Nutzung der VAST Data Platform-Software

Nutzung der VAST Data Platform-Software

Inhalt verstecken
1 Einführung
2 Was ist die VAST-Datenplattform
3 Netzwerk- und Knotensegmentierung
4 Logische Mandantenfähigkeit
5 Autorisierungs- und Identitätsmanagement
6 Zugriffskontrolle
7 Protokoll-ACLs und SELinux-Labels
8 Zertifikatsverwaltung und Verschlüsselung
9 Katalog und Audit
10 Gewartetes und gesichertes Betriebssystem
11 Sichere Software-Lieferkette
12 Abschluss
13 Dokumente / Ressourcen
13.1 Verweise

Einführung

In der heutigen datengesteuerten Welt sind die Vertraulichkeit und Sicherheit unstrukturierter Daten von größter Bedeutung. Multi-Category Security (MCS) und sichere Mandantenfunktionen bieten einen robusten Rahmen, um diese Bedenken auszuräumen. MCS, ein Zugriffskontrollmechanismus in Security-Enhanced Linux (SELinux), erhöht die Datenvertraulichkeit durch die Zuweisung bestimmter Kategorien an files und Prozesse. Dadurch wird sichergestellt, dass nur autorisierte Benutzer und Prozesse auf vertrauliche Informationen zugreifen können, und es wird eine zusätzliche Schutzebene für unstrukturierte Daten wie Dokumente, Bilder und Videos bereitgestellt.

Sichere Mandantenfähigkeit stärkt die Datenisolierung zusätzlich, indem sie unterschiedliche Umgebungen für verschiedene Gruppen, Abteilungen oder Organisationen innerhalb derselben Infrastruktur schafft. Dieser Ansatz stellt sicher, dass die Daten jedes Mandanten logisch oder physisch getrennt sind, wodurch unbefugter Zugriff verhindert und der Datenschutz gewahrt wird. Zu den wichtigsten Aspekten sicherer Mandantenfähigkeit gehören Ressourcenisolierung, Datentrennung, Netzwerksegmentierung und granulare Zugriffskontrollen.

Die VAST Data Platform verkörpert diese Prinzipien durch ihre umfassende Palette an Funktionen, darunter VLAN tagGing, rollen- und attributbasierte Zugriffskontrollen und robuste Verschlüsselungsmechanismen. Dieses Dokument untersucht, wie die Integration von MCS mit sicherer Mandantenfähigkeit innerhalb der VAST-Datenplattform eine umfassende und sichere Lösung für die Verwaltung unstrukturierter Daten bietet, insbesondere für Organisationen mit strengen Anforderungen an die Datenvertraulichkeit. Diese Einführung ist prägnant, fokussiert und bietet eine klare Anleitung zum Inhalt des Dokuments, die sich an Best Practices für technische Dokumentation orientiert.

Was ist die VAST-Datenplattform

Die VAST Data Platform ist eine umfassende Lösung für den Umgang mit unstrukturierten Daten, insbesondere für KI- und Deep-Learning-Anwendungen. Sie integriert verschiedene Funktionen zum Erfassen, Katalogisieren, Beschriften, Anreichern und Aufbewahren von Daten und ermöglicht einen nahtlosen Datenzugriff vom Edge bis zur Cloud.

Disaggregierte und gemeinsam genutzte Architektur (DASE)

Diese Architektur entkoppelt die Rechenlogik vom Systemzustand und ermöglicht eine unabhängige Skalierung der Kapazität durch Hinzufügen von Datenknoten (DNodes) und der Leistung durch Hinzufügen von Rechenknoten (CNodes). Sie kombiniert gemeinsam genutzte und transaktionale Datenstrukturen, um die Einschränkungen traditioneller verteilter Systeme zu überwinden.

Unterstützte Clients: NFS, NFSoRDMA Server Message Block (SMB), Amazon S3 und Container (CSI)

Was ist die VAST-Datenplattform
Zustandslose Protokollserver (CNodes)
Disaggregierte und gemeinsam genutzte Architektur (DASE)

VAST DataStore

Der 2019 eingeführte DataStore ist für die Speicherung und Bereitstellung unstrukturierter Daten konzipiert. Er löst den Kompromiss zwischen Leistung und Kapazität auf und eignet sich daher für die unternehmensweite Speicherung unstrukturierter Daten mit KI-Unterstützung.
VAST-Datenbank

Diese Komponente bietet die Transaktionsleistung einer Datenbank, die Analyseleistung eines Data Warehouse sowie die Skalierbarkeit und Erschwinglichkeit eines Data Lake. Sie unterstützt sowohl die zeilen- als auch die spaltenbasierte Datenspeicherung.
VAST DataSpace

DataSpace wurde 2023 eingeführt und bietet globalen Datenzugriff vom Edge bis zur Cloud und verbindet dabei strikte Konsistenz mit lokaler Leistung. Es ermöglicht die Berechnung von Daten von jeder öffentlichen, privaten oder Edge-Cloud-Plattform.

Die Plattform vereint strukturierte und unstrukturierte Daten sowie Datenbankanalysen und bietet einen globalen Namespace. Sie unterstützt verschiedene Protokolle wie NFS, SMB, S3, SQL und integriert Apache Spark für die Datentransformation und -nutzung aus Messagingsystemen.

