Brug af VAST Data Platform Software

Brug af VAST Data Platform Software

Indhold skjule
1 Indledning
2 Hvad er VAST-dataplatformen
3 Netværk og knudesegmentering
4 Logisk lejemål
5 Autorisation og identitetsstyring
6 Adgangskontrol
7 Protokol ACL'er og SELinux-etiketter
8 Certifikatstyring og kryptering
9 Katalog og revision
10 Vedligeholdt og sikret operativsystem
11 Sikker softwareforsyningskæde
12 Konklusion
13 Dokumenter/ressourcer
13.1 Referencer

Indledning

I nutidens datadrevne verden er fortroligheden og sikkerheden af ​​ustrukturerede data altafgørende. Multi-Category Security (MCS) og sikre lejemålsfunktioner tilbyder en robust ramme til at løse disse problemer. MCS, en adgangskontrolmekanisme i Security-Enhanced Linux (SELinux), forbedrer datafortroligheden ved at tildele specifikke kategorier til files og processer. Dette sikrer, at kun autoriserede brugere og processer kan få adgang til følsomme oplysninger, hvilket giver et ekstra lag af beskyttelse for ustrukturerede data såsom dokumenter, billeder og videoer.

Sikkert lejemål styrker yderligere dataisolering ved at skabe særskilte miljøer for forskellige grupper, afdelinger eller organisationer inden for den samme infrastruktur. Denne tilgang sikrer, at hver lejers data er logisk eller fysisk adskilt, hvilket forhindrer uautoriseret adgang og opretholder databeskyttelse. Nøgleaspekter af sikkert lejemål omfatter ressourceisolering, dataadskillelse, netværkssegmentering og granuleret adgangskontrol.

VAST Data Platform eksemplificerer disse principper gennem sin omfattende suite af funktioner, herunder VLAN taging, rollebaserede og attributbaserede adgangskontroller og robuste krypteringsmekanismer. Dette dokument undersøger, hvordan integration af MCS med sikkert lejemål inden for VAST-dataplatformen giver en omfattende og sikker løsning til håndtering af ustrukturerede data, især for organisationer med strenge datafortrolighedskrav. Denne introduktion er kortfattet, fokuseret og giver en klar vejledning til dokumentets indhold, i overensstemmelse med bedste praksis for teknisk dokumentation.

Hvad er VAST-dataplatformen

VAST Data Platform er en omfattende løsning til håndtering af ustrukturerede data, især til AI og deep learning-applikationer. Den integrerer forskellige muligheder til at fange, katalogisere, mærke, berige og bevare data, hvilket giver problemfri dataadgang fra kant til sky.

Disaggregated and Shared-Everything (DASE) arkitektur

Denne arkitektur afkobler beregningslogik fra systemtilstand, hvilket giver mulighed for uafhængig skalering af kapacitet ved at tilføje datanoder (DNoder) og ydeevne ved at tilføje beregningsnoder (CNoder). Den kombinerer delte og transaktionelle datastrukturer for at overvinde begrænsningerne ved traditionelle distribuerede systemer.

Understøttede klienter: NFS, NFSoRDMA Server Message Block (SMB), Amazon S3 og Containers (CSI)

Hvad er VAST-dataplatformen
Stateless Protocol Servers (CNoder)
Disaggregated and Shared-Everything (DASE) arkitektur

VAST DataStore

DataStore blev introduceret i 2019 og er designet til lagring og servering af ustrukturerede data. Det bryder afvejningen mellem ydeevne og kapacitet, hvilket gør den velegnet til AI-klar ustruktureret datalagring.
VAST DataBase

Denne komponent leverer den transaktionelle ydeevne af en database, den analytiske ydeevne af et datavarehus og skalaen og overkommeligheden af ​​en datasø. Det understøtter både række- og søjledatalagring.
VAST DataSpace

DataSpace blev lanceret i 2023 og giver global dataadgang fra kant til sky, og balancerer streng overensstemmelse med lokal ydeevne. Det muliggør beregning af data fra enhver offentlig, privat eller edge cloud-platform.

Platformen forener strukturerede og ustrukturerede data, databaseanalyser og giver et globalt navneområde. Det understøtter forskellige protokoller som NFS, SMB, S3, SQL og indlejrer Apache Spark til datatransformation og forbrug fra meddelelsessystemer.

Platformen er bygget til at drive AI og virksomhedsapplikationer og giver dyb dataanalyse i realtid og dyb læringskapacitet. Det fanger og behandler data i realtid, hvilket muliggør AI-inferens, metadataberigelse og modelgenoplæring.

