Sử dụng phần mềm nền tảng dữ liệu VAST

Sử dụng phần mềm nền tảng dữ liệu VAST

Nội dung trốn
1 Giới thiệu
2 Nền tảng dữ liệu VAST là gì
3 Phân đoạn mạng và nút
4 Thuê hợp lý
5 Quản lý ủy quyền và nhận dạng
6 Kiểm soát truy cập
7 ACL giao thức và nhãn SELinux
8 Quản lý chứng chỉ và mã hóa
9 Danh mục và Kiểm toán
10 Hệ điều hành được bảo trì và bảo mật
11 Chuỗi cung ứng phần mềm an toàn
12 Phần kết luận
13 Tài liệu / Tài nguyên
13.1 Tài liệu tham khảo

Giới thiệu

Trong thế giới dựa trên dữ liệu ngày nay, tính bảo mật và bảo mật của dữ liệu phi cấu trúc là điều tối quan trọng. Bảo mật đa danh mục (MCS) và các tính năng thuê nhà an toàn cung cấp một khuôn khổ mạnh mẽ để giải quyết những mối lo ngại này. MCS, một cơ chế kiểm soát truy cập trong Linux được tăng cường bảo mật (SELinux), tăng cường bảo mật dữ liệu bằng cách chỉ định các danh mục cụ thể cho files và các quá trình. Điều này đảm bảo rằng chỉ những người dùng và quy trình được ủy quyền mới có thể truy cập thông tin nhạy cảm, cung cấp lớp bảo vệ bổ sung cho dữ liệu phi cấu trúc như tài liệu, hình ảnh và video.

Thuê an toàn tăng cường hơn nữa khả năng cách ly dữ liệu bằng cách tạo môi trường riêng biệt cho các nhóm, phòng ban hoặc tổ chức khác nhau trong cùng một cơ sở hạ tầng. Cách tiếp cận này đảm bảo rằng dữ liệu của mỗi người thuê được tách biệt về mặt logic hoặc vật lý, ngăn chặn truy cập trái phép và duy trì quyền riêng tư của dữ liệu. Các khía cạnh chính của việc thuê an toàn bao gồm cách ly tài nguyên, phân tách dữ liệu, phân đoạn mạng và kiểm soát truy cập chi tiết.

Nền tảng dữ liệu VAST minh họa các nguyên tắc này thông qua bộ tính năng toàn diện, bao gồm cả VLAN tagkiểm soát truy cập dựa trên vai trò và thuộc tính cũng như cơ chế mã hóa mạnh mẽ. Tài liệu này khám phá cách tích hợp MCS với thuê an toàn trong Nền tảng dữ liệu VAST cung cấp giải pháp toàn diện và an toàn để quản lý dữ liệu phi cấu trúc, đặc biệt đối với các tổ chức có yêu cầu bảo mật dữ liệu nghiêm ngặt. Phần giới thiệu này ngắn gọn, tập trung và cung cấp hướng dẫn rõ ràng về nội dung tài liệu, phù hợp với các phương pháp hay nhất dành cho tài liệu kỹ thuật.

Nền tảng dữ liệu VAST là gì

Nền tảng dữ liệu VAST là giải pháp toàn diện để xử lý dữ liệu phi cấu trúc, đặc biệt dành cho các ứng dụng AI và deep learning. Nó tích hợp nhiều khả năng khác nhau để thu thập, lập danh mục, gắn nhãn, làm phong phú và bảo toàn dữ liệu, cung cấp khả năng truy cập dữ liệu liền mạch từ biên đến đám mây.

Kiến trúc phân tách và chia sẻ mọi thứ (DASE)

Kiến trúc này tách logic tính toán khỏi trạng thái hệ thống, cho phép mở rộng công suất một cách độc lập bằng cách thêm Nút dữ liệu (DNode) và hiệu suất bằng cách thêm Nút điện toán (CNode). Nó kết hợp các cấu trúc dữ liệu được chia sẻ và giao dịch để khắc phục những hạn chế của hệ thống phân tán truyền thống.

Khách hàng được hỗ trợ: NFS, Khối tin nhắn máy chủ NFSoRDMA (SMB), Amazon S3 và Container (CSI)

Nền tảng dữ liệu VAST là gì
Máy chủ giao thức không trạng thái (CNodes)
Kiến trúc phân tách và chia sẻ mọi thứ (DASE)

Kho dữ liệu VAST

Được giới thiệu vào năm 2019, DataStore được thiết kế để lưu trữ và phục vụ dữ liệu phi cấu trúc. Nó phá vỡ sự cân bằng giữa hiệu suất và dung lượng, khiến nó phù hợp cho việc lưu trữ dữ liệu phi cấu trúc sẵn sàng cho AI của doanh nghiệp.
Cơ sở dữ liệu VAST

Thành phần này mang lại hiệu suất giao dịch của cơ sở dữ liệu, hiệu suất phân tích của kho dữ liệu cũng như quy mô và khả năng chi trả của hồ dữ liệu. Nó hỗ trợ cả lưu trữ dữ liệu hàng và cột.
Không gian dữ liệu VAST

Ra mắt vào năm 2023, DataSpace cung cấp khả năng truy cập dữ liệu toàn cầu từ biên đến đám mây, cân bằng tính nhất quán chặt chẽ với hiệu suất cục bộ. Nó cho phép tính toán dữ liệu từ bất kỳ nền tảng đám mây công cộng, riêng tư hoặc cạnh nào.