Die Plattform ist für die Unterstützung von KI- und Unternehmensanwendungen konzipiert und bietet Deep-Data-Analyse und Deep-Learning-Funktionen in Echtzeit. Sie erfasst und verarbeitet Daten in Echtzeit und ermöglicht KI-Inferenz, Metadatenanreicherung und Modellneuschulung.

Was ist die VAST-Datenplattform

Netzwerk- und Knotensegmentierung

Die VAST Data Platform umfasst mehrere Funktionen zur effizienten Verwaltung und Netzwerksegmentierung, darunter die Gruppierungsfunktion für CNodes sowie die Möglichkeit, CNodes an VLANs zu binden. Hier finden Sie die detaillierten Beschreibungen dieser Funktionen sowie die entsprechenden Abschnitte aus der VAST Cluster 5.1-Dokumentation:

CNode-Gruppierung und -Pooling

Server-Pooling (CNode): Speicherprotokolle werden von den Compute Nodes (CNodes) bereitgestellt. Die VAST-Datenplattform ermöglicht die Gruppierung von CNodes in verschiedene Serverpools. Jedem Serverpool ist ein Satz virtueller IP-Adressen (VIPs) zugewiesen, die auf die CNodes im Pool verteilt werden. Dies bietet einen Mechanismus für die Dienstqualität (QoS), indem die Anzahl der jedem Pool zugewiesenen Server gesteuert wird. Wenn ein CNode offline geht, werden die von ihm bereitgestellten VIPs unterbrechungsfrei auf die verbleibenden CNodes im Pool verteilt. Dies gewährleistet Lastausgleich und hohe Verfügbarkeit.

  • Abschnitt: VAST Cluster-Dokumentation, „Virtuelle IP-Pools verwalten“ [S. 593]

VLAN TagBinden und Binden

VLAN Tagging: VLAN tagMit Ging können Administratoren steuern, welche virtuellen IPs welchen VLANs im Netzwerk ausgesetzt sind. Diese Funktion stellt sicher, dass der Netzwerkverkehr zwischen verschiedenen VLANs isoliert ist, wodurch unbefugter Zugriff und Datenverlust zwischen Mandanten verhindert werden. VLAN tagDie Konfiguration erfolgt durch die Erstellung virtueller IP-Pools innerhalb von VLANs in der VAST-Plattform, wodurch eine sichere Netzwerksegmentierung und -isolierung gewährleistet wird.

  • Abschnitt: VAST Cluster-Dokumentation, „TagErstellen virtueller IP-Pools mit VLANs“ [S. 147]
  • Abschnitt: Netzwerkzugriff und Speicherbereitstellung (v5.1) [S. 141]

Netzwerksegmentierung

Kontrollieren Sie den Zugriff auf Views und Protokolle: Eine RIESIGE View ist eine Multiprotokolldarstellung einer Netzwerkspeicherfreigabe, eines Exports oder Buckets. Die Plattform ermöglicht Administratoren die Steuerung, welche VLANs Zugriff auf bestimmte Views und welche Protokolle beim Zugriff auf die VIPs in diesen VLANs verwendet werden dürfen. Diese Funktion erhöht die Sicherheit, indem sie sicherstellt, dass nur autorisierte VLANs auf bestimmte Daten und Dienste zugreifen können. Sie wird konfiguriert mithilfe von View Richtlinien, die Zugriffsberechtigungen basierend auf VLANs festlegen können.

  • Abschnitt: VAST Cluster-Dokumentation, „Erstellen View Richtlinien“ [S. 628]

Logische Mandantenfähigkeit

Die VAST Data Platform bietet mehrere Funktionen im Zusammenhang mit Multi-Tenancy, die eine sichere Isolierung und Verwaltung von Tenants ermöglichen. Hier sind die wichtigsten Tenancy-Funktionen zusammen mit detaillierten Beschreibungen und den relevanten Abschnitten aus der VAST Cluster 5.1-Dokumentation:

Mieter

Beschreibung: Mandanten in der VAST-Datenplattform definieren isolierte Datenpfade und können über eigene Authentifizierungsquellen wie Active Directory (AD), LDAP oder NIS verfügen. Jeder Mandant kann auch seine eigenen Verschlüsselungsschlüssel verwalten und so sicherstellen, dass die Daten sicher von anderen Mandanten isoliert bleiben. Diese Funktion ist für Umgebungen mit mehreren Mandanten von entscheidender Bedeutung, in denen verschiedene Organisationen oder Abteilungen eine strikte Datentrennung aufrechterhalten müssen.

  • Abschnitt: Mandanten (v5.1) [S. 251]

View Richtlinien

Beschreibung: View Richtlinien definieren Zugriffsberechtigungen, Protokolle und Sicherheitseinstellungen für Views den Mandanten zugewiesen. Mit diesen Richtlinien können Administratoren steuern, wer auf die Daten zugreifen kann, welche Aktionen sie ausführen und welche Protokolle sie verwenden können. Diese detaillierte Kontrolle ist für die Aufrechterhaltung der Sicherheit und Compliance in Umgebungen mit mehreren Mandanten unerlässlich.

  • Abschnitt: Verwalten Views und View Richtlinien (v5.1) [Seite 260]

VLAN-Isolierung

Beschreibung: VLANs können an einen bestimmten Mandanten gebunden werden, um den Datenverkehr zwischen Mandanten weiter zu isolieren und so zu verhindern, dass Cross-Routing oder Broadcast-Datenverkehr über die L2-Grenze hinweg auftritt.

