апісанне: платформа падтрымлівае ўстаноўку і кіраванне сертыфікатамі TLS для забеспячэння бяспекі сувязі
з сістэмай кіравання VAST (VMS). Адміністратары могуць усталяваць сертыфікаты TLS, каб забяспечыць перадачу даных
паміж кліентамі і VMS зашыфраваны і бяспечны.

• Раздзел: Усталяванне сертыфіката SSL для VMS (v5.1) [стар. 78]

Аўтэнтыфікацыя mTLS для кліентаў VMS

Апісанне: платформа падтрымлівае ўзаемную аўтэнтыфікацыю TLS (mTLS) для кліентаў VMS GUI і API. Калі mTLS уключаны, VMS патрабуе, каб кліент прадставіў сертыфікат, падпісаны пэўным цэнтрам сертыфікацыі. Гэта дадае ўзровень узаемнай аўтэнтыфікацыі, пры якім кліент і сервер аўтэнтыфікуюць адзін аднаго, забяспечваючы дадатковы ўзровень бяспекі для сувязі з VMS для дадатковай падтрымкі карт PIV/CAC.

  • Раздзел: Уключэнне аўтэнтыфікацыі mTLS для кліентаў VMS (v5.1) [стар. 78]

Бяспека сувязі Active Directory

Платформа даных VAST забяспечвае надзейныя меры бяспекі для аўтэнтыфікацыі Active Directory (AD), дазваляючы адміністратарам адключаць пратаколы NTLM v1 і v2. NTLM (NT LAN Manager) - гэта больш стары пратакол аўтэнтыфікацыі, які мае вядомыя ўразлівасці, што робіць яго менш бяспечным у параўнанні з больш сучаснымі пратаколамі, такімі як Kerberos.

  • Раздзел: Падключэнне да Active Directory (v5.1) [стар. 347]

Забеспячэнне доступу S3

Платформа даных VAST павышае бяспеку доступу да S3, дазваляючы адключыць подпіс Signature Version 2 (SigV2), гарантуючы, што ўсе ўзаемадзеянні S3 ажыццяўляюцца з выкарыстаннем больш бяспечнай Signature Version 4 (SigV4). Акрамя таго, платформа забяспечвае выкарыстанне TLS 1.3 для сувязі S3, выкарыстоўваючы правераныя шыфры FIPS 140-3.

  • Раздзел: Пратакол захоўвання аб'ектаў S3 (версія 5.1) [стар. 182]

Crypto Erase

Апісанне: Crypto erase - гэта метад выдалення даных арандатара з сістэмы VAST. Гэта робіцца шляхам адклікання або выдалення ключоў арандатара з дапамогай сістэмы VAST або External Key Manager. Сістэма VAST ачысціць ключы шыфравання даных (DEK) і ключы шыфравання ключоў (KEK) з сістэмнай аператыўнай памяці, тым самым неадкладна выдаліўшы доступ да ўсіх даных, запісаных з дапамогай гэтых ключоў. Затым сістэма VAST можа сцерці зашыфраваныя даныя. Гэтая функцыя забяспечвае спосаб бяспечнага выдалення даных у выпадку ўцечкі даных або калі арандатар пакідае платформу.

Раздзел: Шыфраванне даных (v5.1) [стар. 128]

Каталог і аўдыт

Платформа даных VAST прапануе поўны набор функцый для аўдыту і каталагізацыі, забяспечваючы надзейнае кіраванне дадзенымі і адпаведнасць патрабаванням. Вось падрабязныя апісанні кожнай функцыі разам з адпаведнымі раздзеламі і нумарамі старонак з дакументацыі VAST Cluster 5.1:

Аўдыт пратаколаў

Апісанне: Аўдыт пратакола ў VAST Data Platform рэгіструе аперацыі, якія ствараюць, выдаляюць або змяняюць files, каталогі, аб'екты і метададзеныя. Ён таксама рэгіструе аперацыі чытання і дзеянні сеанса. Гэтая функцыя дапамагае адсочваць дзеянні карыстальнікаў і забяспечваць адпаведнасць палітыкам бяспекі. Адміністратары могуць наладжваць глабальныя параметры аўдыту і view часопісы аўдыту праз VAST Web Карыстацкі інтэрфейс або CLI.

