2020年1月，時間跨度長達14年的，微軟2.5億條客戶服務和支持記錄在網上泄露；

同年4月，微盟發生史上最貴“刪庫跑路”事件，造成微盟市值一夜之間縮水約24億港幣；

今年7月，網信辦依據《數據安全法》等法律法規，對滴滴公司開出人民幣80.26億元的巨額罰款，對互聯網企業敲響數據安全警鐘。

數據作為互聯網的重磅資源，當今重要的“生產要素”及核心競爭力，已經獲得了立法上的認可。隨著2021年9月1日，中國第一部有關數據安全的法律《數據安全法》正式施行，我國的數據安全制度已經進入了一個新階段。

不同於網路安全側重於通過保障計算環境的安全，從而最終保障計算對象的安全。數據安全是以“數據為中心”，主要側重於數據全生命周期的安全和合規性，以此來保護數據的安全。而企業數據資產作為未來企業發展的基座，在數據採集、存儲、處理的一系列流程中，無疑面臨著巨大的安全風險挑戰。

如何更好地保障數據安全，成為壓在每個企業肩頭沉甸甸的擔子。

一站式大數據安全管理

作為全鏈路數字化技術與服務提供商，袋鼠雲在數據安全方面有過多年的探索和實踐。近日，袋鼠雲依托其實踐，在旗下產品大數據基礎平臺EasyMR上新增了一站式大數據應用安全防控以及數據許可權管控能力。

EasyMR是袋鼠雲今年7月最新推出的自研大數據基礎平臺，該產品集成了服務管控應用ChengYing和內部孵化大數據生態，提供Hadoop、Hive、Spark、Trino、HBase、Kafka等組件的自動化安裝、中心化管理與集群監控告警功能，完全相容Apache開源生態。是一款具備標準的服務部署、服務監控、服務管理等功能的產品。

此次，EasyMR通過集成第三方的安全管控服務Kerberos、Ldap和Ranger分別對大數據集群進行用戶安全認證、訪問用戶管理以及用戶數據許可權管控。

藉助EasyMR的部署和管理能力，以界面化方式部署大數據集群安全管控服務。大數據集群使用者無需關註安全服務部署邏輯以及應用內部工作邏輯，只需要在EasyMR界面查看具體開啟進度以及開啟結果狀態。

通過EasyMR部署大數據集群管控服務，運維人員可以直觀地在EasyMR界面對安全管控服務進行管理和運維，包括服務的啟停、狀態監控等。

EasyMR安全管控能力

相比與其他廠商的大數據集群安全管理，EasyMR可以做到一鍵部署安全管控服務，一鍵開啟大數據集群組件的安全認證、用戶管理以及許可權管控服務。下麵來具體聊聊EasyMR的安全管控能力。

操作便捷

藉助EasyMR的管理能力，在部署安全管控服務之後，僅需要在對應的服務頁面點擊開啟安全按鈕，即可開啟對應服務的安全。如圖：

例如：需要對Zookeeper開啟Kerberos，則只需要跳轉到Zookeeper所在服務頁面，點擊開啟按鈕，等待開啟完成。應用開啟安全的內部具體實現流程如下：

EasyMR功能豐富，其中連接KDC進行服務票據的生成和服務票據的分發是通過EasyMR的腳本管理能力完成；配置變更和配置下發到各個主機則是憑藉EasyMR的配置管理能力，在後臺對開啟安全服務配置進行新增和修改；而服務重啟則依賴EasyMR對服務起停的管理能力，實現對大數據集群的自動重啟。

藉助EasyMR的配置文件管理能力，在未開啟Kerberos狀態下，針對大數據集群的配置會單獨維護一份當前集群狀態使用的配置。當點擊開啟Kerberos的按鈕時，後臺會將開啟Kerberos的配置新增到當前的配置文件中。

例如 core-site.xml中的hadoop.security.authentication Kerberos。在未開啟安全情況下，此配置會預設賦值simple；在開啟安全操作觸發後，此配置會後臺替換為Kerberos，然後配置下發到對應服務所在主機上；配置下發完成後，EasyMR會自動觸發服務重啟邏輯，載入新的配置，重啟完成後會顯示安全開啟成功。

具體開啟步驟：

Part.1 點擊開啟按鈕，確定開啟安全

Part.2 查看具體開啟進度以及開啟列印日誌

Part.3 開啟成功

Part.4 票據下載使用

管理便捷

EasyMR具有大數據集群配置文件管理能力。在開啟Hadoop安全後，使用者想利用客戶端連接工具使用Hadoop或者Hive，對應的Hadoop集群配置文件hdfs-site.xml、core-site.xml、yarn-site.xml以及用戶票據等文件不需要到伺服器上去進行獲取，直接在對應服務的頁面點擊下載配置按鈕，即可下載對應配置的壓縮包，方便快捷。如圖：

EasyMR在對Kerberos和Ldap應用基本的部署、服務管理、服務監控等基礎功能外，增加了對Ldap用戶信息的管理，擁有了用戶信息查看，用戶或用戶組信息過濾，用戶信息新增、修改用戶信息等功能。

使用者在EasyMR頁面可以直接通過內嵌LDAP連接或者新增lDAP連接查看Ldap用戶信息。以及可以通過用戶過濾以及組過濾的方式，查看過濾後的用戶信息以及組下的所有用戶信息。

此外，EasyMR還新增了對Kerberos用戶和用戶票據的管理功能。在管理了Ldap服務後，使用者在Ldap中新增一個用戶，EasyMR內部會在Kerberos中同步創建一個Kerberos用戶。對於使用者來說，Kerberos用戶信息與Ldap用戶屬於對應關係。Kerberos用戶創建完成後，EasyMR會調用KDC服務對此用戶進行票據信息的生成。使用者可以在此界面直接下在票據信息，無需再到伺服器上連接KDC服務生成票據以及下載票據。

在EasyMR服務管理界面，用戶可以直接通過點擊Ranger Admin服務提供的web鏈接信息跳轉到對應的web ui界面，對Ldap用戶進行服務許可權以及數據許可權分配管理。

EasyMR安全能力規劃

數據安全隨著數字經濟的發展以及越來越多企業開始數字化轉型變得越來越重要，對於企業來說，有著“牽一發而動全身”的效應。

作為國產自主研發的大數據基礎平臺，在現有的安全管控能力基礎上，EasyMR接下來還將豐富對大數據集群的管理能力，持續優化安全管理的便捷性與通用型。

在當前安全管控能力優化增強的基礎上，EasyMR將持續增加KMS、SSL等一站式服務許可權管理能力，保障大數據集群的服務安全、用戶統一維護、許可權統一管理。未來，EasyMR將會持續豐富大數據集群安全防控，以保障用戶任務運行在安全高效的集群上。

想瞭解或咨詢更多有關袋鼠雲大數據產品、行業解決方案、客戶案例的朋友，瀏覽袋鼠雲官網：https://www.dtstack.com/?src=szbky

添加【小袋鼠：dtstack001】入qun，免費獲取大數據&開源乾貨

同時，歡迎對大數據開源項目有興趣的同學加入「袋鼠雲開源框架釘釘技術qun」，交流最新開源技術信息，qun號碼：30537511，項目地址：https://github.com/DTStack