2020年1月，時間跨度長達14年的，微軟2.5億條客户服務和支持記錄在網上泄露；

同年4月，微盟發生史上最貴“刪庫跑路”事件，造成微盟市值一夜之間縮水約24億港幣；

今年7月，網信辦依據《數據安全法》等法律法規，對滴滴公司開出人民幣80.26億元的鉅額罰款，對互聯網企業敲響數據安全警鐘。

數據作為互聯網的重磅資源，當今重要的“生產要素”及核心競爭力，已經獲得了立法上的認可。隨着2021年9月1日，中國第一部有關數據安全的法律《數據安全法》正式施行，我國的數據安全制度已經進入了一個新階段。

不同於網絡安全側重於通過保障計算環境的安全，從而最終保障計算對象的安全。數據安全是以“數據為中心”，主要側重於數據全生命週期的安全和合規性，以此來保護數據的安全。而企業數據資產作為未來企業發展的基座，在數據採集、存儲、處理的一系列流程中，無疑面臨着巨大的安全風險挑戰。

如何更好地保障數據安全，成為壓在每個企業肩頭沉甸甸的擔子。

一站式大數據安全管理

作為全鏈路數字化技術與服務提供商，袋鼠雲在數據安全方面有過多年的探索和實踐。近日，袋鼠雲依託其實踐，在旗下產品大數據基礎平台EasyMR上新增了一站式大數據應用安全防控以及數據權限管控能力。

EasyMR是袋鼠雲今年7月最新推出的自研大數據基礎平台，該產品集成了服務管控應用ChengYing和內部孵化大數據生態，提供Hadoop、Hive、Spark、Trino、HBase、Kafka等組件的自動化安裝、中心化管理與集羣監控告警功能，完全兼容Apache開源生態。是一款具備標準的服務部署、服務監控、服務管理等功能的產品。

此次，EasyMR通過集成第三方的安全管控服務Kerberos、Ldap和Ranger分別對大數據集羣進行用户安全認證、訪問用户管理以及用户數據權限管控。

藉助EasyMR的部署和管理能力，以界面化方式部署大數據集羣安全管控服務。大數據集羣使用者無需關注安全服務部署邏輯以及應用內部工作邏輯，只需要在EasyMR界面查看具體開啟進度以及開啟結果狀態。

通過EasyMR部署大數據集羣管控服務，運維人員可以直觀地在EasyMR界面對安全管控服務進行管理和運維，包括服務的啟停、狀態監控等。

EasyMR安全管控能力

相比與其他廠商的大數據集羣安全管理，EasyMR可以做到一鍵部署安全管控服務，一鍵開啟大數據集羣組件的安全認證、用户管理以及權限管控服務。下面來具體聊聊EasyMR的安全管控能力。

操作便捷

藉助EasyMR的管理能力，在部署安全管控服務之後，僅需要在對應的服務頁面點擊開啟安全按鈕，即可開啟對應服務的安全。如圖：

例如：需要對Zookeeper開啟Kerberos，則只需要跳轉到Zookeeper所在服務頁面，點擊開啟按鈕，等待開啟完成。應用開啟安全的內部具體實現流程如下：

EasyMR功能豐富，其中連接KDC進行服務票據的生成和服務票據的分發是通過EasyMR的腳本管理能力完成；配置變更和配置下發到各個主機則是憑藉EasyMR的配置管理能力，在後台對開啟安全服務配置進行新增和修改；而服務重啟則依賴EasyMR對服務起停的管理能力，實現對大數據集羣的自動重啟。

藉助EasyMR的配置文件管理能力，在未開啟Kerberos狀態下，針對大數據集羣的配置會單獨維護一份當前集羣狀態使用的配置。當點擊開啟Kerberos的按鈕時，後台會將開啟Kerberos的配置新增到當前的配置文件中。

例如 core-site.xml中的hadoop.security.authentication Kerberos。在未開啟安全情況下，此配置會默認賦值simple；在開啟安全操作觸發後，此配置會後台替換為Kerberos，然後配置下發到對應服務所在主機上；配置下發完成後，EasyMR會自動觸發服務重啟邏輯，加載新的配置，重啟完成後會顯示安全開啟成功。

具體開啟步驟：

Part.1 點擊開啟按鈕，確定開啟安全

Part.2 查看具體開啟進度以及開啟打印日誌

Part.3 開啟成功

Part.4 票據下載使用

管理便捷

EasyMR具有大數據集羣配置文件管理能力。在開啟Hadoop安全後，使用者想利用客户端連接工具使用Hadoop或者Hive，對應的Hadoop集羣配置文件hdfs-site.xml、core-site.xml、yarn-site.xml以及用户票據等文件不需要到服務器上去進行獲取，直接在對應服務的頁面點擊下載配置按鈕，即可下載對應配置的壓縮包，方便快捷。如圖：

EasyMR在對Kerberos和Ldap應用基本的部署、服務管理、服務監控等基礎功能外，增加了對Ldap用户信息的管理，擁有了用户信息查看，用户或用户組信息過濾，用户信息新增、修改用户信息等功能。

使用者在EasyMR頁面可以直接通過內嵌LDAP連接或者新增lDAP連接查看Ldap用户信息。以及可以通過用户過濾以及組過濾的方式，查看過濾後的用户信息以及組下的所有用户信息。

此外，EasyMR還新增了對Kerberos用户和用户票據的管理功能。在管理了Ldap服務後，使用者在Ldap中新增一個用户，EasyMR內部會在Kerberos中同步創建一個Kerberos用户。對於使用者來説，Kerberos用户信息與Ldap用户屬於對應關係。Kerberos用户創建完成後，EasyMR會調用KDC服務對此用户進行票據信息的生成。使用者可以在此界面直接下在票據信息，無需再到服務器上連接KDC服務生成票據以及下載票據。

在EasyMR服務管理界面，用户可以直接通過點擊Ranger Admin服務提供的web鏈接信息跳轉到對應的web ui界面，對Ldap用户進行服務權限以及數據權限分配管理。

EasyMR安全能力規劃

數據安全隨着數字經濟的發展以及越來越多企業開始數字化轉型變得越來越重要，對於企業來説，有着“牽一髮而動全身”的效應。

作為國產自主研發的大數據基礎平台，在現有的安全管控能力基礎上，EasyMR接下來還將豐富對大數據集羣的管理能力，持續優化安全管理的便捷性與通用型。

在當前安全管控能力優化增強的基礎上，EasyMR將持續增加KMS、SSL等一站式服務權限管理能力，保障大數據集羣的服務安全、用户統一維護、權限統一管理。未來，EasyMR將會持續豐富大數據集羣安全防控，以保障用户任務運行在安全高效的集羣上。

想了解或諮詢更多有關袋鼠雲大數據產品、行業解決方案、客户案例的朋友，瀏覽袋鼠雲官網：http://www.dtstack.com/?src=szkyzg

添加【小袋鼠：dtstack001】入qun，免費獲取大數據&開源乾貨

同時，歡迎對大數據開源項目有興趣的同學加入「袋鼠雲開源框架釘釘技術qun」，交流最新開源技術信息，qun號碼：30537511，項目地址：http://github.com/DTStack