Nền tảng này hợp nhất dữ liệu có cấu trúc và không cấu trúc, phân tích cơ sở dữ liệu và cung cấp một không gian tên toàn cầu. Nó hỗ trợ nhiều giao thức khác nhau như NFS, SMB, S3, SQL và nhúng Apache Spark để chuyển đổi và tiêu thụ dữ liệu từ các hệ thống nhắn tin.

Nền tảng này được xây dựng để hỗ trợ AI và các ứng dụng doanh nghiệp, cung cấp khả năng phân tích dữ liệu sâu và học sâu theo thời gian thực. Nó thu thập và xử lý dữ liệu trong thời gian thực, cho phép suy luận AI, làm giàu siêu dữ liệu và đào tạo lại mô hình.

Nền tảng dữ liệu VAST là gì

Phân đoạn mạng và nút

Nền tảng dữ liệu VAST bao gồm một số tính năng liên quan đến hiệu quả quản lý và phân đoạn mạng, bao gồm chức năng nhóm CNode cũng như khả năng liên kết CNode với Vlan. Dưới đây là mô tả chi tiết về các tính năng này, cùng với các phần có liên quan từ Tài liệu VAST Cluster 5.1:

Nhóm và gộp nhóm CNode

Nhóm máy chủ (CNode): Các giao thức lưu trữ được cung cấp từ các Nút điện toán (CNode). Nền tảng dữ liệu VAST cho phép nhóm các CNode thành các nhóm máy chủ riêng biệt. Mỗi nhóm máy chủ có một bộ Địa chỉ IP ảo (VIP) được chỉ định, được phân phối trên các CNode trong nhóm. Điều này cung cấp cơ chế về Chất lượng dịch vụ (QoS) bằng cách kiểm soát số lượng máy chủ được chỉ định cho mỗi nhóm. Khi một CNode ngoại tuyến, các VIP mà nó đang phục vụ sẽ được phân phối lại không gián đoạn trên các CNode còn lại trong nhóm. Điều này đảm bảo cân bằng tải và tính sẵn sàng cao.

  • Phần: Tài liệu cụm VAST, “Quản lý nhóm IP ảo” [p. 593]

Mạng LAN ảo Tagging và ràng buộc

Mạng LAN ảo Tagging: VLAN tagging cho phép quản trị viên kiểm soát IP ảo nào được hiển thị với Vlan nào trên mạng. Tính năng này đảm bảo rằng lưu lượng mạng được cách ly giữa các Vlan khác nhau, ngăn chặn truy cập trái phép và rò rỉ dữ liệu giữa những người thuê. Vlan tagging được định cấu hình bằng cách tạo nhóm IP ảo trong Vlan trên nền tảng VAST, cung cấp khả năng phân đoạn và cách ly mạng an toàn.

  • Phần: Tài liệu cụm VAST, “Tagging Nhóm IP ảo với Vlan” [p. 147]
  • Phần: Cung cấp lưu trữ và truy cập mạng (v5.1) [p. 141]

Phân đoạn mạng

Kiểm soát quyền truy cập vào Views và Giao thức: VAST View là sự thể hiện đa giao thức của chia sẻ, xuất hoặc nhóm lưu trữ mạng. Nền tảng này cho phép quản trị viên kiểm soát Vlan nào có quyền truy cập vào cụ thể Views và giao thức nào được phép sử dụng khi truy cập VIP trên các Vlan đó. Tính năng này tăng cường bảo mật bằng cách đảm bảo rằng chỉ những Vlan được ủy quyền mới có thể truy cập một số dữ liệu và dịch vụ nhất định. Nó được cấu hình bằng cách sử dụng View Chính sách có thể chỉ định quyền truy cập dựa trên Vlan.

  • Phần: Tài liệu cụm VAST, “Tạo View Chính sách” [tr. 628]

Thuê hợp lý

Nền tảng dữ liệu VAST cung cấp một số tính năng liên quan đến nhiều đối tượng thuê cho phép cách ly và quản lý đối tượng thuê một cách an toàn. Dưới đây là các tính năng thuê chính cùng với mô tả chi tiết và các phần có liên quan từ Tài liệu VAST Cluster 5.1:

Người thuê nhà

Mô tả: Đối tượng thuê trong Nền tảng dữ liệu VAST xác định đường dẫn dữ liệu riêng biệt và có thể có nguồn xác thực riêng như Active Directory (AD), LDAP hoặc NIS. Mỗi đối tượng thuê cũng có thể quản lý khóa mã hóa của riêng mình, đảm bảo rằng dữ liệu vẫn được cách ly an toàn với những đối tượng thuê khác. Tính năng này rất quan trọng đối với môi trường nhiều người thuê, nơi các tổ chức hoặc bộ phận khác nhau cần duy trì sự phân tách dữ liệu nghiêm ngặt.

  • Mục: Người thuê nhà (v5.1) [p. 251]

View Chính sách

Sự miêu tả: View Chính sách xác định quyền truy cập, giao thức và cài đặt bảo mật cho Viewđược giao cho người thuê nhà. Các chính sách này cho phép quản trị viên kiểm soát ai có thể truy cập dữ liệu, họ có thể thực hiện những hành động nào và họ có thể sử dụng giao thức nào. Kiểm soát chi tiết này là cần thiết để duy trì tính bảo mật và tuân thủ trong môi trường nhiều người thuê.

  • Mục: Quản lý Viewcát View Chính sách (v5.1) [p. 260]

Cách ly Vlan

Mô tả: Vlan có thể được liên kết với một đối tượng thuê cụ thể để tiếp tục cách ly lưu lượng giữa các đối tượng thuê, ngăn chặn lưu lượng truyền phát hoặc định tuyến chéo xảy ra trên ranh giới L2.