Hvad er VAST-dataplatformen

Netværk og knudesegmentering

VAST-dataplatformen inkluderer flere funktioner relateret til ledelseseffektivitet og netværkssegmentering, herunder CNode-grupperingsfunktionalitet, samt evnen til at binde CNodes til VLAN'er. Her er de detaljerede beskrivelser af disse funktioner sammen med de relevante afsnit fra VAST Cluster 5.1-dokumentationen:

CNode-gruppering og pooling

Server (CNode) Pooling: Lagerprotokoller betjenes fra Compute Nodes (CNoder). VAST-dataplatformen giver mulighed for gruppering af CNoder i forskellige serverpuljer. Hver serverpulje har et tildelt sæt virtuelle IP-adresser (VIP'er), der er fordelt på tværs af CNoder i puljen. Dette giver en mekanisme for Quality of Service (QoS) ved at kontrollere antallet af servere, der er tildelt hver pulje. Når en CNode går offline, bliver de VIP'er, den betjente, omfordelt uden forstyrrende på tværs af de resterende CNode i puljen. Dette sikrer belastningsbalancering og høj tilgængelighed.

  • Afsnit: VAST-klyngedokumentation, "Administration af virtuelle IP-puljer" [s. 593]

VLAN Tagging og Binding

VLAN Tagging: VLAN tagging giver administratorer mulighed for at kontrollere, hvilke virtuelle IP'er, der udsættes for hvilke VLAN'er på netværket. Denne funktion sikrer, at netværkstrafikken er isoleret mellem forskellige VLAN'er, hvilket forhindrer uautoriseret adgang og datalækage mellem lejere. VLAN tagging konfigureres ved at skabe virtuelle IP-puljer i VLAN'er i VAST-platformen, hvilket giver sikker netværkssegmentering og isolering.

  • Sektion: VAST-klyngedokumentation, "Tagskabe virtuelle IP-puljer med VLAN'er" [s. 147]
  • Afsnit: Netværksadgang og lagerforsyning (v5.1) [s. 141]

Netværkssegmentering

Styr adgang til Views og protokoller: A VAST View er en multi-protokol repræsentation af en netværkslager share, eksport eller bucket. Platformen giver administratorer mulighed for at kontrollere, hvilke VLAN'er der har adgang til specifikke Views og hvilke protokoller, der må bruges, når man får adgang til VIP'erne på disse VLAN'er. Denne funktion øger sikkerheden ved at sikre, at kun autoriserede VLAN'er kan få adgang til visse data og tjenester. Det konfigureres ved at bruge View Politikker, som kan specificere adgangstilladelser baseret på VLAN'er.

  • Sektion: VAST-klyngedokumentation, "Oprettelse View Politikker” [s. 628]

Logisk lejemål

VAST-dataplatformen tilbyder flere funktioner relateret til multi-lejemål, der muliggør sikker isolering og styring af lejere. Her er de vigtigste lejefunktioner sammen med detaljerede beskrivelser og de relevante afsnit fra VAST Cluster 5.1-dokumentationen:

Lejere

Beskrivelse: Lejere i VAST-dataplatformen definerer isolerede datastier og kan have deres egne godkendelseskilder såsom Active Directory (AD), LDAP eller NIS. Hver lejer kan også administrere sine egne krypteringsnøgler, hvilket sikrer, at data forbliver sikkert isoleret fra andre lejere. Denne funktion er afgørende for miljøer med flere lejere, hvor forskellige organisationer eller afdelinger skal opretholde streng dataadskillelse.

  • Afsnit: Lejere (v5.1) [s. 251]

View Politikker

Beskrivelse: View Politikker definerer adgangstilladelser, protokoller og sikkerhedsindstillinger for Views tildelt lejere. Disse politikker giver administratorer mulighed for at kontrollere, hvem der kan få adgang til dataene, hvilke handlinger de kan udføre, og hvilke protokoller de kan bruge. Denne granulære kontrol er afgørende for at opretholde sikkerhed og overholdelse i miljøer med flere lejere.

  • Afsnit: Ledelse Views og View Politikker (v5.1) [s. 260]

VLAN isolering

Beskrivelse: VLAN'er kan bindes til en specifik lejer for yderligere at isolere trafik mellem lejere, hvilket forhindrer cross routing eller broadcast-trafik i at forekomme på tværs af L2-grænsen.