  • Раздзел: Аўдыт пратакола завершаныview [стар. 243]
  • Раздзел: Налада глабальных параметраў аўдыту [с. 243]
  • Раздзел: Настройка аўдыту з View Палітыкі [с. 245]
  • Раздзел: Пратаколныя аперацыі з аўдытам [с. 245]
  • Раздзел: Viewзапіс журналаў аўдыту пратаколаў [с. 248]

Захоўванне журналаў аўдыту пратаколаў у табліцах базы даных VAST

Апісанне: Платформа даных VAST дазваляе канфігураваць VMS для захоўвання журналаў аўдыту пратаколаў у табліцы базы даных VAST. Запісы часопіса захоўваюцца ў выглядзе запісаў JSON, якія могуць быць viewрэд непасрэдна з ВАС Web Карыстацкі інтэрфейс на старонцы часопіса аўдыту VAST. Гэтая функцыя пашырае магчымасць дэталёвага аўдыту і аналізу дзеянняў карыстальнікаў. Раздзел: Захоўванне журналаў аўдыту пратаколаў у табліцах базы даных VAST [стар. 25]

Каталог VAST

Апісанне: Каталог VAST - гэта ўбудаваны індэкс метададзеных, які дазваляе карыстальнікам хутка шукаць і знаходзіць даныя. Гэта лечыць file сістэма, падобная на базу дадзеных, што дазваляе праграмам AI і ML наступнага пакалення выкарыстоўваць яе ў якасці самарэферэнтнага сховішча функцый. Каталог падтрымлівае запыты ў стылі SQL і забяспечвае інтуітыўна зразумелы WebКарыстацкі інтэрфейс, багаты CLI і API для ўзаемадзеяння.

  • Раздзел: Каталог VAST скончаныview [стар. 489]
  • Раздзел: Наладжванне каталога VAST [с. 491]
  • Раздзел: Запыт каталога VAST з VAST Web карыстацкі інтэрфейс [с. 492]
  • Раздзел: Прадастаўленне кліенту доступу да VAST Catalog CLI [стар. 493] Каталог і аўдыт

База даных VAST

Апісанне: база дадзеных VAST пашырае магчымасці каталога VAST, захоўваючы больш складаны кантэнт у поўнафункцыянальнай базе дадзеных. Ён падтрымлівае высакахуткасныя і масіўныя запыты даных, захоўваючы даныя ў эфектыўным слупковым фармаце, падобным да Apache Parquet. База даных прызначана для дэталёвых запытаў у рэжыме рэальнага часу да велізарных запасаў таблічных даных і каталагізаваных метададзеных.

  • Раздзел: База даных VAST скончанаview [стар. 495]
  • Раздзел: Настройка кластара VAST для доступу да базы дадзеных [с. 499]
  • Раздзел: Кароткае кіраўніцтва па CLI базы дадзеных VAST [стар. 494]

Палі запісу часопіса аўдыту

Апісанне: палі запісаў журнала аўдыту даюць падрабязную інфармацыю аб кожнай зарэгістраванай падзеі, уключаючы тып аперацыі, звесткі пра карыстальніка, часamps, і закранутыя рэсурсы. Гэтая дэталёвая рэгістрацыя мае вырашальнае значэнне для адпаведнасці і судова-медыцынскага аналізу.

  • Раздзел: Палі запісаў журнала аўдыту [с. 250]

ViewЖурналы аўдыту пратаколаў

Апісанне: Адміністратары могуць view часопісы аўдыту пратаколаў праз VAST Web Карыстацкі інтэрфейс або CLI. Журналы даюць інфармацыю аб дзеяннях карыстальнікаў і сістэмных аперацыях, дапамагаючы забяспечыць адпаведнасць і выяўляць любыя несанкцыянаваныя дзеянні.

