Zugriffskontrollen in Accumulo Data Store, Amazon DynamoDB und MarkLogic

IT-Profis für Daten-Management, die NoSQL-Datenbanken wie Amazon DynamoDB, Accumulo und MarkLogic nutzen, sollten auf Zugriffskontrollen achten.

Sobald mehrere Anwender Zugriff auf vertrauliche Daten für Analysen in der Cloud haben, sind Security-Kontrollen notwendig. NoSQL-Datenbanken sind beliebt, wenn es um die Verarbeitung großer Datensätze geht. Allerdings hatten frühere Versionen von NoSQL-Datenbanken nur wenige Security-Funktionen. Mittlerweile können Big-Data-Administratoren die Vorteile von NoSQL ausschöpfen und haben mehr Kontrolle darüber, wer auf die Daten in der Cloud zugreift.

IT-Administratoren und Cloud-Spezialisten können diverse feinkörnige NoSQL-Zugriffskontrollen einsetzen. Je nach Datenmodell der jeweiligen Datenbank variieren diese. Bevor Sie versehentlich persönliche Daten enthüllen, sollten Sie einen Blick auf die in NoSQL integrierten Zugriffskontrollen werfen.

Es gibt drei Arten, um NoSQL-Datenspeicher abzusichern, jede mit ihren Vor- und Nachteilen: Accumulos zellenbasierte Zugriffskontrolle, Identity-Access-Management- (IAM-) Policies in Amazon DynamoDB und Compartment Control und Ausführungsrechte bei MarkLogic.

Accumulo Data Store

Accumulo ist eine dezentrale Key-Value-Datenbank, die auf Googles Big Table basiert. Das Open-Source-Angebot wurde von der NSA entwickelt und 2011 veröffentlicht. Accumulo ist ein Apache-Projekt und läuft auf einer Hadoop-Umgebung. Es gibt zusätzliche Funktionen, die in Big Table nicht vorhanden sind, wie etwa zellenbasierte Zugriffskontrollen.

Accumulo-Schlüssel beinhalten ein Sichtbarkeits-Attribut, das Security-Labels festlegt (zum Beispiel Admin oder Manager). Da jedem Schlüssel ein einziger Wert zugeordnet ist (das Äquivalent einer Zeile in relationalen Datenbanken), begrenzen diese die Zahl der Zeilen, die ein Anwender abfragen oder verändern kann. Anwender werden anschließend Rechte zugewiesen, die Security-Label spezifizieren. Diese lassen sich zu logischen Ausdrücken vereinigen, um Zugriffskontrollen nach Bedarf zu kreieren. Zum Beispiel werdem einem Finanzmanager die Label „Manager“ und „Finanzabteilung“ zugewiesen werden.

Anwendungs- und Datenbank-Administratoren legen diese Labels anhand der Security-Policies der Firma fest. Die Nutzerautorisierung wird auf sicheren Dritt-Servern gespeichert. Sobald eine Anwendung eine Operation, wie zum Beispiel eine Anfrage oder ein Update ausführt, wird die Autorisierung von diesem Server abgerufen und an Accumulo weitergeleitet. Wurde der Vorgang ausgeführt, wird der Satz von Berechtigungen mit den Datenzellen verglichen. Dabei ist der Satz zugänglicher Zeilen für diesen Anwender limitiert.

Amazon DynamoDB

Amazon Dynamo Database (DB) ist eines der am schnellsten wachsenden Angebote innerhalb der Amazon Web Services (AWS). DynamoDB ist ein Key-Value-Datenbank-Service, der automatische Skalierbarkeit und IOPS bereitstellt. Amazon DynamoDB ist eine Option für Entwickler und Anwendungsmanager, die einen gehosteten Service einer eigenen NoSQL-Datenbank vorziehen. Für AWS-Anwender, die bereits Zeit und Geld in IAM-Policies investiert haben, könnte das besonders attraktiv sein. Damit lassen sich in DynamoDB gespeicherte Daten feingliedrig kontrollieren.

Für die genaue Zugriffskontrolle in Amazon DynamoDB müssen Administratoren die Konditionen in einer IAM-Policy spezifizieren. Diese Konditionen erlauben den Zugriff auf bestimmte Elemente oder Attribute in der Key-Value-Datenbank. Das Modell begrenzt den Zugriff auf Werte oder Zeilen. Es ist zum Beispiel möglich, die Daten mit einem Kundenkonto zu verbinden. Damit sieht der entsprechende Kunde nur seine Daten. Administratoren können zudem Regeln für den Zugriff auf bestimmte Attribute definieren. Auf diese Weise lässt sich etwa festlegen, dass nur Mitarbeiter ein Attribut in der Datenbank sehen dürfen.

MarkLogic

Dokumentebasierte NoSQL-Datenbanken, wie zum Beispiel MarkLogic, können rollenbasierte Zugriffkontrollen auf Gruppen und Dokumente in einzelne Fächer (Compartments) erweitern. Diese ermöglichen Zugriffskontroll-Prüfungen und rollenbasierte Kontrollen. Sobald einem Dokument ein „Fach“ zugewiesen wurde, können nur Anwender in diesem auf das Dokument zugreifen.

MarkLogic stellen außerdem Zugriffskontrollen für das Ausführen von Operationen zur Verfügung. Die Datenbank beinhaltet einen Satz vordefinierter Ausführungsrechte, die sich um Daten-Management, Security und andere Administrationsprozesse kümmern. Datenbank-Administratoren können diese Privilegien erstellen, um das Ausführen von Abfragen zu kontrollieren. Ein Ausführungsrecht ist in der Definition einer Abfrage enthalten und auch den Rollen zugeordnet. Nur Anwender mit entsprechenden Rechten können damit eine Abfrage ausführen.

Über den Autor: Dan Sullivan ist Autor, System-Architekt und Berater mit mehr als 20 Jahren IT-Erfahrung. Er war in den Bereichen Analytics, System-Architektur, Datenbank-Design, Enterprise Security und Business Intelligence (BI) beschäftigt. Er hat für ein breites Spektrum an Firmen, wie zum Beispiel Finanzdienstleister, Fertigungsbetriebe, Pharmaunternehmen, Softwareentwickler, Behörden, Einzelhändler und Bildungseinrichtungen, gearbeitet. Sullivan befasst sich in seinen Artikeln mit Data Warehousing, Cloud Computing, Analytics, Security-Management und Collaboration.

Erfahren Sie mehr über Datenbanken

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close