Cloudera Altus es un conjunto de productos que te permiten implementar clusters de Cloudera Enterprise en el entorno de nube pública de tu elección. Los servicios en la nube de Cloudera Altus crean recursos y los administran en tu cuenta, lo que te permite tener un sólido control de acceso sobre tus datos. En esta nota vas a conocer en detalle las mejores prácticas de seguridad cuando uses Cloudera Altus en Azure y en AWS.
Construcción de la infraestructura
El primer tema a tener en cuenta es cómo se pueden controlar los recursos a los que Cloudera Altus tiene acceso y al mismo tiempo administrar el acceso a los integrantes de tu propia organización.
Azure
Aunque se implementa de manera diferente para cada proveedor de la nube, como usuario de Altus te conviene seguir los siguientes pasos:
-Establecer confianza entre tu cuenta y Altus.
-Especificar las acciones que Altus estará autorizado a realizar.
-Determinar el alcance del recurso en la nube en el que se pueden realizar tales acciones.
-Administrar cuáles de tus usuarios de Altus pueden acceder a tus recursos en la nube.
Como cliente de Cloudera Altus, podés construir y controlar los entornos. En particular, el rol de administrador de Altus tiene este control, y puede ser asignado a uno o más usuarios de tu organización. La mayoría de las organizaciones tendrán varios entornos, cada uno de los cuales establecerá políticas diferentes y confiará tanto en diferentes proveedores de la nube como en diferentes ámbitos dentro de un solo proveedor de la nube. Por ejemplo, un cliente puede tener un entorno por región de AWS o por suscripción de Azure. Los entornos múltiples brindan a los administradores un control preciso sobre la asignación de recursos de proveedores de nube.
AWS
El establecimiento de la confianza se logra en AWS utilizando una función que indica que la cuenta de AWS del cliente de Altus confía en la cuenta de Altus AWS. Esta función la crea y controla el administrador de AWS del cliente de Altus y se denomina “Cross Account Role”. La misma cuenta con dos políticas:
-Una política de «confianza», que establece exactamente qué cuenta puede asumir este rol. Dentro de AWS, cuando un usuario asume un rol, los permisos actuales del usuario se anulan temporalmente por los permisos controlados por aquellos del rol asumido.
-Una «política de permisos» determina qué permisos (acciones y recursos) vienen con este rol.
En resumen, “Cross Account Role” establece confianza, especifica acciones y administra el alcance del recurso. La administración de qué usuario de Altus puede acceder a un recurso de la nube es, entonces, una cuestión de permitir o denegar el acceso a un usuario específico a un entorno específico.
Acceso a los datos
Un desafío común al compilar aplicaciones en la nube consiste en el modo de administrar las credenciales del código para autenticar los servicios en la nube. Proteger las credenciales es una tarea esencial, pero Altus crea algunas máquinas en la cuenta del cliente de Altus en la nube que necesitan acceso a los datos ¿Cómo podés controlar el acceso sin poner credenciales en esas máquinas?
La técnica utilizada para resolver el problema en AWS es muy similar a la utilizada para resolver el problema en Azure.
Azure
Utiliza una Identidad de Servicio Administrado (“Managed Service Identity”) para resolver el problema de acceso a los datos. Esta característica proporciona a los servicios de Azure una identidad de sistema administrada automáticamente en Azure Active Directory (AD). Podés usar esta identidad para autenticarte en cualquier servicio que admita la autenticación de Azure AD sin necesidad de credenciales en el código.
AWS
Esta solución se basa en roles y políticas. El problema de acceso a los datos se resuelve con un rol de políticas de confianza y permisos. Sin embargo, el rol está envuelto en un “perfil de instancia”, y AWS lo adjunta a la instancia de EC2 (Amazon Elastic Compute World, es un servicio web que proporciona capacidad informática en la nube segura y de tamaño modificable y que está diseñado para simplificar el uso de la informática en la nube a escala web para los desarrolladores). Cuando un programa en la instancia de EC2 necesita acceso a los recursos de AWS, el perfil de la instancia devuelve el rol que el programa puede asumir, obteniendo así los permisos necesarios.
Conclusión
Los servicios de nube de Cloudera Altus te permiten controlar tu infraestructura, lo que implica que puedas administrar clusters en la cuenta y controlar el acceso a tu almacenamiento en la nube. Esta información te permite confiar en que tus datos se resguardarán de forma segura ya que Cloudera no tiene el acceso a los mismos.