  • Phần: Tagging Nhóm IP ảo với Vlan [p. 147]

Chất lượng dịch vụ (QoS)

Mô tả: Chính sách QoS cung cấp các biện pháp kiểm soát hiệu suất chi tiết cho băng thông và IOP (hoạt động đầu vào/đầu ra mỗi giây) cho Viewđược giao cho người thuê nhà. Các chính sách này đảm bảo hiệu suất có thể dự đoán được và ngăn chặn các vấn đề tranh chấp tài nguyên, điều này đặc biệt quan trọng trong môi trường nhiều người thuê, nơi những người thuê khác nhau có thể có các yêu cầu về hiệu suất khác nhau. Ngoài các ngưỡng tối đa QoS giúp ngăn chặn tình trạng cạn kiệt hiệu suất, các ngưỡng tối thiểu QoS cũng có sẵn để giúp ngăn chặn vấn đề ồn ào của hàng xóm khi nhiều bên thuê.

  • Phần: Chất lượng dịch vụ (v5.1) [p. 323]

Hạn ngạch

Mô tả: Hạn ngạch cho phép quản trị viên đặt giới hạn dung lượng trên Views và các thư mục để cách ly đối tượng thuê. Tính năng này đảm bảo rằng không một đối tượng thuê nào có thể sử dụng nhiều hơn phần tài nguyên được phân bổ của họ, giúp ngăn chặn việc cạn kiệt tài nguyên hệ thống một cách không mong muốn.

  • Phần: Quản lý hạn ngạch (v5.1) [p. 314]

Quản lý ủy quyền và nhận dạng

Quản lý người thuê nhà và danh tính

Mô tả: Đối tượng thuê trong Nền tảng dữ liệu VAST xác định đường dẫn dữ liệu riêng biệt và có thể có nguồn xác thực riêng như Active Directory (AD), LDAP hoặc NIS. Nền tảng này hỗ trợ tối đa tám nhà cung cấp danh tính duy nhất có thể được định cấu hình để sử dụng ở cấp độ đối tượng thuê.

  • Mục: Người thuê nhà (v5.1) [p. 251]

Views

Sự miêu tả: Views là các chia sẻ, xuất hoặc nhóm đa giao thức thuộc về những đối tượng thuê cụ thể. Họ cung cấp quyền truy cập dữ liệu được cách ly an toàn, đảm bảo rằng mỗi người thuê chỉ có thể truy cập dữ liệu của riêng họ. Views có thể được cấu hình với các quyền và giao thức truy cập cụ thể, giúp chúng trở nên linh hoạt cho các trường hợp sử dụng khác nhau.

  • Mục: Quản lý Viewcát View Chính sách (v5.1) [p. 260]

View Chính sách

Sự miêu tả: View Chính sách xác định quyền truy cập, giao thức và cài đặt bảo mật cho viewđược giao cho người thuê nhà. Các chính sách này cho phép quản trị viên kiểm soát ai có thể truy cập dữ liệu, họ có thể thực hiện những hành động nào và họ có thể sử dụng giao thức nào. Kiểm soát chi tiết này là cần thiết để duy trì tính bảo mật và tuân thủ trong môi trường nhiều người thuê.

  • Mục: Quản lý Viewcát View Chính sách (v5.1) [p. 260]

Kiểm soát truy cập

Nền tảng dữ liệu VAST cung cấp bộ tính năng toàn diện để ủy quyền và quản lý danh tính. Dưới đây là mô tả chi tiết của từng tính năng cùng với các phần và số trang có liên quan từ Tài liệu VAST Cluster 5.1:

Kiểm soát truy cập

Kiểm soát truy cập dựa trên vai trò (RBAC)

Mô tả: Cụm VAST sử dụng hệ thống Kiểm soát truy cập dựa trên vai trò (RBAC) để quản lý quyền truy cập vào Hệ thống quản lý VAST (VMS). RBAC cho phép quản trị viên xác định vai trò với các quyền cụ thể và gán các vai trò này cho người dùng. Điều này đảm bảo rằng người dùng chỉ có quyền truy cập vào các tài nguyên và hành động cần thiết cho vai trò của họ, tăng cường bảo mật và đơn giản hóa việc quản lý.

  • Phần: Cho phép truy cập và cấp phép VMS [p. 82]

Kiểm soát truy cập dựa trên thuộc tính (ABAC)

Mô tả: Kiểm soát truy cập dựa trên thuộc tính (ABAC) được hỗ trợ trên viewđược truy cập qua NFSv4.1 với xác thực Kerberos hoặc qua SMB với xác thực Kerberos hoặc NTLM. ABAC cho phép truy cập vào một view nếu tài khoản của người dùng trong Active Directory có thuộc tính ABAC được liên kết phù hợp với ABAC tag được giao cho view. Điều này cung cấp khả năng kiểm soát truy cập chi tiết dựa trên thuộc tính người dùng.

  • Phần: Kiểm soát truy cập dựa trên thuộc tính (ABAC) [p. 269] Kiểm soát truy cập

Xác thực đăng nhập một lần (SSO)

Mô tả: VAST VMS hỗ trợ xác thực Đăng nhập một lần (SSO) bằng Nhà cung cấp danh tính (IdP) dựa trên SAML. Điều này cho phép người quản lý VMS đăng nhập vào Cụm VAST bằng thông tin đăng nhập của họ từ IdP chẳng hạn như Okta. IdP này có thể cung cấp thêm khả năng xác thực đa yếu tố (MFA). SSO đơn giản hóa quá trình đăng nhập và tăng cường bảo mật bằng cách tập trung xác thực.