  • Afsnit: Tagat lave virtuelle IP-puljer med VLAN'er [s. 147]

Servicekvalitet (QoS)

Beskrivelse: QoS-politikker giver detaljerede ydelseskontrol for båndbredde og IOP'er (input/output operationer pr. sekund) for Views tildelt lejere. Disse politikker sikrer forudsigelig ydeevne og forhindrer ressourcekonflikter, hvilket er særligt vigtigt i miljøer med flere lejere, hvor forskellige lejere kan have forskellige præstationskrav. Ud over QoS maksimumtærskler, som hjælper med at forhindre udmattelse af ydeevnen, er QoS minimumstærskler også tilgængelige for at hjælpe med at forhindre det støjende naboproblem med multi-lejemål.

  • Afsnit: Servicekvalitet (v5.1) [s. 323]

Kvoter

Beskrivelse: Kvoter giver administratorer mulighed for at sætte kapacitetsgrænser på Views og mapper til lejerisolering. Denne funktion sikrer, at ingen enkelt lejer kan forbruge mere end deres tildelte ressourceandel, hvilket hjælper med at forhindre uventet ressourceudtømning af systemkapaciteten.

  • Afsnit: Håndtering af kvoter (v5.1) [s. 314]

Autorisation og identitetsstyring

Lejer og identitetsstyring

Beskrivelse: Lejere i VAST-dataplatformen definerer isolerede datastier og kan have deres egne godkendelseskilder såsom Active Directory (AD), LDAP eller NIS. Platformen understøtter op til otte unikke identitetsudbydere, der kan konfigureres til brug på lejerniveau.

  • Afsnit: Lejere (v5.1) [s. 251]

Views

Beskrivelse: Views er multi-protokol-andele, eksport eller buckets, der tilhører bestemte lejere. De giver sikkert isoleret dataadgang, hvilket sikrer, at hver lejer kun kan få adgang til deres egne data. Views kan konfigureres med specifikke adgangstilladelser og protokoller, hvilket gør dem alsidige til forskellige anvendelsestilfælde.

  • Afsnit: Ledelse Views og View Politikker (v5.1) [s. 260]

View Politikker

Beskrivelse: View Politikker definerer adgangstilladelser, protokoller og sikkerhedsindstillinger for views tildelt lejere. Disse politikker giver administratorer mulighed for at kontrollere, hvem der kan få adgang til dataene, hvilke handlinger de kan udføre, og hvilke protokoller de kan bruge. Denne granulære kontrol er afgørende for at opretholde sikkerhed og overholdelse i miljøer med flere lejere.

  • Afsnit: Ledelse Views og View Politikker (v5.1) [s. 260]

Adgangskontrol

VAST-dataplatformen tilbyder en omfattende suite af funktioner til godkendelse og identitetsstyring. Her er de detaljerede beskrivelser af hver funktion sammen med de relevante afsnit og sidetal fra VAST Cluster 5.1-dokumentationen:

Adgangskontrol

Rollebaseret adgangskontrol (RBAC)

Beskrivelse: VAST Cluster anvender et rollebaseret adgangskontrolsystem (RBAC) til at administrere adgang til VAST Management System (VMS). RBAC giver administratorer mulighed for at definere roller med specifikke tilladelser og tildele disse roller til brugere. Dette sikrer, at brugerne kun har adgang til de ressourcer og handlinger, der er nødvendige for deres roller, hvilket øger sikkerheden og forenkler administrationen.

  • Afsnit: Godkendelse af VMS-adgang og -tilladelser [s. 82]

Attribut-baseret adgangskontrol (ABAC)

Beskrivelse: Attribut-Based Access Control (ABAC) understøttes på views tilgås via NFSv4.1 med Kerberos-godkendelse eller via SMB med Kerberos- eller NTLM-godkendelse. ABAC giver adgang til en view hvis brugerens konto i Active Directory har en tilknyttet ABAC-attribut, der matcher ABAC tag tildelt til view. Dette giver finmasket adgangskontrol baseret på brugeregenskaber.

  • Afsnit: Attribut-baseret adgangskontrol (ABAC) [s. 269] Adgangskontrol

Single Sign-On (SSO)-godkendelse

Beskrivelse: VAST VMS understøtter Single Sign-On (SSO)-godkendelse ved hjælp af SAML-baserede identitetsudbydere (IdP). Dette giver VMS-administratorer mulighed for at logge ind på en VAST-klynge ved hjælp af deres legitimationsoplysninger fra en IdP såsom Okta, som desuden kan levere multi-factor authentication (MFA)-funktioner. SSO forenkler login-processen og øger sikkerheden ved at centralisere godkendelse.