  • Abschnitt: TagVirtuelle IP-Pools mit VLANs einrichten [S. 147]

Dienstqualität (QoS)

Beschreibung: QoS-Richtlinien bieten detaillierte Leistungskontrollen für Bandbreite und IOPs (Input/Output-Operationen pro Sekunde) für Views den Mandanten zugewiesen. Diese Richtlinien gewährleisten eine vorhersehbare Leistung und verhindern Probleme mit Ressourcenkonflikten, was insbesondere in Umgebungen mit mehreren Mandanten wichtig ist, in denen verschiedene Mandanten unterschiedliche Leistungsanforderungen haben können. Zusätzlich zu den QoS-Höchstschwellenwerten, die dazu beitragen, eine Leistungserschöpfung zu verhindern, sind auch QoS-Mindestschwellenwerte verfügbar, um das Problem der lauten Nachbarn bei mehreren Mandanten zu vermeiden.

  • Abschnitt: Quality of Service (v5.1) [S. 323]

Kontingente

Beschreibung: Mit Kontingenten können Administratoren Kapazitätsgrenzen festlegen für Views und Verzeichnisse zur Mandantenisolierung. Diese Funktion stellt sicher, dass kein einzelner Mandant mehr als den ihm zugewiesenen Anteil an Ressourcen verbrauchen kann, und trägt dazu bei, eine unerwartete Erschöpfung der Systemkapazitätsressourcen zu verhindern.

  • Abschnitt: Verwalten von Kontingenten (v5.1) [S. 314]

Autorisierungs- und Identitätsmanagement

Mandanten- und Identitätsmanagement

Beschreibung: Mandanten in der VAST-Datenplattform definieren isolierte Datenpfade und können über eigene Authentifizierungsquellen wie Active Directory (AD), LDAP oder NIS verfügen. Die Plattform unterstützt bis zu acht eindeutige Identitätsanbieter, die für die Verwendung auf Mandantenebene konfiguriert werden können.

  • Abschnitt: Mandanten (v5.1) [S. 251]

Views

Beschreibung: Views sind Multiprotokollfreigaben, Exporte oder Buckets, die bestimmten Mandanten gehören. Sie bieten sicher isolierten Datenzugriff und stellen sicher, dass jeder Mandant nur auf seine eigenen Daten zugreifen kann. Views können mit spezifischen Zugriffsberechtigungen und Protokollen konfiguriert werden, was sie für unterschiedliche Anwendungsfälle vielseitig einsetzbar macht.

  • Abschnitt: Verwalten Views und View Richtlinien (v5.1) [Seite 260]

View Richtlinien

Beschreibung: View Richtlinien definieren Zugriffsberechtigungen, Protokolle und Sicherheitseinstellungen für views den Mandanten zugewiesen. Mit diesen Richtlinien können Administratoren steuern, wer auf die Daten zugreifen kann, welche Aktionen sie ausführen und welche Protokolle sie verwenden können. Diese detaillierte Kontrolle ist für die Aufrechterhaltung der Sicherheit und Compliance in Umgebungen mit mehreren Mandanten unerlässlich.

  • Abschnitt: Verwalten Views und View Richtlinien (v5.1) [Seite 260]

Zugriffskontrolle

Die VAST Data Platform bietet eine umfassende Suite an Funktionen für Autorisierung und Identitätsmanagement. Hier finden Sie die detaillierten Beschreibungen der einzelnen Funktionen zusammen mit den entsprechenden Abschnitten und Seitenzahlen aus der VAST Cluster 5.1-Dokumentation:

Zugriffskontrolle

Rollenbasierte Zugriffskontrolle (RBAC)

Beschreibung: VAST Cluster verwendet ein rollenbasiertes Zugriffskontrollsystem (RBAC) zur Verwaltung des Zugriffs auf das VAST Management System (VMS). RBAC ermöglicht Administratoren, Rollen mit bestimmten Berechtigungen zu definieren und diese Rollen Benutzern zuzuweisen. Dadurch wird sichergestellt, dass Benutzer nur auf die für ihre Rollen erforderlichen Ressourcen und Aktionen zugreifen können. Dies erhöht die Sicherheit und vereinfacht die Verwaltung.

  • Abschnitt: Autorisieren des VMS-Zugriffs und der Berechtigungen [S. 82]

Attributbasierte Zugriffskontrolle (ABAC)

Beschreibung: Attribute-Based Access Control (ABAC) wird unterstützt auf viewDer Zugriff erfolgt über NFSv4.1 mit Kerberos-Authentifizierung oder über SMB mit Kerberos- oder NTLM-Authentifizierung. ABAC ermöglicht den Zugriff auf eine view wenn das Benutzerkonto in Active Directory ein zugeordnetes ABAC-Attribut hat, das mit dem ABAC übereinstimmt tag zugeordnet zu der view. Dies ermöglicht eine feinkörnige Zugriffskontrolle basierend auf Benutzerattributen.

  • Abschnitt: Attributbasierte Zugriffskontrolle (ABAC) [S. 269] Zugriffskontrolle

Single Sign-On (SSO)-Authentifizierung

Beschreibung: VAST VMS unterstützt Single Sign-On (SSO)-Authentifizierung mithilfe von SAML-basierten Identitätsanbietern (IdP). Dadurch können sich VMS-Manager mit ihren Anmeldeinformationen von einem IdP wie Okta bei einem VAST-Cluster anmelden, der zusätzlich Multi-Faktor-Authentifizierungsfunktionen (MFA) bereitstellen kann. SSO vereinfacht den Anmeldevorgang und erhöht die Sicherheit durch die Zentralisierung der Authentifizierung.