  • Phần: Định cấu hình xác thực SSO trong VMS [p. 90]

Tích hợp thư mục hoạt động

Mô tả: VAST Cluster hỗ trợ tích hợp với Active Directory (AD) cho cả xác thực và ủy quyền người dùng giao thức dữ liệu và VMS. Điều này cho phép các tổ chức tận dụng cơ sở hạ tầng AD hiện có của mình để quản lý quyền truy cập của người dùng vào tài nguyên Cụm VAST. Tích hợp AD hỗ trợ các tính năng như Lịch sử SID cho nhóm và người dùng, đảm bảo kiểm soát truy cập liền mạch.

  • Phần: Kết nối với Active Directory (v5.1) [p. 347]

Tích hợp LDAP

Mô tả: Nền tảng này hỗ trợ tích hợp với các máy chủ LDAP để xác thực và ủy quyền người dùng cả VMS và giao thức dữ liệu. Điều này cho phép các tổ chức sử dụng thư mục LDAP hiện có của mình để quản lý quyền truy cập vào tài nguyên Cụm VAST, cung cấp giải pháp xác thực linh hoạt và có thể mở rộng.

  • Mục: Kết nối với Máy chủ LDAP (v5.1) [p. 342]

Tích hợp NIS

Mô tả: Cụm VAST hỗ trợ tích hợp với Dịch vụ thông tin mạng (NIS) để xác thực người dùng giao thức dữ liệu. Tính năng này hữu ích cho các môi trường dựa vào NIS để quản lý thông tin người dùng và kiểm soát truy cập.

  • Mục: Kết nối với NIS (v5.1) [p. 358]

Người dùng và nhóm cục bộ

Mô tả: Quản trị viên có thể quản lý người dùng và nhóm cục bộ trực tiếp trong Cụm VAST. Điều này bao gồm việc tạo, sửa đổi và xóa các tài khoản và nhóm người dùng cục bộ cũng như gán quyền và vai trò cho các tài khoản này.

  • Phần: Quản lý người dùng cục bộ (v5.1) [p. 335]
  • Phần: Quản lý nhóm cục bộ (v5.1) [p. 337] Kiểm soát truy cập

ACL giao thức và nhãn SELinux

Nền tảng dữ liệu VAST hỗ trợ nhiều giao thức ACL và tính năng nhãn SELinux khác nhau, đảm bảo khả năng kiểm soát và bảo mật truy cập mạnh mẽ. Dưới đây là mô tả chi tiết của từng tính năng cùng với các phần và số trang có liên quan từ Tài liệu VAST Cluster 5.1:

Danh sách kiểm soát truy cập POSIX (ACL)

Mô tả: Hệ thống VAST hỗ trợ POSIX ACL, cho phép quản trị viên xác định quyền chi tiết cho files và các thư mục ngoài mô hình Unix/Linux đơn giản. POSIX ACL cho phép gán quyền cho nhiều người dùng và nhóm, cung cấp khả năng kiểm soát truy cập linh hoạt và chi tiết.

  • Mục: NFS File Giao thức chia sẻ (v5.1) [p. 154]

ACL NFSv4

Mô tả: NFSv4 là giao thức có trạng thái với xác thực an toàn thông qua Kerberos hỗ trợ ACL chi tiết. Các ACL này có mức độ chi tiết tương tự như các ACL có sẵn trong SMB và NTFS, cho phép kiểm soát truy cập mạnh mẽ. ACL NFSv4 có thể được quản lý bằng các công cụ Linux tiêu chuẩn qua giao thức NFS.

  • Mục: NFS File Giao thức chia sẻ (v5.1) [p. 154]

ACL SMB

Mô tả: ACL SMB được quản lý theo cách tương tự như chia sẻ Windows, cho phép người dùng đặt ACL Windows chi tiết thông qua tập lệnh PowerShell và Windows File Explorer qua SMB. Các ACL này, bao gồm các mục nhập danh sách từ chối, có thể được thực thi đối với người dùng truy cập đồng thời qua cả giao thức SMB và NFS.

  • Mục: SMB File Giao thức chia sẻ trên Cụm VAST (v5.1) [p. 171]

Chính sách nhận dạng S3

Mô tả: Phiên bản bảo mật gốc S3 cho phép sử dụng Chính sách nhận dạng S3 để kiểm soát quyền truy cập cũng như khả năng thiết lập và thay đổi ACL theo quy tắc S3. Tính năng này cung cấp khả năng kiểm soát quyền truy cập chi tiết cho các bộ chứa và đối tượng S3.

  • Phần: Giao thức lưu trữ đối tượng S3 (v5.1) [p. 182]

ACL đa giao thức

Mô tả: VAST hỗ trợ ACL đa giao thức, cung cấp mô hình cấp phép thống nhất để truy cập dữ liệu trên các giao thức khác nhau. Điều này đảm bảo kiểm soát truy cập và bảo mật nhất quán bất kể giao thức được sử dụng để truy cập dữ liệu.

  • Phần: Truy cập đa giao thức (v5.1) [p. 151]

Tính năng nhãn SELinux

1. Nhãn bảo mật NFSv4.2

Mô tả: VAST Cluster 5.1 hỗ trợ gắn nhãn NFSv4.2 ở Chế độ máy chủ giới hạn. Ở chế độ này, Cụm VAST có thể lưu trữ và trả về nhãn bảo mật của files và thư mục trên NFS views của đối tượng thuê hỗ trợ NFSv4.2, nhưng Cụm không thực thi việc ra quyết định truy cập dựa trên nhãn. Việc gán và xác thực nhãn được thực hiện bởi máy khách NFSv4.2.