  • Afsnit: Konfigurer SSO-godkendelse i VMS [s. 90]

Active Directory -integration

Beskrivelse: VAST Cluster understøtter integration med Active Directory (AD) til både VMS- og dataprotokolbrugergodkendelse og -autorisation. Dette giver organisationer mulighed for at udnytte deres eksisterende AD-infrastruktur til at administrere brugeradgang til VAST Cluster-ressourcer. AD-integration understøtter funktioner såsom SID-historik for grupper og brugere, hvilket sikrer problemfri adgangskontrol.

  • Afsnit: Tilslutning til Active Directory (v5.1) [s. 347]

LDAP-integration

Beskrivelse: Platformen understøtter integration med LDAP-servere til både VMS- og dataprotokolbrugergodkendelse og -autorisation. Dette giver organisationer mulighed for at bruge deres eksisterende LDAP-mapper til at administrere adgang til VAST Cluster-ressourcer, hvilket giver en fleksibel og skalerbar godkendelsesløsning.

  • Afsnit: Tilslutning til en LDAP-server (v5.1) [s. 342]

NIS-integration

Beskrivelse: VAST Cluster understøtter integration med Network Information Service (NIS) til dataprotokolbrugergodkendelse. Denne funktion er nyttig for miljøer, der er afhængige af NIS til styring af brugeroplysninger og adgangskontrol.

  • Afsnit: Tilslutning til NIS (v5.1) [s. 358]

Lokale brugere og grupper

Beskrivelse: Administratorer kan administrere lokale brugere og grupper direkte i VAST-klyngen. Dette omfatter oprettelse, ændring og sletning af lokale brugerkonti og grupper, samt tildeling af tilladelser og roller til disse konti.

  • Afsnit: Administration af lokale brugere (v5.1) [s. 335]
  • Afsnit: Håndtering af lokale grupper (v5.1) [s. 337] Adgangskontrol

Protokol ACL'er og SELinux-etiketter

VAST-dataplatformen understøtter forskellige protokol-ACL'er og SELinux-mærkefunktioner, hvilket sikrer robust adgangskontrol og sikkerhed. Her er de detaljerede beskrivelser af hver funktion sammen med de relevante sektioner og sidetal fra VAST Cluster 5.1-dokumentationen:

POSIX Adgangskontrollister (ACL'er)

Beskrivelse: VAST-systemer understøtter POSIX ACL'er, hvilket giver administratorer mulighed for at definere detaljerede tilladelser til files og mapper ud over den simple Unix/Linux-model. POSIX ACL'er muliggør tildeling af tilladelser til flere brugere og grupper, hvilket giver fleksibel og detaljeret adgangskontrol.

  • Sektion: NFS File Delingsprotokol (v5.1) [s. 154]

NFSv4 ACL'er

Beskrivelse: NFSv4 er en stateful protokol med sikker godkendelse via Kerberos, der understøtter detaljerede ACL'er. Disse ACL'er svarer i granularitet til dem, der er tilgængelige i SMB og NTFS, hvilket giver mulighed for robust adgangskontrol. NFSv4 ACL'er kan administreres ved hjælp af standard Linux-værktøjer over NFS-protokollen.

  • Sektion: NFS File Delingsprotokol (v5.1) [s. 154]

SMB ACL'er

Beskrivelse: SMB ACL'er administreres på samme måde som Windows-shares, hvilket giver brugerne mulighed for at indstille finkornede Windows ACL'er gennem PowerShell-scripts og Windows File Explorer over SMB. Disse ACL'er, inklusive afvisningslisteposter, kan håndhæves på brugere, der får adgang via både SMB- og NFS-protokoller samtidigt.

  • Sektion: SMB File Delingsprotokol om VAST-klynge (v5.1) [s. 171]

S3 identitetspolitikker

Beskrivelse: S3 Native Security Flavor giver mulighed for brug af S3 Identity Policies til at kontrollere adgang og muligheden for at indstille og ændre ACL'er i henhold til S3 regler. Denne funktion giver detaljeret adgangskontrol til S3 skovle og genstande.

  • Sektion: S3 Object Storage Protocol (v5.1) [s. 182]

Multi-protokol ACL'er

Beskrivelse: VAST understøtter multi-protokol ACL'er, hvilket giver en samlet tilladelsesmodel til at få adgang til data på tværs af forskellige protokoller. Dette sikrer ensartet adgangskontrol og sikkerhed uanset den protokol, der bruges til at få adgang til dataene.