  • Abschnitt: SSO-Authentifizierung in VMS konfigurieren [S. 90]

Active Directory-Integration

Beschreibung: VAST Cluster unterstützt die Integration mit Active Directory (AD) für die Authentifizierung und Autorisierung von VMS- und Datenprotokollbenutzern. Dadurch können Organisationen ihre vorhandene AD-Infrastruktur nutzen, um den Benutzerzugriff auf VAST Cluster-Ressourcen zu verwalten. Die AD-Integration unterstützt Funktionen wie den SID-Verlauf für Gruppen und Benutzer und gewährleistet so eine nahtlose Zugriffskontrolle.

  • Abschnitt: Herstellen einer Verbindung zum Active Directory (v5.1) [S. 347]

LDAP-Integration

Beschreibung: Die Plattform unterstützt die Integration mit LDAP-Servern für die Authentifizierung und Autorisierung von VMS- und Datenprotokollbenutzern. Auf diese Weise können Organisationen ihre vorhandenen LDAP-Verzeichnisse verwenden, um den Zugriff auf VAST-Clusterressourcen zu verwalten, und erhalten so eine flexible und skalierbare Authentifizierungslösung.

  • Abschnitt: Verbindung zu einem LDAP-Server herstellen (v5.1) [S. 342]

NIS-Integration

Beschreibung: VAST Cluster unterstützt die Integration mit Network Information Service (NIS) zur Datenprotokoll-Benutzerauthentifizierung. Diese Funktion ist nützlich für Umgebungen, die für die Verwaltung von Benutzerinformationen und Zugriffskontrolle auf NIS angewiesen sind.

  • Abschnitt: Verbindung zu NIS herstellen (v5.1) [S. 358]

Lokale Benutzer und Gruppen

Beschreibung: Administratoren können lokale Benutzer und Gruppen direkt im VAST-Cluster verwalten. Dazu gehört das Erstellen, Ändern und Löschen lokaler Benutzerkonten und Gruppen sowie das Zuweisen von Berechtigungen und Rollen zu diesen Konten.

  • Abschnitt: Lokale Benutzer verwalten (v5.1) [S. 335]
  • Abschnitt: Lokale Gruppen verwalten (v5.1) [S. 337] Zugriffskontrolle

Protokoll-ACLs und SELinux-Labels

Die VAST-Datenplattform unterstützt verschiedene Protokoll-ACLs und SELinux-Labelfunktionen und gewährleistet so eine robuste Zugriffskontrolle und Sicherheit. Hier sind die detaillierten Beschreibungen der einzelnen Funktionen zusammen mit den relevanten Abschnitten und Seitenzahlen aus der VAST Cluster 5.1-Dokumentation:

POSIX-Zugriffskontrolllisten (ACLs)

Beschreibung: VAST-Systeme unterstützen POSIX ACLs, sodass Administratoren detaillierte Berechtigungen definieren können für files und Ordner über das einfache Unix/Linux-Modell hinaus. POSIX-ACLs ermöglichen die Zuweisung von Berechtigungen an mehrere Benutzer und Gruppen und bieten eine flexible und granulare Zugriffskontrolle.

  • Abschnitt: NFS File Freigabeprotokoll (v5.1) [Seite 154]

NFSv4-ACLs

Beschreibung: NFSv4 ist ein Stateful-Protokoll mit sicherer Authentifizierung über Kerberos, das detaillierte ACLs unterstützt. Diese ACLs sind in ihrer Granularität denen in SMB und NTFS ähnlich und ermöglichen eine robuste Zugriffskontrolle. NFSv4-ACLs können mit Standard-Linux-Tools über das NFS-Protokoll verwaltet werden.

  • Abschnitt: NFS File Freigabeprotokoll (v5.1) [Seite 154]

SMB-ACLs

Beschreibung: SMB-ACLs werden auf die gleiche Weise wie Windows-Freigaben verwaltet, sodass Benutzer über PowerShell-Skripts und Windows detaillierte Windows-ACLs festlegen können. File Explorer über SMB. Diese ACLs, einschließlich Sperrlisteneinträgen, können für Benutzer erzwungen werden, die gleichzeitig über SMB- und NFS-Protokolle zugreifen.

  • Rubrik: SMB File Freigabeprotokoll im VAST-Cluster (v5.1) [S. 171]

S3-Identitätsrichtlinien

Beschreibung: Die S3 Native Security Flavor ermöglicht die Verwendung von S3-Identitätsrichtlinien zur Zugriffskontrolle und das Festlegen und Ändern von ACLs gemäß S3-Regeln. Diese Funktion bietet eine detaillierte Zugriffskontrolle für S3-Buckets und -Objekte.

  • Abschnitt: S3 Object Storage Protocol (v5.1) [S. 182]

Multiprotokoll-ACLs

Beschreibung: VAST unterstützt Multiprotokoll-ACLs und bietet ein einheitliches Berechtigungsmodell für den Datenzugriff über verschiedene Protokolle hinweg. Dies gewährleistet eine konsistente Zugriffskontrolle und Sicherheit unabhängig vom für den Datenzugriff verwendeten Protokoll.