  • Раздзел: Viewзапіс журналаў аўдыту пратаколаў [с. 248]

Абслугоўваная і абароненая аперацыйная сістэма

Платформа дадзеных VAST выкарыстоўвае комплексны падыход да бяспекі сваёй аперацыйнай сістэмы, забяспечваючы надзейнасць
абарона і адпаведнасць галіновым стандартам. Вось ключавыя аспекты аперацыйнай сістэмы і рэалізаваныя меры бяспекі:

Аперацыйная сістэма, якая падтрымліваецца

Апісанне: Платформа даных VAST выкарыстоўвае аперацыйную сістэму, якая падтрымліваецца CIQ, у прыватнасці Enterprise Rocky 8, якая з'яўляецца бінарна-сумяшчальным вобразам аперацыйнай сістэмы RHEL. Mountain Platform ад CIQ забяспечвае бяспечнае, аўтарытэтнае і высокамаштабуемае рашэнне для дастаўкі вобразаў, пакетаў і кантэйнераў, даступнае як у публічным воблаку, так і на месцы.

Рэгулярныя выпраўлення і кіраванне ўразлівасцямі

Апісанне: VAST забяспечвае рэгулярныя выпраўленні і абнаўленне аперацыйнай сістэмы шляхам атрымання інфармацыі аб апошніх уразлівасцях бяспекі, прымянення неабходных выпраўленняў і своечасовага ўкаранення адпаведных мер па змякчэнні наступстваў. Гэты актыўны падыход дапамагае падтрымліваць бяспеку аперацыйнай сістэмы.

Пастаянны маніторынг

Апісанне: метады бесперапыннага маніторынгу ўкараняюцца для падтрымання бяспекі аперацыйнай сістэмы. Гэта ўключае ў сябе рэгулярныя ацэнкі, аўдыты і паўторныяviewз элементаў кіравання бяспекай сістэмы і канфігурацый, а таксама ўключыць рэгістрацыю падазроных дзеянняў і магчымых інцыдэнтаў бяспекі.

Адпаведнасць DISA STIG

Апісанне: Платформа даных VAST падтрымлівае DISA STIG (Кіраўніцтва па тэхнічнай рэалізацыі бяспекі) для RedHat Linux 8, MAC 1 Profile – Крытычна важная інфармацыя. Гэта адпаведнасць гарантуе, што аперацыйная сістэма адпавядае строгім стандартам бяспекі, якія патрабуюць кліенты ў рэгуляваных умовах.

Кіраванне канфігурацыяй

Апісанне: платформа падтрымлівае базавую канфігурацыю для сістэм RHEL 8, уключаючы налады сістэмных кампанентаў, file дазволы і ўстаноўка праграмнага забеспячэння. Ён таксама рэалізуе працэсы кіравання зменамі для адсочвання, паўторнаviewі зацвярджаць змены ў канфігурацыі сістэмы, гарантуючы, што сістэмы прытрымліваюцца бяспечнай і стандартызаванай канфігурацыі.

Найменшая функцыянальнасць

Апісанне: прынцып найменшай функцыянальнасці падкрэсліваецца рэкамендацыяй выдалення або адключэння непатрэбнага праграмнага забеспячэння, службаў і сістэмных кампанентаў. Гэта зніжае патэнцыйную ўразлівасць і вектары атак.

Цэласнасць сістэмы і інфармацыі

Апісанне: функцыі шыфравання і кіравання ключамі платформы, а таксама яе інтэграцыя з сістэмамі SIEM дапамагаюць забяспечыць цэласнасць даных і інфармацыі. Гэта ўключае ў сябе рэгулярныя ацэнкі бяспекі, тэставанне на пранікненне і кіраванне ўразлівасцямі для забеспячэння актуальных патчаў бяспекі, канфігурацый і лепшых практык.

Бяспечная ланцужок паставак праграмнага забеспячэння

Забеспячэнне бяспечнай ланцужкі паставак праграмнага забеспячэння мае вырашальнае значэнне для захавання такіх правілаў, як Закон аб гандлёвых пагадненнях (TAA), Федэральныя правілы закупак (FAR) і стандарты ISO. Платформа дадзеных VAST рэалізуе комплексныя меры для забеспячэння бяспекі ланцужка паставак праграмнага забеспячэння, гарантуючы, што праграмнае забеспячэнне распрацавана правільна і адпавядае строгім патрабаванням бяспекі.