  • Phần: Nhãn bảo mật NFSv4.2 (v5.1) [p. 169]

Quản lý chứng chỉ và mã hóa

Nền tảng dữ liệu VAST cung cấp bộ tính năng toàn diện để mã hóa và quản lý chứng chỉ. Dưới đây là mô tả chi tiết của từng tính năng cùng với các phần và số trang có liên quan từ Tài liệu VAST Cluster 5.1:

Mã hóa dữ liệu khi nghỉ ngơi

Mô tả: Nền tảng dữ liệu VAST hỗ trợ mã hóa dữ liệu ở trạng thái lưu trữ bằng giải pháp quản lý khóa bên ngoài. Tính năng này đảm bảo rằng dữ liệu được lưu trữ trên nền tảng được mã hóa an toàn bằng các khóa được giữ bên ngoài Cụm VAST, bảo vệ dữ liệu khỏi bị truy cập trái phép. Nền tảng này hỗ trợ Nền tảng bảo mật dữ liệu Thales CipherTrust và Fornetix Vault Core để quản lý khóa bên ngoài. Mỗi cụm có một khóa chính duy nhất và mã hóa có thể được bật trong quá trình thiết lập ban đầu của cụm.

  • Phần: Mã hóa dữ liệu (v5.1) [p. 128]

Xác thực FIPS 140-3 Cấp độ 1

Nền tảng dữ liệu VAST nhúng Mô-đun mật mã OpenSSL 1.1.1, được xác thực FIPS 140-3 Cấp 1. Số chứng chỉ cho xác nhận này là #4675. Tất cả mã hóa dữ liệu trong chuyến bay và khi nghỉ ngơi đều được liên kết với Mô-đun mật mã OpenSSL 1.1.1 đã được xác thực FIPS. Nền tảng này sử dụng TLS 1.3 để truyền dữ liệu an toàn và mã hóa AES-XTS 256-bit cho dữ liệu ở trạng thái lưu trữ, đảm bảo tính bảo mật mạnh mẽ và tuân thủ các tiêu chuẩn ngành. Tăng cường quản lý và bảo mật dữ liệu với bảo mật đa danh mục và thuê nhà an toàn 14

  • Nguồn: Chương trình xác thực mô-đun mật mã (CMVP)

Quản lý chứng chỉ TLS

Mô tả: Nền tảng hỗ trợ cài đặt và quản lý chứng chỉ TLS để bảo mật thông tin liên lạc
với Hệ thống quản lý VAST (VMS). Quản trị viên có thể cài đặt chứng chỉ TLS để đảm bảo dữ liệu được truyền
giữa khách hàng và VMS được mã hóa và bảo mật.

• Phần: Cài đặt Chứng chỉ SSL cho VMS (v5.1) [p. 78]

Xác thực mTLS cho khách hàng VMS

Mô tả: Nền tảng hỗ trợ xác thực lẫn nhau TLS (mTLS) cho các máy khách API và GUI VMS. Khi mTLS được bật, VMS yêu cầu khách hàng xuất trình chứng chỉ được Cơ quan cấp chứng chỉ cụ thể ký. Điều này bổ sung thêm một lớp xác thực lẫn nhau, trong đó cả máy khách và máy chủ đều xác thực lẫn nhau, cung cấp lớp bảo mật bổ sung cho hoạt động liên lạc với VMS để hỗ trợ Thẻ PIV/CAC tùy chọn.

  • Phần: Kích hoạt xác thực mTLS cho máy khách VMS (v5.1) [p. 78]

Bảo mật liên lạc Active Directory

Nền tảng dữ liệu VAST cung cấp các biện pháp bảo mật mạnh mẽ để xác thực Active Directory (AD) bằng cách cho phép quản trị viên tắt giao thức NTLM v1 và v2. NTLM (NT LAN Manager) là giao thức xác thực cũ có nhiều lỗ hổng bảo mật, khiến giao thức này kém an toàn hơn so với các giao thức hiện đại hơn như Kerberos.

  • Phần: Kết nối với Active Directory (v5.1) [p. 347]

Bảo mật quyền truy cập S3

Nền tảng dữ liệu VAST tăng cường tính bảo mật cho quyền truy cập S3 bằng cách cho phép bạn vô hiệu hóa tính năng ký Chữ ký phiên bản 2 (SigV2), đảm bảo rằng tất cả các tương tác S3 được thực hiện bằng cách sử dụng Chữ ký phiên bản 4 (SigV4) an toàn hơn. Ngoài ra, nền tảng này còn thực thi việc sử dụng TLS 1.3 cho hoạt động liên lạc S3, tận dụng mật mã được xác thực FIPS 140-3.

  • Phần: Giao thức lưu trữ đối tượng S3 (v5.1) [p. 182]

Xóa mật mã

Mô tả: Xóa bằng mật mã là phương pháp xóa dữ liệu của đối tượng thuê khỏi hệ thống VAST. Việc này được thực hiện bằng cách thu hồi hoặc xóa khóa của đối tượng thuê bằng hệ thống VAST hoặc Trình quản lý khóa bên ngoài. Hệ thống VAST sẽ xóa Khóa mã hóa dữ liệu (DEK) và Khóa mã hóa khóa (KEK) khỏi RAM hệ thống, từ đó loại bỏ ngay quyền truy cập vào tất cả dữ liệu được ghi bằng các khóa đó. Hệ thống VAST sau đó có thể xóa dữ liệu được mã hóa. Tính năng này cung cấp phương pháp xóa dữ liệu một cách an toàn trong trường hợp dữ liệu bị rò rỉ hoặc khi người thuê rời khỏi nền tảng.