  • Sektion: Multi-Protocol Access (v5.1) [s. 151]

SELinux Label funktioner

1. NFSv4.2 Sikkerhedsetiketter

Beskrivelse: VAST Cluster 5.1 understøtter NFSv4.2-mærkning i begrænset servertilstand. I denne tilstand kan VAST Cluster gemme og returnere sikkerhedsetiketter af files og mapper på NFS views af NFSv4.2-aktiverede lejere, men klyngen håndhæver ikke etiketbaseret adgangsbeslutningstagning. Etikettildeling og validering udføres af NFSv4.2-klienter.

  • Sektion: NFSv4.2 Sikkerhedsetiketter (v5.1) [s. 169]

Certifikatstyring og kryptering

VAST-dataplatformen tilbyder en omfattende række funktioner til kryptering og certifikatstyring. Her er de detaljerede beskrivelser af hver funktion sammen med de relevante sektioner og sidetal fra VAST Cluster 5.1-dokumentationen:

Datakryptering i hvile

Beskrivelse: VAST Data Platform understøtter kryptering af data i hvile ved hjælp af eksterne nøglehåndteringsløsninger. Denne funktion sikrer, at data gemt på platformen er sikkert krypteret med nøgler, der opbevares eksternt i forhold til VAST-klyngen, hvilket beskytter data mod uautoriseret adgang. Platformen understøtter Thales CipherTrust Data Security Platform og Fornetix Vault Core til ekstern nøglehåndtering. Hver klynge har en unik hovednøgle, og kryptering kan aktiveres under den indledende opsætning af klyngen.

  • Afsnit: Datakryptering (v5.1) [s. 128]

FIPS 140-3 Niveau 1-validering

VAST-dataplatformen indlejrer OpenSSL 1.1.1 Cryptographic Module, som er FIPS 140-3 Level 1-valideret. Certifikatnummeret for denne validering er #4675. Al kryptering for data under flyvning og i hvile er knyttet til det FIPS-validerede OpenSSL 1.1.1 Cryptographic Module. Platformen bruger TLS 1.3 til sikker datatransmission og 256-bit AES-XTS-kryptering til hvilende data, hvilket sikrer robust sikkerhed og overholdelse af industristandarder. Forbedring af datasikkerhed og -administration med Multi-Category Security og sikkert lejemål 14

  • Kilde: Cryptographic Module Validation Program (CMVP)

TLS-certifikatstyring

Beskrivelse: Platformen understøtter installation og administration af TLS-certifikater til sikring af kommunikation
med VAST Management System (VMS). Administratorer kan installere TLS-certifikater for at sikre, at data overføres
mellem klienter og VMS er krypteret og sikkert.

• Afsnit: Installation af et SSL-certifikat til VMS (v5.1) [s. 78]

mTLS-godkendelse til VMS-klienter

Beskrivelse: Platformen understøtter gensidig TLS (mTLS)-godkendelse for VMS GUI og API-klienter. Når mTLS er aktiveret, kræver VMS, at klienten præsenterer et certifikat, der er underskrevet af en specifik certifikatmyndighed. Dette tilføjer et lag af gensidig godkendelse, hvor både klienten og serveren godkender hinanden, hvilket giver et ekstra lag af sikkerhed for kommunikation med VMS'et for eventuelt at understøtte PIV/CAC-kort.

  • Afsnit: Aktivering af mTLS-godkendelse for VMS-klienter (v5.1) [s. 78]

Sikring af Active Directory-kommunikation

VAST-dataplatformen giver robuste sikkerhedsforanstaltninger til Active Directory (AD)-godkendelse ved at tillade administratorer at deaktivere NTLM v1- og v2-protokoller. NTLM (NT LAN Manager) er en ældre autentificeringsprotokol, der har kendte sårbarheder, hvilket gør den mindre sikker sammenlignet med mere moderne protokoller som Kerberos.

  • Afsnit: Tilslutning til Active Directory (v5.1) [s. 347]

Sikring af S3-adgang

VAST-dataplatformen øger sikkerheden ved S3-adgang ved at give dig mulighed for at deaktivere Signature Version 2 (SigV2)-signering, hvilket sikrer, at alle S3-interaktioner udføres ved hjælp af den mere sikre Signature Version 4 (SigV4). Derudover gennemtvinger platformen brugen af ​​TLS 1.3 til S3-kommunikation, ved at udnytte FIPS 140-3-validerede cifre.