Бяспечная структура распрацоўкі праграмнага забеспячэння (SSDF)

Платформа дадзеных VAST прымае NIST Secure Software Development Framework (SSDF), якая дае рэкамендацыі па бяспечнай распрацоўцы праграмнага забеспячэння. Гэтая структура дапамагае абараніць ланцужкі паставак праграмнага забеспячэння ад рызык, апісваючы практыкі бяспечнага кадавання, кіравання ўразлівасцямі і пастаяннага маніторынгу.

Аналіз складу праграмнага забеспячэння (SCA)

Такія інструменты, як GitLab, выкарыстоўваюцца для статычнага тэсціравання бяспекі прыкладанняў (SAST) і дынамічнага тэсціравання бяспекі прыкладанняў (DAST) для аналізу прапрыетарнага кода і кода з адкрытым зыходным кодам на наяўнасць уразлівасцей. Гэта вельмі важна для выяўлення недахопаў бяспекі перад разгортваннем.

Пералік матэрыялаў праграмнага забеспячэння (SBOM)

Платформа стварае і кіруе SBOM для адсочвання кампанентаў, якія выкарыстоўваюцца ў распрацоўцы праграмнага забеспячэння. GitLab і Artifactory выкарыстоўваюцца ў працэсе распрацоўкі для павышэння празрыстасці і адпаведнасці распараджэнню 14028.

Канвеер бесперапыннай інтэграцыі і бесперапыннага разгортвання (CI/CD).

Канвеер CI/CD уключае тэставанне бяспекі, код reviewі праверкі адпаведнасці. Канвеер размешчаны на амерыканскай воблачнай платформе ў адпаведнасці з патрабаваннямі TAA/FAR, гарантуючы, што ўсе аперацыі выконваюцца ў ЗША і кіруюцца амерыканскімі арганізацыямі.

Подпіс кантэйнера і пакета

Лічбавае падпісанне кантэйнераў і пакетаў рэалізавана для забеспячэння цэласнасці і сапраўднасці. Docker Content Trust і падпісанне RPM - рэкамендаваныя практыкі для забеспячэння бяспекі кантэйнерных прыкладанняў і распаўсюджвання пакетаў.

Сканіраванне ўразлівасцяў і адпаведнасці

Такія інструменты, як Tenable і Qualys, выкарыстоўваюцца для сканавання аперацыйных сістэм і пакетаў зборкі, а таксама для выяўлення вірусаў і шкоднасных праграм. Гэтыя інструменты ўключаны ў канвеер для выяўлення і змякчэння магчымых пагроз у праграмным асяроддзі.

Кіраванне староннім праграмным забеспячэннем

Усё праграмнае забеспячэнне іншых вытворцаў, з адкрытым зыходным кодам або прапрыетарнае, пастаўляецца ў ЗША ў адпаведнасці з правіламі TAA/FAR. Гэта праграмнае забеспячэнне ўключана ў працэсы сканавання SAST і DAST для забеспячэння бяспекі.

Дакументацыя і аўдыт

Вядзецца поўная дакументацыя па ўсім працэсе ад рэгістрацыі кода да загрузкі пакета, які выкарыстоўваецца кліентамі. Гэтая дакументацыя даступная ў адпаведнасці з NDA для аўдыту і праверкі кліентамі, як таго патрабуе кіраўніцтва.

Кіраванне супрацоўнікамі і актывамі

Гэтым працэсам кіруюць супрацоўнікі юрыдычнай асобы ЗША (Vast Federal), і ўсе актывы, якія выкарыстоўваюцца ў працэсе распрацоўкі і разгортвання праграмнага забеспячэння, належаць гэтай арганізацыі. Гэта адпаведнасць мае вырашальнае значэнне для выканання федэральных правілаў набыцця.