  • Abschnitt: Multiprotokoll-Zugriff (v5.1) [S. 151]

SELinux-Labelfunktionen

1. NFSv4.2-Sicherheitslabels

Beschreibung: VAST Cluster 5.1 unterstützt NFSv4.2-Labeling im Limited Server Mode. In diesem Modus kann der VAST Cluster Sicherheitslabels speichern und zurückgeben von files und Verzeichnisse auf NFS views von NFSv4.2-fähigen Mandanten, aber der Cluster erzwingt keine labelbasierte Zugriffsentscheidung. Labelzuweisung und -validierung werden von NFSv4.2-Clients durchgeführt.

  • Abschnitt: NFSv4.2-Sicherheitslabels (v5.1) [S. 169]

Zertifikatsverwaltung und Verschlüsselung

Die VAST Data Platform bietet eine umfassende Suite an Funktionen für Verschlüsselung und Zertifikatsverwaltung. Hier finden Sie die detaillierten Beschreibungen der einzelnen Funktionen zusammen mit den entsprechenden Abschnitten und Seitenzahlen aus der VAST Cluster 5.1-Dokumentation:

Verschlüsselung ruhender Daten

Beschreibung: Die VAST Data Platform unterstützt die Verschlüsselung ruhender Daten mithilfe externer Schlüsselverwaltungslösungen. Diese Funktion stellt sicher, dass auf der Plattform gespeicherte Daten sicher mit Schlüsseln verschlüsselt werden, die außerhalb des VAST-Clusters aufbewahrt werden, wodurch die Daten vor unbefugtem Zugriff geschützt werden. Die Plattform unterstützt die Thales CipherTrust Data Security Platform und Fornetix Vault Core für die externe Schlüsselverwaltung. Jeder Cluster verfügt über einen eindeutigen Hauptschlüssel und die Verschlüsselung kann während der Ersteinrichtung des Clusters aktiviert werden.

  • Abschnitt: Datenverschlüsselung (v5.1) [S. 128]

FIPS 140-3 Level 1-Validierung

Die VAST-Datenplattform integriert das OpenSSL 1.1.1 Cryptographic Module, das FIPS 140-3 Level 1-validiert ist. Die Zertifikatsnummer für diese Validierung lautet #4675. Die gesamte Verschlüsselung für übertragene und ruhende Daten ist mit dem FIPS-validierten OpenSSL 1.1.1 Cryptographic Module verknüpft. Die Plattform verwendet TLS 1.3 für die sichere Datenübertragung und 256-Bit-AES-XTS-Verschlüsselung für ruhende Daten, wodurch robuste Sicherheit und Einhaltung von Industriestandards gewährleistet werden. Verbesserung der Datensicherheit und -verwaltung mit Multi-Category-Sicherheit und Secure Tenancy 14

  • Quelle: Cryptographic Module Validation Program (CMVP)

TLS-Zertifikatsverwaltung

Beschreibung: Die Plattform unterstützt die Installation und Verwaltung von TLS-Zertifikaten zur Sicherung der Kommunikation
mit dem VAST Management System (VMS). Administratoren können TLS-Zertifikate installieren, um sicherzustellen, dass übertragene Daten
zwischen den Clients und dem VMS ist verschlüsselt und sicher.

• Abschnitt: Installieren eines SSL-Zertifikats für VMS (v5.1) [S. 78]

mTLS-Authentifizierung für VMS-Clients

Beschreibung: Die Plattform unterstützt gegenseitige TLS-Authentifizierung (mTLS) für VMS-GUI- und API-Clients. Wenn mTLS aktiviert ist, verlangt VMS, dass der Client ein von einer bestimmten Zertifizierungsstelle signiertes Zertifikat vorlegt. Dadurch wird eine Ebene der gegenseitigen Authentifizierung hinzugefügt, in der sich sowohl der Client als auch der Server gegenseitig authentifizieren. Dies bietet eine zusätzliche Sicherheitsebene für die Kommunikation mit dem VMS, um optional PIV/CAC-Karten zu unterstützen.

  • Abschnitt: Aktivieren der mTLS-Authentifizierung für VMS-Clients (v5.1) [S. 78]

Sichern der Active Directory-Kommunikation

Die VAST Data Platform bietet robuste Sicherheitsmaßnahmen für die Active Directory (AD)-Authentifizierung, indem Administratoren die NTLM v1- und v2-Protokolle deaktivieren können. NTLM (NT LAN Manager) ist ein älteres Authentifizierungsprotokoll mit bekannten Schwachstellen, was es im Vergleich zu moderneren Protokollen wie Kerberos weniger sicher macht.

  • Abschnitt: Herstellen einer Verbindung zum Active Directory (v5.1) [S. 347]

Sichern des S3-Zugriffs

Die VAST-Datenplattform verbessert die Sicherheit des S3-Zugriffs, indem Sie die Signatur der Signaturversion 2 (SigV2) deaktivieren können. Dadurch wird sichergestellt, dass alle S3-Interaktionen mit der sichereren Signaturversion 4 (SigV4) durchgeführt werden. Darüber hinaus erzwingt die Plattform die Verwendung von TLS 1.3 für die S3-Kommunikation und nutzt dabei FIPS 140-3-validierte Chiffren.