  • Sektion: S3 Object Storage Protocol (v5.1) [s. 182]

Kryptosletning

Beskrivelse: Kryptosletning er en metode til at fjerne en lejers data fra et VAST-system. Dette gøres ved at tilbagekalde eller slette lejers nøgler ved hjælp af enten VAST-systemet eller den eksterne nøglemanager. VAST-systemet vil rense datakrypteringsnøglerne (DEK'er) og nøglekrypteringsnøgler (KEK'er) fra systemets RAM, og derved straks fjerne adgangen til alle data, der er skrevet med disse nøgler. VAST-systemet kan derefter slette de krypterede data. Denne funktion giver en metode til sikker sletning af data i tilfælde af dataspild, eller når en lejer forlader platformen.

Afsnit: Datakryptering (v5.1) [s. 128]

Katalog og revision

VAST-dataplatformen tilbyder en omfattende suite af funktioner til revision og katalogisering, hvilket sikrer robust datastyring og overholdelse. Her er de detaljerede beskrivelser af hver funktion sammen med de relevante sektioner og sidetal fra VAST Cluster 5.1-dokumentationen:

Protokolrevision

Beskrivelse: Protokolrevision i VAST-dataplatformen logger operationer, der opretter, sletter eller ændrer files, mapper, objekter og metadata. Det logger også læseoperationer og sessionsaktiviteter. Denne funktion hjælper med at spore brugeraktiviteter og sikre overholdelse af sikkerhedspolitikker. Administratorer kan konfigurere globale revisionsindstillinger og view revisionslogfiler gennem VAST Web UI eller CLI.

  • Afsnit: Protokolrevision overståetview [s. 243]
  • Afsnit: Konfiguration af globale revisionsindstillinger [s. 243]
  • Afsnit: Konfiguration af revision med View Politikker [s. 245]
  • Sektion: Reviderede protokoloperationer [s. 245]
  • Afsnit: Viewing Protokol revisionslogfiler [s. 248]

Lagring af protokolrevisionslogfiler i VAST-databasetabeller

Beskrivelse: VAST Data Platform tillader konfiguration af VMS til at gemme protokolauditlogfiler i en VAST-databasetabel. Logposter gemmes som JSON-poster, hvilket kan være viewed direkte fra VAST Web UI på siden VAST Audit Log. Denne funktion forbedrer muligheden for at udføre detaljerede revisioner og analyser af brugeraktiviteter. Afsnit: Lagring af protokolrevisionslogfiler i VAST-databasetabeller [s. 25]

VAST katalog

Beskrivelse: VAST-kataloget er et indbygget metadataindeks, der giver brugerne mulighed for hurtigt at søge og finde data. Den behandler file system som en database, hvilket gør det muligt for næste generations AI- og ML-applikationer at bruge det som et selvhenvisende funktionslager. Kataloget understøtter SQL-stil forespørgsler og giver en intuitiv WebUI, en rig CLI og API'er til interaktion.

  • Sektion: VAST Catalog Overview [s. 489]
  • Afsnit: Konfiguration af VAST-katalog [s. 491]
  • Sektion: Forespørgsel i VAST-kataloget fra VAST Web UI [s. 492]
  • Afsnit: Giver klientadgang til VAST Catalog CLI [s. 493] Katalog og revision

VAST DataBase

Beskrivelse: VAST-databasen udvider mulighederne i VAST-kataloget ved at gemme mere komplekst indhold i en fuldt udstyret database. Det understøtter højhastigheds- og massive dataforespørgsler og gemmer data i et effektivt søjleformat, der ligner Apache Parket. Databasen er designet til finkornede forespørgsler i realtid til store reserver af tabeldata og katalogiserede metadata.

  • Sektion: VAST DataBase Overview [s. 495]
  • Afsnit: Konfiguration af VAST-klyngen til databaseadgang [s. 499]
  • Sektion: VAST Database CLI Quick Start Guide [s. 494]

Revisionslogpostfelter

Beskrivelse: Revisionslogpostfelterne giver detaljerede oplysninger om hver logget hændelse, herunder operationstype, brugeroplysninger, tidspunktamps, og berørte ressourcer. Denne detaljerede logning er afgørende for overholdelse og retsmedicinske analyser.

  • Afsnit: Revisionslogpostfelter [s. 250]

Viewing Protocol Audit Logs

Beskrivelse: Administratorer kan view protokol revisionslogfiler gennem VAST Web UI eller CLI. Logfilerne giver indsigt i brugeraktiviteter og systemoperationer, og hjælper med at sikre overholdelse og opdage eventuelle uautoriserede handlinger.

