Sentry

エンタープライズデータハブ向けのオープンソースのアクセスコントロール機能

Apache Sentry(インキュベート中)は、企業用途のビッグデータに対する次世代セキュリティ管理機能です。Apache Sentryでは、Apache Hadoopに格納されたデータに対してきめ細かな権限設定を行うことができます。Sentryは、オープンソースのSQLクエリフレームワークであるApache Hive、Cloudera Impalaおよびオープンソースの対話型サーチエンジンであるCloudera Searchを統合した独立型のセキュリティモジュールです。Sentryは、エンタープライズデータハブ(EDH)のデータを使用するマルチユーザーアプリケーションや組織横断的なプロセスに対し、高度な権限コントロールを可能にすることで、情報駆動型企業に向けた、次世代のデータマネージメントアーキテクチャーを実現します。Hadoop によるエンタープライズデータハブは、単独かつ低コストのプラットフォームであり、これによって企業は、あらゆるデータを効率的かつ安全に保存、処理、分析、管理、アーカイブ、また提供することができます。

Sentry_Download

HadoopベースのEDHは、システムレベルでの強力なセキュリティ機能を持っていますが、Sentryでは、さらに追加する形で、SQL、BI、検索ツールやアプリケーションセなどのセキュアなデータアクセスに必要となるきめ細なセキュリティコントロール機能を提供することができます。また、Apache PigやMapReduceといったツールと共に、EDHによるデータ操作を継続でき、必要に応じて、Hive、ImpalaおよびSearchのデータに対しても、きめ細かなアクセス管理機能を提供することができます。

ロールベースの管理 – データベース管理者は、ロールベースアクセスコントロール (RBAC) を設定したり、ユーザーやアプリケーションがデータに操作できる範囲を、サーバ、データベース、テーブルあるいは列レベルで定義することができます。

データの区別 – コンテンツの作成者や所有者は、同じデータセットに、機密データとそれ以外を区別なしに混在させることができます。

コンプライアンスの向上 – 業務担当者は、Hadoop の機能を活かして、HIPAA、SOX、PCIなどの規制に対処することができます。

ユーザーベースの拡大 – オペレーション担当者は、さまざまなユーザーにHadoopのデータシステムを開放し、Hadoopの性能を広く知らしめ、他の業界、組織や会社での利用に適した形に変えていくことができます。

Sentryでは、既存のHiveメタストアを利用し、Hadoopのコンカレント(同時実行)性やKerberos認証に基づくセキュリティ基盤拡張に向け、HiveServer2のための拡張可能なプラグインを提供します。Sentryは、EDH内のセキュアなアクセスのための中核サービスとして、Hadoopエコシステム内の他のシステムにも拡張することができます。

Sentryにより実現される機能:

• ユーザーのデータアクセスを総合的にコントロールできます

• 業務上のロールに応じたパーミッション管理をシンプルなものにします

• セキュリティ管理を他のアドミニストレーターに一任できます

• Hive、Impala、Searchなどのオープンソースのメリットを享受できます

Sentryによって、Hadoopがより安全でコンプライアンス性が高く、厳しい規制を受ける業界の使用にも耐え得るものなります

Sentryの主なメリット

厳密なデータアクセス

HiveやImpala内で、妥当なリソースやSQL処理に対し、データあるいはデータセットに対する適正で的確なアクセス許可を付与することができます。

容易な管理

Hive、Impalaデータベース、Search のインデックスに業務上のロールに応じたアクセス許可内容を事前定義の上、企業内のリソースに割り当てることで管理業務の簡素化を図ることができます。

コンプライアンスの確保

Hadoop内の同じデータセットをレプリケーションする必要なく、機密情報とそうでないデータを同じデータセットに格納し、コンプライアンスやガバナンス指針に遵守したデータの利用を実現します。

広範な適用                             

企業内のユーザーやデータの適用範囲を広げ、同時にHive、Impala、SearchおよびSentryが提供するコンカレンシー、認証、権限管理機能などを前提に、セキュリティに対する懸念を払拭することができます。

マルチユーザーアプリケーション

データセットに対するアクセスを適切なユーザー毎に分離し、またアクセス許可権限を管理者からローカルのデータベースアドミニストレーターに委譲することで、マルチユーザーアプリケーションをHive またはImpala上に作成することができます。

優れたソリューション

本人に任せる、「性善説的に」権限を許す、あるいは「融通の利かない」ファイルベースのアクセスコントロールにのみ依存するといった次善の選択を回避することができます。

 再利用性と拡張性

SQLやHadoopの検索機能以上にきめ細かな権限やセキュリティ設定を行うために、Hiveメタストアなどの既存システムに対し、信頼性が高くオープンで拡張性の高いフレームワークを提供します。

Sentryの主な特長

• Hive、Impala、Searchのためのきめ細かな権限設定
• サーバ、データベース、テーブル、列レベルでのセキュリティ設定
• ビュー、テーブルに対するSELECT権限
• テーブルに対するINSERT権限
• サーバに対するTRASFORM権限
• サーバ、データベース、テーブルおよびビューに対する全権限
• スコープ内のスキーマ作成と変更権限
• データベース、スキーマ、インデックスで権限設定を分けることが可能
• HiveServer2、Impala 1.1.0または以降、Search 1.1.0 または以降でサポート
• 現在のHiveメタストア アーキテクチャーをサポート
• 100% Apache ライセンス、100% オープンソース

Cloudera EnterpriseにおけるSentryのサポート

Cloudera Enterpriseを利用することで、実環境でSentryの能力を十分に引き出すことができます。また、エンタープライズデータハブの一部としてSentryとCloudera Enterpriseを同時に使用することで、Sentryに対する優れた技術支援を積極的な形で受けることができプロジェクトに好影響を及ぼすことができます。

Cloudera Enterpriseの詳細について >>

Enterprise