  • Abschnitt: S3 Object Storage Protocol (v5.1) [S. 182]

Krypto-Löschung

Beschreibung: Crypto Erase ist eine Methode zum Entfernen der Daten eines Mandanten aus einem VAST-System. Dies geschieht durch Widerrufen oder Löschen der Schlüssel des Mandanten entweder mithilfe des VAST-Systems oder des External Key Managers. Das VAST-System löscht die Data Encryption Keys (DEKs) und Key Encryption Keys (KEKs) aus dem System-RAM und entfernt so sofort den Zugriff auf alle mit diesen Schlüsseln geschriebenen Daten. Das VAST-System kann dann die verschlüsselten Daten löschen. Diese Funktion bietet eine Methode zum sicheren Löschen von Daten im Falle eines Datenverlusts oder wenn ein Mandant die Plattform verlässt.

Abschnitt: Datenverschlüsselung (v5.1) [S. 128]

Katalog und Audit

Die VAST Data Platform bietet eine umfassende Suite an Funktionen für Auditing und Katalogisierung und sorgt so für robustes Datenmanagement und Compliance. Hier finden Sie die detaillierten Beschreibungen der einzelnen Funktionen zusammen mit den entsprechenden Abschnitten und Seitenzahlen aus der VAST Cluster 5.1-Dokumentation:

Protokollprüfung

Beschreibung: Die Protokollüberwachung in der VAST Data Platform protokolliert Vorgänge, die erstellen, löschen oder ändern files, Verzeichnisse, Objekte und Metadaten. Außerdem werden Lesevorgänge und Sitzungsaktivitäten protokolliert. Diese Funktion hilft bei der Verfolgung von Benutzeraktivitäten und der Gewährleistung der Einhaltung von Sicherheitsrichtlinien. Administratoren können globale Überwachungseinstellungen konfigurieren und view Audit-Protokolle durch das VAST Web UI oder CLI.

  • Abschnitt: Protokollüberwachung überview [Seite 243]
  • Abschnitt: Globale Überwachungseinstellungen konfigurieren [S. 243]
  • Abschnitt: Konfigurieren der Überwachung mit View Richtlinien [Seite 245]
  • Abschnitt: Überwachte Protokollvorgänge [S. 245]
  • Abschnitt: ViewProtokolle für Protokollprüfungen [S. 248]

Speichern von Protokollprüfprotokollen in VAST-Datenbanktabellen

Beschreibung: VAST Data Platform ermöglicht die Konfiguration von VMS zum Speichern von Protokollprüfprotokollen in einer VAST-Datenbanktabelle. Protokolleinträge werden als JSON-Datensätze gespeichert, die viewdirekt aus dem VAST Web Benutzeroberfläche auf der VAST-Audit-Log-Seite. Diese Funktion verbessert die Möglichkeit, detaillierte Audits und Analysen von Benutzeraktivitäten durchzuführen. Abschnitt: Protokoll-Audit-Logs in VAST-Datenbanktabellen speichern [S. 25]

VAST-Katalog

Beschreibung: Der VAST-Katalog ist ein integrierter Metadatenindex, der es Benutzern ermöglicht, Daten schnell zu suchen und zu finden. Er behandelt die file System wie eine Datenbank, sodass KI- und ML-Anwendungen der nächsten Generation es als selbstreferenziellen Feature-Store verwenden können. Der Katalog unterstützt SQL-artige Abfragen und bietet eine intuitive WebBenutzeroberfläche, umfangreiche CLI und APIs zur Interaktion.

  • Abschnitt: VAST-Katalog vorbeiview [Seite 489]
  • Abschnitt: VAST-Katalog konfigurieren [S. 491]
  • Abschnitt: Abfragen des VAST-Katalogs aus dem VAST Web Benutzeroberfläche [Seite 492]
  • Abschnitt: Clientzugriff auf VAST Catalog CLI bereitstellen [S. 493] Katalog und Audit

VAST-Datenbank

Beschreibung: Die VAST-Datenbank erweitert die Funktionen des VAST-Katalogs, indem sie komplexere Inhalte in einer voll funktionsfähigen Datenbank speichert. Sie unterstützt schnelle und umfangreiche Datenabfragen und speichert Daten in einem effizienten Spaltenformat ähnlich Apache Parquet. Die Datenbank ist für Echtzeit-Abfragen mit feiner Körnung in riesigen Reserven tabellarischer Daten und katalogisierter Metadaten konzipiert.

  • Abschnitt: VAST-Datenbank überview [Seite 495]
  • Abschnitt: Konfigurieren des VAST-Clusters für den Datenbankzugriff [S. 499]
  • Abschnitt: VAST Database CLI – Kurzanleitung [S. 494]

Felder im Audit-Log-Datensatz

Beschreibung: Die Felder des Audit-Log-Datensatzes liefern detaillierte Informationen zu jedem protokollierten Ereignis, einschließlich der Art der Operation, Benutzerdetails, Zeitamps und betroffene Ressourcen. Diese detaillierte Protokollierung ist für die Einhaltung von Vorschriften und die forensische Analyse von entscheidender Bedeutung.

  • Abschnitt: Felder im Audit-Log-Datensatz [S. 250]

ViewProtokollüberwachungsprotokolle

Beschreibung: Administratoren können view Protokollieren von Audit-Logs über das VAST Web UI oder CLI. Die Protokolle bieten Einblicke in Benutzeraktivitäten und Systemvorgänge und helfen so, die Einhaltung von Vorschriften sicherzustellen und nicht autorisierte Aktionen zu erkennen.