  • Afsnit: Viewing Protokol revisionslogfiler [s. 248]

Vedligeholdt og sikret operativsystem

VAST Data Platformen anvender en omfattende tilgang til at sikre sit operativsystem, hvilket sikrer robust
beskyttelse og overholdelse af industristandarder. Her er de vigtigste aspekter af operativsystemet og de implementerede sikkerhedsforanstaltninger:

Vedligeholdt operativsystem

Beskrivelse: VAST Data Platform bruger et vedligeholdt operativsystem leveret af CIQ, specifikt Enterprise Rocky 8, som er et binært RHEL-kompatibelt operativsystembillede. CIQ's Mountain Platform leverer en sikker, autoritativ og meget skalerbar løsning til levering af billeder, pakker og containere, der er tilgængelig i både offentlig cloud og på stedet.

Regelmæssig patching og sårbarhedshåndtering

Beskrivelse: VAST sikrer, at operativsystemet regelmæssigt patches og opdateres ved at holde sig orienteret om de seneste sikkerhedssårbarheder, anvende nødvendige programrettelser og implementere passende begrænsninger rettidigt. Denne proaktive tilgang hjælper med at opretholde operativsystemets sikkerhedsposition.

Kontinuerlig overvågning

Beskrivelse: Løbende overvågningspraksis implementeres for at opretholde operativsystemets sikkerhedsposition. Dette omfatter regelmæssige vurderinger, revisioner og vedrviews af systemets sikkerhedskontroller og konfigurationer, samt muliggør logning for mistænkelige aktiviteter og potentielle sikkerhedshændelser.

Overholdelse af DISA STIG

Beskrivelse: VAST-dataplatformen understøtter DISA STIG (Security Technical Implementation Guide) til RedHat Linux 8, MAC 1 Profile – Mission Critical Classified. Denne overholdelse sikrer, at operativsystemet overholder strenge sikkerhedsstandarder, som kræves af kunder i regulerede miljøer.

Konfigurationsstyring

Beskrivelse: Platformen opretholder en basiskonfiguration for RHEL 8-systemer, inklusive indstillinger for systemkomponenter, file tilladelser og softwareinstallation. Det implementerer også forandringskontrolprocesser for at spore, vedrview, og godkend ændringer af systemkonfigurationen, hvilket sikrer, at systemerne overholder en sikker og standardiseret konfiguration.

Mindst funktionalitet

Beskrivelse: Princippet om mindste funktionalitet understreges ved at anbefale fjernelse eller deaktivering af unødvendig software, tjenester og systemkomponenter. Dette reducerer potentielle sårbarheder og angrebsvektorer.

System- og informationsintegritet

Beskrivelse: Platformens kryptering og nøglestyringsfunktioner samt dens integration med SIEM-systemer er med til at sikre integriteten af ​​data og information. Dette inkluderer regelmæssige sikkerhedsvurderinger, penetrationstest og sårbarhedsstyring for at sikre opdaterede sikkerhedsrettelser, konfigurationer og bedste praksis.

Sikker softwareforsyningskæde

At sikre en sikker softwareforsyningskæde er afgørende for overholdelse af regler såsom Trade Agreements Act (TAA), Federal Acquisition Regulation (FAR) og ISO-standarder. VAST-dataplatformen implementerer omfattende foranstaltninger for at sikre sin softwareforsyningskæde, hvilket sikrer, at software udvikles korrekt og opfylder strenge sikkerhedskrav.

Secure Software Development Framework (SSDF)

VAST Data Platformen vedtager NIST Secure Software Development Framework (SSDF), som giver retningslinjer for sikker softwareudvikling. Denne ramme hjælper med at beskytte softwareforsyningskæder mod risici ved at skitsere praksis for sikker kodning, sårbarhedsstyring og kontinuerlig overvågning.

Software Composition Analysis (SCA)

Værktøjer som GitLab bruges til Static Application Security Testing (SAST) og Dynamic Application Security Testing (DAST) til at analysere både proprietær og open source-kode for sårbarheder. Dette er afgørende for at identificere sikkerhedssvagheder før implementering.

Softwarestykliste (SBOM)

Platformen genererer og administrerer SBOM'er for at spore komponenter, der bruges i softwareudvikling. GitLab og Artifactory udnyttes i pipelinen for at øge gennemsigtigheden og overholdelse af bekendtgørelse 14028.

Kontinuerlig integration og kontinuerlig implementering (CI/CD) pipeline

En CI/CD-pipeline indeholder sikkerhedstest, kode vedrviewog overensstemmelseskontrol. Pipelinen hostes på en USA-baseret cloudplatform for at opfylde TAA/FAR-kravene, hvilket sikrer, at alle operationer udføres i USA og administreres af amerikanske enheder.