Бяспечнае асяроддзе распрацоўкі

Праграмнае забеспячэнне распрацоўваецца і ствараецца ў бяспечным асяроддзі з такімі мерамі, як шматфактарная аўтэнтыфікацыя, умоўны доступ і шыфраванне канфідэнцыйных даных. Рэгулярная рэгістрацыя, маніторынг і аўдыт даверных адносін выконваюцца.

Надзейныя ланцужкі паставак зыходнага кода

Аўтаматызаваныя інструменты або супастаўныя працэсы выкарыстоўваюцца для праверкі бяспекі ўнутранага кода і кампанентаў іншых вытворцаў, эфектыўнага кіравання звязанымі ўразлівасцямі.

Праверка ўразлівасці бяспекі

Перад выпускам праводзяцца пастаянныя праверкі на ўразлівасціasinновыя прадукты, версіі або абнаўленні. Для ацэнкі і своечасовага ліквідацыі выяўленых уразлівасцей праграмнага забеспячэння падтрымліваецца праграма выяўлення ўразлівасцей.

Заключэнне

Інтэграцыя Multi-Category Security (MCS) з функцыямі бяспечнай арэнды забяспечвае надзейную структуру для павышэння канфідэнцыяльнасці і бяспекі неструктураваных даных. Выкарыстоўваючы MCS, арганізацыі могуць прызначаць пэўныя катэгорыі files, гарантуючы, што толькі аўтарызаваныя працэсы і карыстальнікі могуць атрымаць доступ да канфідэнцыйнай інфармацыі. Гэты дадатковы ўзровень бяспекі мае вырашальнае значэнне для абароны неструктураваных даных, такіх як дакументы, выявы і відэа.

Бяспечная арэнда дадаткова ўзмацняе ізаляцыю даных, ствараючы розныя асяроддзя для розных груп, аддзелаў або арганізацый у адной інфраструктуры. Такія ключавыя аспекты, як ізаляцыя рэсурсаў, сегрэгацыя даных, сегментацыя сеткі і дэталёвы кантроль доступу, гарантуюць, што даныя кожнага арандатара застаюцца прыватнымі і бяспечнымі. Платформа даных VAST ілюструе гэтыя прынцыпы праз шырокі набор функцый, уключаючы VLAN tagging, кантроль доступу на аснове роляў і атрыбутаў і надзейныя механізмы шыфравання.

Падводзячы вынік, платформа дадзеных VAST з інтэграцыяй MCS і бяспечнай арэндай забяспечвае комплекснае і бяспечнае рашэнне для кіравання неструктураванымі данымі. Такі падыход важны для арганізацый з строгімі патрабаваннямі да канфідэнцыяльнасці даных, такіх як дзяржаўныя ўстановы, фінансавыя ўстановы і пастаўшчыкі медыцынскіх паслуг. Укараняючы гэтыя пашыраныя меры бяспекі, арганізацыі могуць з упэўненасцю абараніць свае канфідэнцыяльныя даныя, адначасова забяспечваючы эфектыўнае і маштабаванае кіраванне дадзенымі. Гэта заключэнне захоўвае ключавыя моманты, забяспечваючы пры гэтым яснасць і лаканічнасць.

Заключэнне

 

Сімвал Каб атрымаць дадатковую інфармацыю аб платформе даных VAST і аб тым, як яна можа дапамагчы вам вырашыць праблемы з прылажэннем, звярніцеся да нас па адрасе прывітанне@vastdata.com.

Лагатып

Дакументы / Рэсурсы

Праграмнае забеспячэнне платформы дадзеных VAST [pdfКіраўніцтва карыстальніка
Праграмнае забеспячэнне платформы дадзеных, праграмнае забеспячэнне платформы, праграмнае забеспячэнне
Праграмнае забеспячэнне платформы дадзеных VAST [pdfКіраўніцтва карыстальніка
Праграмнае забеспячэнне платформы дадзеных, праграмнае забеспячэнне платформы, праграмнае забеспячэнне

Спасылкі

Пакінуць каментар

Ваш электронны адрас не будзе апублікаваны. Абавязковыя для запаўнення палі пазначаны *