Phần: Mã hóa dữ liệu (v5.1) [p. 128]

Danh mục và Kiểm toán

Nền tảng dữ liệu VAST cung cấp bộ tính năng toàn diện để kiểm tra và lập danh mục, đảm bảo tuân thủ và quản lý dữ liệu mạnh mẽ. Dưới đây là mô tả chi tiết của từng tính năng cùng với các phần và số trang có liên quan từ Tài liệu VAST Cluster 5.1:

Kiểm tra giao thức

Mô tả: Kiểm tra giao thức trong Nền tảng dữ liệu VAST ghi lại các hoạt động tạo, xóa hoặc sửa đổi files, thư mục, đối tượng và siêu dữ liệu. Nó cũng ghi lại các hoạt động đọc và hoạt động phiên. Tính năng này giúp theo dõi hoạt động của người dùng và đảm bảo tuân thủ các chính sách bảo mật. Quản trị viên có thể định cấu hình cài đặt kiểm tra toàn cầu và view nhật ký kiểm tra thông qua VAST Web UI hoặc CLI.

  • Phần: Kiểm tra giao thức quaview [trang 243]
  • Phần: Định cấu hình Cài đặt Kiểm tra Toàn cầu [p. 243]
  • Phần: Định cấu hình Kiểm tra với View Chính sách [tr. 245]
  • Phần: Hoạt động của giao thức được kiểm toán [p. 245]
  • Phần: Viewing Nhật ký kiểm tra giao thức [p. 248]

Lưu trữ nhật ký kiểm tra giao thức trong bảng cơ sở dữ liệu VAST

Mô tả: Nền tảng dữ liệu VAST cho phép cấu hình VMS để lưu trữ nhật ký kiểm tra giao thức trong bảng Cơ sở dữ liệu VAST. Các mục nhật ký được lưu trữ dưới dạng bản ghi JSON, có thể viewđược chỉnh sửa trực tiếp từ VAST Web Giao diện người dùng trong trang Nhật ký kiểm tra VAST. Tính năng này nâng cao khả năng thực hiện kiểm tra và phân tích chi tiết các hoạt động của người dùng. Phần: Lưu trữ nhật ký kiểm tra giao thức trong bảng cơ sở dữ liệu VAST [p. 25]

Danh mục VAST

Mô tả: Danh mục VAST là chỉ mục siêu dữ liệu được tích hợp sẵn cho phép người dùng tìm kiếm và tìm kiếm dữ liệu một cách nhanh chóng. Nó xử lý file hệ thống giống như một cơ sở dữ liệu, cho phép các ứng dụng AI và ML thế hệ tiếp theo sử dụng nó làm kho lưu trữ tính năng tự tham chiếu. Danh mục này hỗ trợ các truy vấn kiểu SQL và cung cấp một cách trực quan WebGiao diện người dùng, CLI phong phú và API để tương tác.

  • Mục: Danh mục VAST trênview [trang 489]
  • Phần: Định cấu hình Danh mục VAST [p. 491]
  • Mục: Truy vấn Danh mục VAST từ VAST Web Giao diện người dùng [tr. 492]
  • Phần: Cung cấp cho khách hàng quyền truy cập vào Danh mục VAST CLI [p. 493] Danh mục và Kiểm toán

Cơ sở dữ liệu VAST

Mô tả: VAST DataBase mở rộng khả năng của Danh mục VAST bằng cách lưu trữ nội dung phức tạp hơn trong cơ sở dữ liệu đầy đủ tính năng. Nó hỗ trợ các truy vấn dữ liệu lớn và tốc độ cao, lưu trữ dữ liệu ở định dạng cột hiệu quả tương tự như Apache Parquet. Cơ sở dữ liệu được thiết kế cho các truy vấn chi tiết, theo thời gian thực về kho dữ liệu dạng bảng và siêu dữ liệu được phân loại rộng lớn.

  • Phần: VAST DataBase Overview [trang 495]
  • Phần: Định cấu hình Cụm VAST để truy cập cơ sở dữ liệu [p. 499]
  • Phần: Hướng dẫn bắt đầu nhanh CLI cơ sở dữ liệu VAST [p. 494]

Các trường bản ghi nhật ký kiểm tra

Mô tả: Các trường bản ghi nhật ký kiểm tra cung cấp thông tin chi tiết về từng sự kiện được ghi lại, bao gồm loại hoạt động, chi tiết người dùng, thời gianamps và các tài nguyên bị ảnh hưởng. Việc ghi nhật ký chi tiết này rất quan trọng cho việc tuân thủ và phân tích điều tra.

  • Phần: Các trường bản ghi nhật ký kiểm tra [p. 250]

ViewNhật ký kiểm tra giao thức

Mô tả: Quản trị viên có thể view nhật ký kiểm tra giao thức thông qua VAST Web Giao diện người dùng hoặc CLI. Nhật ký cung cấp thông tin chuyên sâu về hoạt động của người dùng và hoạt động của hệ thống, giúp đảm bảo tuân thủ và phát hiện mọi hành động trái phép.

  • Phần: Viewing Nhật ký kiểm tra giao thức [p. 248]

Hệ điều hành được bảo trì và bảo mật

Nền tảng dữ liệu VAST sử dụng cách tiếp cận toàn diện để bảo mật hệ điều hành của mình, đảm bảo hoạt động mạnh mẽ
bảo vệ và tuân thủ các tiêu chuẩn ngành. Dưới đây là các khía cạnh chính của hệ điều hành và các biện pháp bảo mật được triển khai:

Hệ điều hành được bảo trì

Mô tả: Nền tảng dữ liệu VAST sử dụng hệ điều hành được bảo trì do CIQ cung cấp, cụ thể là Enterprise Rocky 8, là hình ảnh hệ điều hành tương thích nhị phân RHEL. Nền tảng Mountain của CIQ cung cấp giải pháp phân phối hình ảnh, gói và container an toàn, có thẩm quyền và có khả năng mở rộng cao, sẵn có trên cả đám mây công cộng và tại chỗ.