Container- og pakkesignering

Digital signering af containere og pakker er implementeret for at sikre integritet og autenticitet. Docker Content Trust og RPM-signering er anbefalede fremgangsmåder til at sikre containeriserede applikationer og pakkedistributioner.

Sårbarheds- og overholdelsesscanning

Værktøjer som Tenable og Qualys bruges til at scanne operativsystemer og bygge pakker samt til at afsløre virus og malware. Disse værktøjer er indarbejdet i pipelinen for at identificere og afbøde potentielle trusler i softwaremiljøet.

Tredjeparts softwarestyring

Al tredjepartssoftware, uanset om det er open source eller proprietær, er hentet fra amerikanske lokationer for at overholde TAA/FAR-reglerne. Denne software er inkluderet i SAST- og DAST-scanningsprocesserne for at sikre sikkerheden.

Dokumentation og revisionsspor

Der vedligeholdes omfattende dokumentation af hele processen fra kodeindtjekning til den downloadbare pakke, der bruges af kunder. Denne dokumentation er tilgængelig under NDA for audits og valideringer af kunder, som krævet af ledelsen.

Medarbejder og Asset Management

Processen administreres af ansatte i den amerikanske enhed (Vast Federal), og alle aktiver, der bruges i softwareudviklings- og implementeringsprocessen, ejes af denne enhed. Denne overholdelse er afgørende for at opfylde føderale erhvervelsesregler.

Sikkert udviklingsmiljø

Softwaren er udviklet og bygget i sikre miljøer med tiltag som multi-faktor autentificering, betinget adgang og kryptering af følsomme data. Regelmæssig logning, overvågning og revision af tillidsforhold håndhæves.

Trusted Source Code Supply Chains

Automatiserede værktøjer eller sammenlignelige processer bruges til at validere sikkerheden af ​​intern kode og tredjepartskomponenter og håndtere relaterede sårbarheder effektivt.

Sikkerhedssårbarhedstjek

Ongoing vulnerability checks are conducted before releasing new products, versions, or updates. A vulnerability disclosure program is maintained to assess and address disclosed software vulnerabilities promptly.

Konklusion

Integrationen af ​​Multi-Category Security (MCS) med sikre lejeforhold giver en robust ramme til at forbedre fortroligheden og sikkerheden af ​​ustrukturerede data. Ved at udnytte MCS kan organisationer tildele specifikke kategorier til files, der sikrer, at kun autoriserede processer og brugere kan få adgang til følsomme oplysninger. Dette ekstra lag af sikkerhed er afgørende for at beskytte ustrukturerede data såsom dokumenter, billeder og videoer.

Sikkert lejemål styrker yderligere dataisolering ved at skabe særskilte miljøer for forskellige grupper, afdelinger eller organisationer inden for den samme infrastruktur. Nøgleaspekter såsom ressourceisolering, dataadskillelse, netværkssegmentering og granulære adgangskontroller sikrer, at hver lejers data forbliver private og sikre. VAST Data Platform eksemplificerer disse principper gennem sin omfattende suite af funktioner, herunder VLAN taging, rollebaserede og attributbaserede adgangskontroller og robuste krypteringsmekanismer.

Sammenfattende giver VAST Data Platformen med sin integration af MCS og sikre lejeforhold en omfattende og sikker løsning til håndtering af ustrukturerede data. Denne tilgang er vigtig for organisationer med strenge datafortrolighedskrav, såsom offentlige myndigheder, finansielle institutioner og sundhedsudbydere. Ved at implementere disse avancerede sikkerhedsforanstaltninger kan organisationer trygt beskytte deres følsomme data, samtidig med at de muliggør effektiv og skalerbar datastyring. Denne konklusion fastholder nøglepunkterne, samtidig med at den sikrer klarhed og kortfattethed.

Konklusion

 

Symbol For mere information om VAST-dataplatformen, og hvordan den kan hjælpe dig med at løse dine ansøgningsproblemer, kontakt os på hej@vastdata.com.

Logo

Dokumenter/ressourcer

VAST Data Platform Software [pdfBrugervejledning
Dataplatformsoftware, platformsoftware, software
VAST Data Platform Software [pdfBrugervejledning
Dataplatformsoftware, platformsoftware, software

Referencer

Efterlad en kommentar

Din e-mailadresse vil ikke blive offentliggjort. Påkrævede felter er markeret *