许多组织正在部署Hadoop以帮助发布他们的大数据项目。然而，Hadoop在默认情况下以非安全模式运行，这意味着组织的敏感数据面临内部和外部威胁的风险。鉴于Hadoop中的数据的价值，其关键是组织在将其迁移到生产之前保护其大数据部署。

作为这种努力的一部分，组织应严格控制用户对Hadoop集群中的节点的访问。然而，同时，他们还需要一种集中管理访问权限的方法，以避免额外的操作开销和人工错误的风险。利用活动目录(ActiveDirectory实现大数据身份和访问管理可以解决这两个问题。

利用Kerberos弥补Hadoop的缺陷

组织开发人员意识到在非安全模式下部署Hadoop的影响，许多已经实现了安全模式，包括结合Kerberos来验证从一个节点到下一个节点的用户和服务。虽然这是向正确方向迈出的一步，但它仍然给企业IT组织带来了各种挑战。

即使加入了Kerberos，Hadoop仍默认在非安全模式下运行。要使用Kerberos，组织必须经历设置MITKerberos环境的耗时，容易出错，多步骤的过程。一旦设置完成，组织需要一种方法来集中管理用户访问。没有它，用户帐户必须在组织的多个Hadoop集群中的数百或数千个节点上设置。

即使加入了Kerberos，Hadoop仍默认在非安全模式下运行。要使用Kerberos，组织必须经历设置MITKerberos环境的耗时，容易出错，多步骤的过程。一旦设置，组织需要一种方法来集中管理用户访问。没有它，用户帐户必须在组织的多个Hadoop集群中的数百或数千个节点上设置。

与法规遵从性要求一样，Hadoop生态系统是高度动态的。每当环境或监管要求改变时，用户访问权限也必须改变，这使得访问管理的工作越来越复杂。

最后，设置Kerberos环境还意味着创建一个对大多数组织的活动目录环境来说是冗余的并行身份基础结构。这意味着对用户角色和职责的任何更改必须应用于两个身份管理环境。

利用现有的身份基础架构进行大数据安全认证

确保Hadoop生产部署的更好方法涉及使用利用现有活动目录基础架构的解决方案，该基础架构已经提供Kerberos身份验证功能。使用这种集中式跨平台身份管理基础架构解决方案，IT组织可以使用现有标识和组成员资格授予对Hadoop集群的访问权限，而不必为每个Hadoop集群中的用户创建新标识。

这种方法还允许组织利用现有的技能集和管理流程来设置用户帐户，并访问大数据节点，帮助降低成本和错误风险，从而提高安全性。使用现有的活动目录帐户登录还可以保护Hadoop环境，同时有助于以可重复，可扩展和可持续的方式证明其合规性。

如何运行

活动目录部署通常很复杂，但统一的身份管理解决方案可以在复杂的活动目录环境中简化和简化连接和管理非Windows系统的服务器。通过Hadoop集成，身份管理解决方案可以将Hadoop集群连接到现有的活动目录基础架构。一旦集群节点被集成，从一个节点到下一个节点的自动认证只需要添加新的服务帐户。

统一身份管理解决方案还可以自动执行Hadoop服务帐户管理。活动目录的Kerberos和LDAP功能的强大功能扩展到Hadoop集群，从而为Hadoop管理员和最终用户提供身份验证。如果已经定义了特权并与活动目录用户关联，则可以在Hadoop环境中重新使用这些特权。当用户通过活动目录登录Hadoop时，他们将获得与Hadoop生态系统外部相同的权限和限制。这种单点登录功能有助于提高用户工作效率和整体安全性。

除了在Windows，Linux和Unix各个系统的服务器上的访问管理外，统一的身份管理解决方案还提供了权限管理和审核功能，可以扩展到整个组织，包括Hadoop环境。该解决方案可以控制访问，管理权限，审核活动，并将所有内容关联到单个活动目录帐户。系统还生成报告，指出谁有访问权限以及谁在Hadoop集群，节点，以及服务上做了什么，以帮助满足合规性和审计需求。

底线

安全性对于大数据部署至关重要，但必须以高效和可靠的方式应用。实施与组织现有活动目录基础结构集成的身份管理解决方案满足这两个要求。使用此方法，组织避免仅为Hadoop设置孤立的身份基础设施，而是利用可信的解决方案为Hadoop群集访问管理提供基于组的访问控制。这为其Hadoop环境提供了严格实施的访问控制和集中管理的最小特权安全策略。

要了解有关Centrify统一身份管理解决方案如何帮助组织保护大数据部署的更多信息，请下载“身份管理如何解决五种Hadoop安全风险的白皮书”。