Bản vá lỗi thường xuyên và Quản lý lỗ hổng

Mô tả: VAST đảm bảo hệ điều hành được vá và cập nhật thường xuyên bằng cách luôn cập nhật về các lỗ hổng bảo mật mới nhất, áp dụng các bản vá cần thiết và triển khai các biện pháp giảm nhẹ thích hợp một cách kịp thời. Cách tiếp cận chủ động này giúp duy trì trạng thái bảo mật của hệ điều hành.

Giám sát liên tục

Mô tả: Thực hiện giám sát liên tục để duy trì trạng thái bảo mật của hệ điều hành. Điều này bao gồm việc đánh giá, kiểm toán thường xuyên vàviewvề các cấu hình và kiểm soát bảo mật của hệ thống, cũng như cho phép ghi nhật ký các hoạt động đáng ngờ và các sự cố bảo mật tiềm ẩn.

Tuân thủ DISA STIG

Mô tả: Nền tảng dữ liệu VAST hỗ trợ DISA STIG (Hướng dẫn triển khai kỹ thuật bảo mật) cho RedHat Linux 8, MAC 1 Profile - Nhiệm vụ quan trọng được phân loại. Sự tuân thủ này đảm bảo rằng hệ điều hành tuân thủ các tiêu chuẩn bảo mật nghiêm ngặt mà khách hàng yêu cầu trong môi trường được quản lý.

Quản lý cấu hình

Mô tả: Nền tảng duy trì cấu hình cơ bản cho hệ thống RHEL 8, bao gồm cài đặt cho các thành phần hệ thống, file quyền và cài đặt phần mềm. Nó cũng thực hiện các quy trình kiểm soát thay đổi để theo dõi, táiviewvà phê duyệt các thay đổi đối với cấu hình hệ thống, đảm bảo rằng các hệ thống tuân thủ cấu hình an toàn và tiêu chuẩn hóa.

Ít chức năng nhất

Mô tả: Nguyên tắc ít chức năng nhất được nhấn mạnh bằng cách khuyến nghị loại bỏ hoặc vô hiệu hóa các phần mềm, dịch vụ và thành phần hệ thống không cần thiết. Điều này làm giảm các lỗ hổng tiềm ẩn và các vectơ tấn công.

Tính toàn vẹn của hệ thống và thông tin

Mô tả: Các tính năng quản lý khóa và mã hóa của nền tảng cũng như khả năng tích hợp với hệ thống SIEM giúp đảm bảo tính toàn vẹn của dữ liệu và thông tin. Điều này bao gồm đánh giá bảo mật thường xuyên, kiểm tra thâm nhập và quản lý lỗ hổng bảo mật để đảm bảo các bản vá bảo mật, cấu hình và phương pháp hay nhất được cập nhật.

Chuỗi cung ứng phần mềm an toàn

Đảm bảo chuỗi cung ứng phần mềm an toàn là rất quan trọng để tuân thủ các quy định như Đạo luật Hiệp định Thương mại (TAA), Quy định Mua lại Liên bang (FAR) và các tiêu chuẩn ISO. Nền tảng dữ liệu VAST triển khai các biện pháp toàn diện để bảo mật chuỗi cung ứng phần mềm của mình, đảm bảo phần mềm được phát triển chính xác và đáp ứng các yêu cầu bảo mật nghiêm ngặt.

Khung phát triển phần mềm an toàn (SSDF)

Nền tảng dữ liệu VAST áp dụng Khung phát triển phần mềm bảo mật (SSDF) của NIST, cung cấp các hướng dẫn để phát triển phần mềm bảo mật. Khung này giúp bảo vệ chuỗi cung ứng phần mềm khỏi rủi ro bằng cách phác thảo các biện pháp thực hành mã hóa an toàn, quản lý lỗ hổng và giám sát liên tục.

Phân tích thành phần phần mềm (SCA)

Các công cụ như GitLab được sử dụng để Kiểm tra bảo mật ứng dụng tĩnh (SAST) và Kiểm tra bảo mật ứng dụng động (DAST) để phân tích cả mã độc quyền và mã nguồn mở để tìm lỗ hổng. Điều này rất quan trọng để xác định điểm yếu bảo mật trước khi triển khai.

Phần mềm danh mục vật liệu (SBOM)

Nền tảng tạo và quản lý SBOM để theo dõi các thành phần được sử dụng trong phát triển phần mềm. GitLab và Artifactory được tận dụng trong quá trình triển khai để nâng cao tính minh bạch và tuân thủ Sắc lệnh 14028.

Đường ống tích hợp liên tục và triển khai liên tục (CI/CD)

Đường dẫn CI/CD kết hợp kiểm tra bảo mật, mã lạiviewvà kiểm tra sự tuân thủ. Hệ thống được lưu trữ trên nền tảng đám mây có trụ sở tại Hoa Kỳ để đáp ứng các yêu cầu TAA/FAR, đảm bảo rằng tất cả các hoạt động được thực hiện tại Hoa Kỳ và do các thực thể Hoa Kỳ quản lý.

Ký container và gói hàng

Việc ký kỹ thuật số các container và gói hàng được triển khai để đảm bảo tính toàn vẹn và tính xác thực. Docker Content Trust và ký RPM là các biện pháp được khuyến nghị để bảo mật các ứng dụng được đóng gói và phân phối gói.