  • Abschnitt: ViewProtokolle für Protokollprüfungen [S. 248]

Gewartetes und gesichertes Betriebssystem

Die VAST Data Platform verfolgt einen umfassenden Ansatz zur Sicherung ihres Betriebssystems und gewährleistet eine robuste
Schutz und Einhaltung von Industriestandards. Hier sind die wichtigsten Aspekte des Betriebssystems und der implementierten Sicherheitsmaßnahmen:

Gewartetes Betriebssystem

Beschreibung: VAST Data Platform verwendet ein von CIQ bereitgestelltes, gewartetes Betriebssystem, nämlich Enterprise Rocky 8, ein binärkompatibles RHEL-Betriebssystem-Image. Die Mountain Platform von CIQ bietet eine sichere, autoritative und hochgradig skalierbare Lösung für die Bereitstellung von Images, Paketen und Containern, die sowohl in der öffentlichen Cloud als auch vor Ort verfügbar ist.

Regelmäßiges Patching und Schwachstellenmanagement

Beschreibung: VAST stellt sicher, dass das Betriebssystem regelmäßig gepatcht und aktualisiert wird, indem es über die neuesten Sicherheitslücken informiert bleibt, notwendige Patches anwendet und geeignete Gegenmaßnahmen zeitnah implementiert. Dieser proaktive Ansatz trägt dazu bei, die Sicherheitslage des Betriebssystems aufrechtzuerhalten.

Kontinuierliche Überwachung

Beschreibung: Um die Sicherheit des Betriebssystems aufrechtzuerhalten, werden kontinuierliche Überwachungspraktiken implementiert. Dazu gehören regelmäßige Bewertungen, Audits undviews der Sicherheitskontrollen und -konfigurationen des Systems sowie die Aktivierung der Protokollierung verdächtiger Aktivitäten und potenzieller Sicherheitsvorfälle.

DISA STIG-Konformität

Beschreibung: Die VAST Data Platform unterstützt den DISA STIG (Security Technical Implementation Guide) für RedHat Linux 8, MAC 1 Profile – Als unternehmenskritisch eingestuft. Diese Konformität stellt sicher, dass das Betriebssystem die strengen Sicherheitsstandards einhält, die von Kunden in regulierten Umgebungen gefordert werden.

Konfigurationsmanagement

Beschreibung: Die Plattform verwaltet eine Basiskonfiguration für RHEL 8-Systeme, einschließlich Einstellungen für Systemkomponenten, file Berechtigungen und Softwareinstallation. Es implementiert auch Änderungskontrollprozesse zur Verfolgung, erneutenviewund genehmigen Sie Änderungen an der Systemkonfiguration, um sicherzustellen, dass die Systeme eine sichere und standardisierte Konfiguration einhalten.

Geringste Funktionalität

Beschreibung: Das Prinzip der geringsten Funktionalität wird durch die Empfehlung betont, unnötige Software, Dienste und Systemkomponenten zu entfernen oder zu deaktivieren. Dadurch werden potenzielle Schwachstellen und Angriffsmethoden reduziert.

System- und Informationsintegrität

Beschreibung: Die Verschlüsselungs- und Schlüsselverwaltungsfunktionen der Plattform sowie ihre Integration mit SIEM-Systemen tragen dazu bei, die Integrität von Daten und Informationen sicherzustellen. Dazu gehören regelmäßige Sicherheitsbewertungen, Penetrationstests und Schwachstellenmanagement, um aktuelle Sicherheitspatches, Konfigurationen und Best Practices sicherzustellen.

Sichere Software-Lieferkette

Die Gewährleistung einer sicheren Software-Lieferkette ist für die Einhaltung von Vorschriften wie dem Trade Agreements Act (TAA), der Federal Acquisition Regulation (FAR) und ISO-Standards von entscheidender Bedeutung. Die VAST Data Platform implementiert umfassende Maßnahmen zur Sicherung ihrer Software-Lieferkette und stellt sicher, dass die Software korrekt entwickelt wird und strenge Sicherheitsanforderungen erfüllt.

Sicheres Software-Entwicklungsframework (SSDF))

Die VAST Data Platform übernimmt das NIST Secure Software Development Framework (SSDF), das Richtlinien für die sichere Softwareentwicklung bereitstellt. Dieses Framework trägt dazu bei, Softwarelieferketten vor Risiken zu schützen, indem es Praktiken für sicheres Codieren, Schwachstellenmanagement und kontinuierliches Monitoring beschreibt.

Software Composition Analysis (SCA)

Tools wie GitLab werden für Static Application Security Testing (SAST) und Dynamic Application Security Testing (DAST) verwendet, um sowohl proprietären als auch Open-Source-Code auf Schwachstellen zu analysieren. Dies ist entscheidend, um Sicherheitslücken vor der Bereitstellung zu identifizieren.

Software-Stückliste (SBOM)

Die Plattform generiert und verwaltet SBOMs, um die bei der Softwareentwicklung verwendeten Komponenten zu verfolgen. GitLab und Artifactory werden in der Pipeline genutzt, um die Transparenz und Einhaltung der Executive Order 14028 zu verbessern.

Kontinuierliche Integration und kontinuierliche Bereitstellung (CI/CD)-Pipeline

Eine CI/CD-Pipeline umfasst Sicherheitstests, Code-Reviewund Konformitätsprüfungen. Die Pipeline wird auf einer in den USA ansässigen Cloud-Plattform gehostet, um die TAA/FAR-Anforderungen zu erfüllen und sicherzustellen, dass alle Vorgänge in den USA durchgeführt und von US-Unternehmen verwaltet werden.

Container- und Paketsignierung

Die digitale Signierung von Containern und Paketen wird implementiert, um Integrität und Authentizität sicherzustellen. Docker Content Trust und RPM-Signierung sind empfohlene Vorgehensweisen zum Sichern von containerisierten Anwendungen und Paketverteilungen.

Schwachstellen- und Compliance-Scans

Tools wie Tenable und Qualys werden zum Scannen von Betriebssystemen und Build-Paketen sowie zur Erkennung von Viren und Malware verwendet. Diese Tools werden in die Pipeline integriert, um potenzielle Bedrohungen in der Softwareumgebung zu identifizieren und einzudämmen.

Verwaltung von Drittanbietersoftware

Alle Drittanbietersoftware, ob Open Source oder proprietär, wird von Standorten in den USA bezogen, um den TAA/FAR-Vorschriften zu entsprechen. Diese Software ist in die SAST- und DAST-Scanprozesse eingebunden, um die Sicherheit zu gewährleisten.

Dokumentation und Prüfpfade

Der gesamte Prozess vom Code-Check-in bis zum herunterladbaren Paket, das von den Kunden verwendet wird, wird umfassend dokumentiert. Diese Dokumentation ist unter Geheimhaltungsvereinbarung für Audits und Validierungen durch Kunden zugänglich, wie von der Geschäftsleitung gefordert.

Mitarbeiter- und Vermögensverwaltung

Der Prozess wird von Mitarbeitern der US-amerikanischen Einheit (Vast Federal) verwaltet, und alle im Softwareentwicklungs- und Bereitstellungsprozess verwendeten Vermögenswerte sind Eigentum dieser Einheit. Diese Konformität ist für die Einhaltung der Bundesbeschaffungsvorschriften von entscheidender Bedeutung.

Sichere Entwicklungsumgebung

Die Software wird in sicheren Umgebungen entwickelt und erstellt, mit Maßnahmen wie Multi-Faktor-Authentifizierung, bedingtem Zugriff und Verschlüsselung sensibler Daten. Regelmäßige Protokollierung, Überwachung und Prüfung von Vertrauensbeziehungen werden erzwungen.

Vertrauenswürdige Quellcode-Lieferketten

Mithilfe automatisierter Tools oder vergleichbarer Prozesse wird die Sicherheit des internen Codes und der Komponenten Dritter überprüft, sodass die damit verbundenen Schwachstellen wirksam behoben werden.

Überprüfung auf Sicherheitslücken

Vor der Veröffentlichung werden fortlaufende Schwachstellenprüfungen durchgeführt.asing neue Produkte, Versionen oder Updates. Ein Programm zur Offenlegung von Sicherheitslücken wird unterhalten, um offengelegte Software-Sicherheitslücken umgehend zu bewerten und zu beheben.

Abschluss

Die Integration von Multi-Category Security (MCS) mit sicheren Mandantenfunktionen bietet einen robusten Rahmen zur Verbesserung der Vertraulichkeit und Sicherheit unstrukturierter Daten. Durch den Einsatz von MCS können Unternehmen bestimmte Kategorien zuweisen files, wodurch sichergestellt wird, dass nur autorisierte Prozesse und Benutzer auf vertrauliche Informationen zugreifen können. Diese zusätzliche Sicherheitsebene ist für den Schutz unstrukturierter Daten wie Dokumente, Bilder und Videos von entscheidender Bedeutung.

Sichere Mandanten stärken die Datenisolation zusätzlich, indem sie unterschiedliche Umgebungen für verschiedene Gruppen, Abteilungen oder Organisationen innerhalb derselben Infrastruktur schaffen. Wichtige Aspekte wie Ressourcenisolierung, Datentrennung, Netzwerksegmentierung und granulare Zugriffskontrollen stellen sicher, dass die Daten jedes Mandanten privat und sicher bleiben. Die VAST Data Platform veranschaulicht diese Prinzipien durch ihre umfassende Suite von Funktionen, einschließlich VLAN tagGing, rollen- und attributbasierte Zugriffskontrollen und robuste Verschlüsselungsmechanismen.

Zusammenfassend lässt sich sagen, dass die VAST Data Platform mit ihrer Integration von MCS und Secure Tenancy eine umfassende und sichere Lösung für die Verwaltung unstrukturierter Daten bietet. Dieser Ansatz ist für Organisationen mit strengen Anforderungen an die Datenvertraulichkeit, wie etwa Behörden, Finanzinstitute und Gesundheitsdienstleister, von entscheidender Bedeutung. Durch die Implementierung dieser erweiterten Sicherheitsmaßnahmen können Organisationen ihre sensiblen Daten zuverlässig schützen und gleichzeitig ein effizientes und skalierbares Datenmanagement ermöglichen. Diese Schlussfolgerung enthält die wichtigsten Punkte und sorgt gleichzeitig für Klarheit und Prägnanz.

Abschluss

 

Symbol Weitere Informationen zur VAST Data Platform und wie sie Ihnen bei der Lösung Ihrer Anwendungsprobleme helfen kann, erhalten Sie unter hello@vastdata.com.

Logo

Dokumente / Ressourcen

VAST Datenplattform-Software [pdf] Benutzerhandbuch
Datenplattform-Software, Plattform-Software, Software
VAST Datenplattform-Software [pdf] Benutzerhandbuch
Datenplattform-Software, Plattform-Software, Software

Verweise

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind markiert *