Quét lỗ hổng và tuân thủ

Các công cụ như Tenable và Qualys được sử dụng để quét hệ điều hành và xây dựng gói cũng như phát hiện vi-rút và phần mềm độc hại. Những công cụ này được tích hợp vào quy trình để xác định và giảm thiểu các mối đe dọa tiềm ẩn trong môi trường phần mềm.

Quản lý phần mềm của bên thứ ba

Tất cả phần mềm của bên thứ ba, dù là nguồn mở hay độc quyền, đều có nguồn gốc từ các địa điểm của Hoa Kỳ để tuân thủ các quy định TAA/FAR. Phần mềm này được bao gồm trong quá trình quét SAST và DAST để đảm bảo an ninh.

Đường mòn tài liệu và kiểm toán

Tài liệu toàn diện về toàn bộ quá trình từ đăng ký mã đến gói có thể tải xuống được khách hàng sử dụng đều được lưu giữ. Tài liệu này có thể được truy cập theo NDA để khách hàng kiểm tra và xác nhận, theo yêu cầu của lãnh đạo.

Quản lý nhân viên và tài sản

Quy trình này được quản lý bởi các nhân viên của thực thể Hoa Kỳ (Vast Federal) và tất cả tài sản được sử dụng trong quá trình triển khai và phát triển phần mềm đều thuộc sở hữu của thực thể này. Việc tuân thủ này rất quan trọng để đáp ứng các quy định mua lại của liên bang.

Môi trường phát triển an toàn

Phần mềm được phát triển và xây dựng trong môi trường an toàn, với các biện pháp như xác thực đa yếu tố, truy cập có điều kiện và mã hóa dữ liệu nhạy cảm. Việc ghi nhật ký, giám sát và kiểm tra các mối quan hệ tin cậy thường xuyên được thực thi.

Chuỗi cung ứng mã nguồn đáng tin cậy

Các công cụ tự động hoặc quy trình tương đương được sử dụng để xác thực tính bảo mật của mã nội bộ và các thành phần của bên thứ ba, quản lý các lỗ hổng liên quan một cách hiệu quả.

Kiểm tra lỗ hổng bảo mật

Việc kiểm tra lỗ hổng bảo mật liên tục được thực hiện trước khi phát hành.asincác sản phẩm, phiên bản hoặc bản cập nhật mới. Một chương trình công bố lỗ hổng bảo mật được duy trì để đánh giá và giải quyết kịp thời các lỗ hổng phần mềm đã được phát hiện.

Phần kết luận

Việc tích hợp Bảo mật đa danh mục (MCS) với các tính năng thuê an toàn cung cấp một khuôn khổ mạnh mẽ để tăng cường tính bảo mật và bảo mật của dữ liệu phi cấu trúc. Bằng cách tận dụng MCS, các tổ chức có thể chỉ định các danh mục cụ thể cho files, đảm bảo rằng chỉ những quy trình và người dùng được ủy quyền mới có thể truy cập thông tin nhạy cảm. Lớp bảo mật bổ sung này rất quan trọng để bảo vệ dữ liệu phi cấu trúc như tài liệu, hình ảnh và video.

Thuê an toàn tăng cường hơn nữa khả năng cách ly dữ liệu bằng cách tạo môi trường riêng biệt cho các nhóm, phòng ban hoặc tổ chức khác nhau trong cùng một cơ sở hạ tầng. Các khía cạnh chính như cách ly tài nguyên, phân tách dữ liệu, phân đoạn mạng và kiểm soát quyền truy cập chi tiết đảm bảo rằng dữ liệu của mỗi người thuê vẫn ở chế độ riêng tư và an toàn. Nền tảng dữ liệu VAST minh họa các nguyên tắc này thông qua bộ tính năng toàn diện, bao gồm cả VLAN tagkiểm soát truy cập dựa trên vai trò và thuộc tính cũng như cơ chế mã hóa mạnh mẽ.

Tóm lại, Nền tảng dữ liệu VAST, với sự tích hợp MCS và thuê bảo mật, cung cấp giải pháp toàn diện và an toàn để quản lý dữ liệu phi cấu trúc. Cách tiếp cận này rất cần thiết đối với các tổ chức có yêu cầu bảo mật dữ liệu nghiêm ngặt, chẳng hạn như cơ quan chính phủ, tổ chức tài chính và nhà cung cấp dịch vụ chăm sóc sức khỏe. Bằng cách triển khai các biện pháp bảo mật nâng cao này, các tổ chức có thể tự tin bảo vệ dữ liệu nhạy cảm của mình đồng thời cho phép quản lý dữ liệu hiệu quả và có thể mở rộng. Kết luận này duy trì những điểm chính trong khi vẫn đảm bảo sự rõ ràng và ngắn gọn.

Phần kết luận

 

Biểu tượng Để biết thêm thông tin về Nền tảng dữ liệu VAST và cách nền tảng này có thể giúp bạn giải quyết các vấn đề về ứng dụng của mình, hãy liên hệ với chúng tôi tại xin chào@vastdata.com.

Biểu trưng

Tài liệu / Tài nguyên

Phần mềm nền tảng dữ liệu VAST [tập tin pdf] Hướng dẫn sử dụng
Phần mềm nền tảng dữ liệu, Phần mềm nền tảng, Phần mềm
Phần mềm nền tảng dữ liệu VAST [tập tin pdf] Hướng dẫn sử dụng
Phần mềm nền tảng dữ liệu, Phần mềm nền tảng, Phần mềm

Tài liệu tham khảo

Để lại bình luận

Địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu *