Podręcznik użytkownika oprogramowania platformy danych VAST

VAST Data Platform Software Use

Korzystanie z oprogramowania platformy danych VAST

Korzystanie z oprogramowania platformy danych VAST

Wstęp

W dzisiejszym świecie opartym na danych poufność i bezpieczeństwo nieustrukturyzowanych danych są najważniejsze. Multi-Category Security (MCS) i funkcje bezpiecznego najmu oferują solidne ramy pozwalające rozwiązać te problemy. MCS, mechanizm kontroli dostępu w systemie Security-Enhanced Linux (SELinux), zwiększa poufność danych poprzez przypisanie określonych kategorii do filei procesy. Dzięki temu tylko autoryzowani użytkownicy i procesy mają dostęp do poufnych informacji, zapewniając dodatkową warstwę ochrony nieustrukturyzowanych danych, takich jak dokumenty, obrazy i filmy.

Bezpieczna dzierżawa dodatkowo wzmacnia izolację danych, tworząc odrębne środowiska dla różnych grup, działów lub organizacji w ramach tej samej infrastruktury. Takie podejście gwarantuje, że dane każdego dzierżawcy są logicznie lub fizycznie oddzielone, zapobiegając nieautoryzowanemu dostępowi i zachowując prywatność danych. Kluczowe aspekty bezpiecznego najmu obejmują izolację zasobów, segregację danych, segmentację sieci i szczegółową kontrolę dostępu.

Platforma danych VAST stanowi przykład tych zasad poprzez kompleksowy zestaw funkcji, w tym VLAN tagkontrolę dostępu opartą na rolach i atrybutach oraz solidne mechanizmy szyfrowania. W tym dokumencie zbadano, w jaki sposób integracja MCS z bezpieczną dzierżawą w ramach platformy danych VAST zapewnia kompleksowe i bezpieczne rozwiązanie do zarządzania danymi nieustrukturyzowanymi, szczególnie dla organizacji o rygorystycznych wymaganiach dotyczących poufności danych. To wprowadzenie jest zwięzłe, konkretne i stanowi jasny przewodnik po treści dokumentu, zgodny z najlepszymi praktykami dotyczącymi dokumentacji technicznej.

Co to jest platforma danych VAST

Platforma danych VAST to kompleksowe rozwiązanie do obsługi danych nieustrukturyzowanych, szczególnie dla aplikacji AI i głębokiego uczenia się. Integruje różne możliwości przechwytywania, katalogowania, etykietowania, wzbogacania i zabezpieczania danych, zapewniając bezproblemowy dostęp do danych od brzegu do chmury.

Architektura zdezagregowana i współdzielona (DASE).

Ta architektura oddziela logikę obliczeniową od stanu systemu, umożliwiając niezależne skalowanie wydajności poprzez dodanie węzłów danych (DNodes) i wydajności poprzez dodanie węzłów obliczeniowych (CNodes). Łączy współdzielone i transakcyjne struktury danych, aby pokonać ograniczenia tradycyjnych systemów rozproszonych.

Obsługiwani klienci: NFS, blok komunikatów serwera NFSoRDMA (SMB), Amazon S3 i kontenery (CSI)

Co to jest platforma danych VAST
Bezstanowe serwery protokołów (CNodes)
Architektura zdezagregowana i współdzielona (DASE).

Magazyn danych VAST

Wprowadzony w 2019 roku DataStore przeznaczony jest do przechowywania i udostępniania danych nieustrukturyzowanych. Przełamuje kompromis między wydajnością a pojemnością, dzięki czemu nadaje się do przechowywania nieustrukturyzowanych danych obsługujących sztuczną inteligencję w przedsiębiorstwach.
Baza danych VAST

Ten komponent zapewnia wydajność transakcyjną bazy danych, wydajność analityczną hurtowni danych oraz skalę i przystępność jeziora danych. Obsługuje zarówno wierszowe, jak i kolumnowe przechowywanie danych.
Przestrzeń danych VAST

Wprowadzony na rynek w 2023 r. DataSpace zapewnia globalny dostęp do danych od brzegu do chmury, równoważąc ścisłą spójność z lokalną wydajnością. Umożliwia obliczenia na danych z dowolnej platformy chmury publicznej, prywatnej lub brzegowej.

Platforma ujednolica dane strukturalne i nieustrukturyzowane, analizę baz danych i zapewnia globalną przestrzeń nazw. Obsługuje różne protokoły, takie jak NFS, SMB, S3, SQL i osadza Apache Spark do transformacji i wykorzystania danych z systemów przesyłania wiadomości.

Platforma została zbudowana z myślą o obsłudze sztucznej inteligencji i aplikacji korporacyjnych, zapewniając głęboką analizę danych w czasie rzeczywistym i możliwości głębokiego uczenia się. Przechwytuje i przetwarza dane w czasie rzeczywistym, umożliwiając wnioskowanie AI, wzbogacanie metadanych i przekwalifikowanie modelu.

Co to jest platforma danych VAST

Segmentacja sieci i węzłów

Platforma danych VAST zawiera kilka funkcji związanych z wydajnością zarządzania i segmentacją sieci, w tym funkcjonalność grupowania CNode, a także możliwość wiązania CNodes z sieciami VLAN. Oto szczegółowe opisy tych funkcji wraz z odpowiednimi sekcjami z dokumentacji VAST Cluster 5.1:

Grupowanie i łączenie węzłów CNode

Pula serwerów (CNode): Protokoły przechowywania są obsługiwane z węzłów obliczeniowych (CNodes). Platforma danych VAST umożliwia grupowanie węzłów CNode w odrębne pule serwerów. Każda pula serwerów ma przypisany zestaw wirtualnych adresów IP (VIP), które są rozproszone pomiędzy węzłami CNode w puli. Zapewnia to mechanizm zapewniający jakość usług (QoS) poprzez kontrolowanie liczby serwerów przypisanych do każdej puli. Kiedy CNode przejdzie w tryb offline, obsługiwane adresy VIP są redystrybuowane w sposób niezakłócający pracy pomiędzy pozostałymi CNode w puli. Zapewnia to równoważenie obciążenia i wysoką dostępność.

  • Sekcja: Dokumentacja klastra VAST, „Zarządzanie wirtualnymi pulami IP” [p. 593]

Sieć VLAN Tagwiązanie i wiązanie

Sieć VLAN Tagpołączenie: VLAN tagging pozwala administratorom kontrolować, które wirtualne adresy IP są dostępne dla poszczególnych sieci VLAN w sieci. Ta funkcja zapewnia izolację ruchu sieciowego pomiędzy różnymi sieciami VLAN, zapobiegając nieautoryzowanemu dostępowi i wyciekom danych pomiędzy dzierżawcami. VLAN tagging jest konfigurowany poprzez tworzenie wirtualnych pul adresów IP w sieciach VLAN na platformie VAST, co zapewnia bezpieczną segmentację i izolację sieci.

  • Sekcja: Dokumentacja klastra VAST, „Tagłączenie wirtualnych pul adresów IP z sieciami VLAN” [p. 147]
  • Sekcja: Dostęp do sieci i zapewnianie pamięci masowej (wersja 5.1) [str. 141]

Segmentacja sieci

Kontroluj dostęp do Viewi Protokoły: A VAST View to wieloprotokołowa reprezentacja udziału, eksportu lub segmentu pamięci sieciowej. Platforma pozwala administratorom kontrolować, które sieci VLAN mają dostęp do konkretnych Views i jakie protokoły mogą być używane podczas uzyskiwania dostępu do adresów VIP w tych sieciach VLAN. Ta funkcja zwiększa bezpieczeństwo, zapewniając dostęp do określonych danych i usług tylko autoryzowanym sieciom VLAN. Konfiguruje się go za pomocą View Polityki, które mogą określać uprawnienia dostępu w oparciu o sieci VLAN.

  • Sekcja: Dokumentacja Klastra VAST, „Tworzenie View Polityki” [s. 628]

Logiczny najem

Platforma danych VAST oferuje kilka funkcji związanych z obsługą wielu najemców, które umożliwiają bezpieczną izolację najemców i zarządzanie nimi. Oto kluczowe funkcje najmu wraz ze szczegółowymi opisami i odpowiednimi sekcjami z dokumentacji VAST Cluster 5.1:

Najemcy

Opis: dzierżawcy platformy danych VAST definiują izolowane ścieżki danych i mogą mieć własne źródła uwierzytelniania, takie jak Active Directory (AD), LDAP lub NIS. Każdy najemca może także zarządzać własnymi kluczami szyfrowania, zapewniając bezpieczną izolację danych od innych najemców. Ta funkcja jest kluczowa w środowiskach z wieloma dzierżawcami, w których różne organizacje lub działy muszą zachować ścisłą separację danych.

  • Sekcja: Najemcy (v5.1) [str. 251]

View Polityki

Opis: View Zasady definiują uprawnienia dostępu, protokoły i ustawienia zabezpieczeń Viewprzypisane najemcom. Zasady te pozwalają administratorom kontrolować, kto może uzyskać dostęp do danych, jakie działania mogą wykonywać i jakich protokołów mogą używać. Ta szczegółowa kontrola jest niezbędna do utrzymania bezpieczeństwa i zgodności w środowiskach z wieloma dzierżawcami.

  • Sekcja: Zarządzanie Viewi View Zasady (v5.1) [str. 260]

Izolacja sieci VLAN

Opis: Sieci VLAN można powiązać z określonym dzierżawcą, aby dodatkowo izolować ruch między dzierżawcami, zapobiegając występowaniu routingu krzyżowego lub ruchu rozgłoszeniowego przez granicę L2.

  • Sekcja: Tagłączenie wirtualnych pul adresów IP z sieciami VLAN [s. 147]

Jakość usług (QoS)

Opis: zasady QoS zapewniają szczegółową kontrolę wydajności przepustowości i IOP (operacje wejścia/wyjścia na sekundę) dla Viewprzypisane najemcom. Zasady te zapewniają przewidywalną wydajność i zapobiegają problemom z rywalizacją o zasoby, co jest szczególnie ważne w środowiskach z wieloma dzierżawcami, w których różni dzierżawcy mogą mieć różne wymagania dotyczące wydajności. Oprócz maksymalnych progów QoS, które pomagają zapobiegać wyczerpaniu wydajności, dostępne są również minimalne progi QoS, które pomagają zapobiegać problemowi hałaśliwego sąsiada w przypadku wielu dzierżawców.

  • Sekcja: Jakość usług (v5.1) [str. 323]

Kwoty

Opis: Przydziały umożliwiają administratorom ustawianie limitów wydajności Views i katalogi do izolacji dzierżawców. Ta funkcja gwarantuje, że żaden pojedynczy dzierżawca nie będzie mógł zużyć więcej zasobów, niż mu przydzielono, co pomaga zapobiegać nieoczekiwanemu wyczerpaniu się zasobów wydajności systemu.

  • Sekcja: Zarządzanie przydziałami (v5.1) [str. 314]

Zarządzanie autoryzacją i tożsamością

Zarządzanie najemcami i tożsamością

Opis: dzierżawcy platformy danych VAST definiują izolowane ścieżki danych i mogą mieć własne źródła uwierzytelniania, takie jak Active Directory (AD), LDAP lub NIS. Platforma obsługuje maksymalnie ośmiu unikalnych dostawców tożsamości, których można skonfigurować do użytku na poziomie dzierżawy.

  • Sekcja: Najemcy (v5.1) [str. 251]

Views

Opis: Views to udziały wieloprotokołowe, eksporty lub zasobniki należące do określonych dzierżawców. Zapewniają bezpiecznie izolowany dostęp do danych, dzięki czemu każdy najemca może uzyskać dostęp tylko do swoich danych. ViewMożna je skonfigurować z określonymi uprawnieniami dostępu i protokołami, co czyni je uniwersalnymi do różnych zastosowań.

  • Sekcja: Zarządzanie Viewi View Zasady (v5.1) [str. 260]

View Polityki

Opis: View Zasady definiują uprawnienia dostępu, protokoły i ustawienia zabezpieczeń viewprzypisane najemcom. Zasady te pozwalają administratorom kontrolować, kto może uzyskać dostęp do danych, jakie działania mogą wykonywać i jakich protokołów mogą używać. Ta szczegółowa kontrola jest niezbędna do utrzymania bezpieczeństwa i zgodności w środowiskach z wieloma dzierżawcami.

  • Sekcja: Zarządzanie Viewi View Zasady (v5.1) [str. 260]

Kontrola dostępu

Platforma danych VAST oferuje kompleksowy zestaw funkcji do zarządzania autoryzacją i tożsamością. Oto szczegółowe opisy każdej funkcji wraz z odpowiednimi sekcjami i numerami stron z dokumentacji VAST Cluster 5.1:

Kontrola dostępu

Kontrola dostępu oparta na rolach (RBAC)

Opis: Klaster VAST wykorzystuje system kontroli dostępu oparty na rolach (RBAC) do zarządzania dostępem do systemu zarządzania VAST (VMS). RBAC umożliwia administratorom definiowanie ról z określonymi uprawnieniami i przypisywanie tych ról użytkownikom. Dzięki temu użytkownicy mają dostęp tylko do zasobów i działań niezbędnych do ich ról, co zwiększa bezpieczeństwo i upraszcza zarządzanie.

  • Sekcja: Autoryzacja dostępu i uprawnień do VMS [str. 82]

Kontrola dostępu oparta na atrybutach (ABAC)

Opis: Kontrola dostępu oparta na atrybutach (ABAC) jest obsługiwana viewDostęp do nich odbywa się poprzez NFSv4.1 z uwierzytelnianiem Kerberos lub poprzez SMB z uwierzytelnianiem Kerberos lub NTLM. ABAC umożliwia dostęp do m.in view jeśli konto użytkownika w Active Directory ma skojarzony atrybut ABAC zgodny z ABAC tag przydzielony do view. Zapewnia to precyzyjną kontrolę dostępu w oparciu o atrybuty użytkownika.

  • Sekcja: Kontrola dostępu oparta na atrybutach (ABAC) [p. 269]
    Kontrola dostępu

Uwierzytelnianie przy użyciu pojedynczego logowania (SSO).

Opis: VAST VMS obsługuje uwierzytelnianie przy użyciu pojedynczego logowania (SSO) przy użyciu dostawców tożsamości (IdP) opartych na protokole SAML. Dzięki temu menedżerowie VMS mogą logować się do klastra VAST przy użyciu poświadczeń od dostawcy tożsamości, takiego jak Okta, który dodatkowo może zapewniać możliwości uwierzytelniania wieloskładnikowego (MFA). SSO upraszcza proces logowania i zwiększa bezpieczeństwo poprzez centralizację uwierzytelniania.

  • Sekcja: Konfiguracja uwierzytelniania SSO w VMS [p. 90]

Integracja z Active Directory

Opis: Klaster VAST obsługuje integrację z Active Directory (AD) zarówno w zakresie uwierzytelniania i autoryzacji użytkowników VMS, jak i protokołu danych. Dzięki temu organizacje mogą wykorzystać istniejącą infrastrukturę AD do zarządzania dostępem użytkowników do zasobów klastra VAST. Integracja z usługą AD obsługuje funkcje takie jak historia SID dla grup i użytkowników, zapewniając bezproblemową kontrolę dostępu.

  • Sekcja: Łączenie z Active Directory (v5.1) [p. 347]

Integracja LDAP

Opis: Platforma obsługuje integrację z serwerami LDAP zarówno w zakresie uwierzytelniania i autoryzacji użytkowników VMS, jak i protokołu danych. Dzięki temu organizacje mogą wykorzystywać istniejące katalogi LDAP do zarządzania dostępem do zasobów klastra VAST, zapewniając elastyczne i skalowalne rozwiązanie uwierzytelniające.

  • Sekcja: Łączenie z serwerem LDAP (v5.1) [str. 342]

Integracja NIS

Opis: Klaster VAST obsługuje integrację z usługą Network Information Service (NIS) w celu uwierzytelniania użytkowników protokołu danych. Ta funkcja jest użyteczna w środowiskach, które opierają się na NIS do zarządzania informacjami o użytkownikach i kontroli dostępu.

  • Sekcja: Łączenie z NIS (v5.1) [str. 358]

Użytkownicy i grupy lokalne

Opis: Administratorzy mogą zarządzać lokalnymi użytkownikami i grupami bezpośrednio w klastrze VAST. Obejmuje to tworzenie, modyfikowanie i usuwanie lokalnych kont i grup użytkowników, a także przypisywanie uprawnień i ról do tych kont.

  • Sekcja: Zarządzanie użytkownikami lokalnymi (v5.1) [p. 335]
  • Sekcja: Zarządzanie grupami lokalnymi (v5.1) [str. 337]
    Kontrola dostępu

Listy ACL protokołów i etykiety SELinux

Platforma danych VAST obsługuje różne protokoły ACL i funkcje etykiet SELinux, zapewniając solidną kontrolę dostępu i bezpieczeństwo. Oto szczegółowe opisy każdej funkcji wraz z odpowiednimi sekcjami i numerami stron z dokumentacji VAST Cluster 5.1:

Listy kontroli dostępu POSIX (ACL)

Opis: Systemy VAST obsługują listy ACL POSIX, umożliwiając administratorom definiowanie szczegółowych uprawnień files i foldery wykraczające poza prosty model Unix/Linux. Listy ACL POSIX umożliwiają przypisywanie uprawnień wielu użytkownikom i grupom, zapewniając elastyczną i szczegółową kontrolę dostępu.

  • Sekcja: NFS File Protokół udostępniania (v5.1) [str. 154]

Listy ACL NFSv4

Opis: NFSv4 to protokół stanowy z bezpiecznym uwierzytelnianiem za pośrednictwem protokołu Kerberos, który obsługuje szczegółowe listy ACL. Te listy ACL są podobne pod względem szczegółowości do tych dostępnych w SMB i NTFS, co pozwala na niezawodną kontrolę dostępu. Listami ACL NFSv4 można zarządzać przy użyciu standardowych narzędzi systemu Linux za pośrednictwem protokołu NFS.

  • Sekcja: NFS File Protokół udostępniania (v5.1) [str. 154]

Listy ACL małych i średnich firm

Opis: Listy ACL SMB są zarządzane w taki sam sposób, jak udziały systemu Windows, umożliwiając użytkownikom ustawianie szczegółowych list ACL systemu Windows za pomocą skryptów PowerShell i systemu Windows File Explorer przez SMB. Te listy ACL, w tym wpisy na liście odrzuconych, można wymusić na użytkownikach uzyskujących dostęp jednocześnie za pośrednictwem protokołów SMB i NFS.

  • Sekcja: Małe i średnie przedsiębiorstwa File Protokół udostępniania w klastrze VAST (v5.1) [str. 171]

Zasady tożsamości S3

Opis: Natywna wersja zabezpieczeń S3 pozwala na użycie zasad tożsamości S3 do kontroli dostępu oraz możliwości ustawiania i zmiany list ACL zgodnie z regułami S3. Ta funkcja zapewnia szczegółową kontrolę dostępu do zasobników i obiektów S3.

  • Sekcja: Protokół przechowywania obiektów S3 (v5.1) [p. 182]

Wieloprotokołowe listy ACL

Opis: VAST obsługuje wieloprotokołowe listy ACL, zapewniając ujednolicony model uprawnień dostępu do danych za pośrednictwem różnych protokołów. Zapewnia to spójną kontrolę dostępu i bezpieczeństwo niezależnie od protokołu użytego do uzyskania dostępu do danych.

  • Sekcja: Dostęp wieloprotokołowy (v5.1) [str. 151]

Funkcje etykiet SELinux

1. Etykiety zabezpieczające NFSv4.2

Opis: Klaster VAST 5.1 obsługuje etykietowanie NFSv4.2 w trybie ograniczonego serwera. W tym trybie klaster VAST może przechowywać i zwracać etykiety zabezpieczające files i katalogi w systemie NFS views dzierżawców obsługujących NFSv4.2, ale klaster nie wymusza podejmowania decyzji dotyczących dostępu w oparciu o etykiety. Przypisywanie etykiet i sprawdzanie poprawności są wykonywane przez klientów NFSv4.2.

  • Sekcja: Etykiety zabezpieczające NFSv4.2 (v5.1) [str. 169]

Zarządzanie certyfikatami i szyfrowanie

Platforma danych VAST oferuje kompleksowy zestaw funkcji do szyfrowania i zarządzania certyfikatami. Oto szczegółowe opisy każdej funkcji wraz z odpowiednimi sekcjami i numerami stron z dokumentacji VAST Cluster 5.1:

Szyfrowanie danych w stanie spoczynku

Opis: VAST Data Platform obsługuje szyfrowanie przechowywanych danych przy użyciu zewnętrznych rozwiązań do zarządzania kluczami. Ta funkcja zapewnia, że ​​dane przechowywane na platformie są bezpiecznie szyfrowane kluczami przechowywanymi poza klastrem VAST, chroniąc dane przed nieautoryzowanym dostępem. Platforma obsługuje platformy Thales CipherTrust Data Security Platform i Fornetix Vault Core do zewnętrznego zarządzania kluczami. Każdy klaster ma unikalny klucz główny, a szyfrowanie można włączyć podczas początkowej konfiguracji klastra.

  • Sekcja: Szyfrowanie danych (v5.1) [str. 128]

Walidacja FIPS 140-3 poziom 1

Platforma danych VAST zawiera moduł kryptograficzny OpenSSL 1.1.1, który ma certyfikat FIPS 140-3 poziom 1. Numer certyfikatu dla tej weryfikacji to #4675. Całość szyfrowania danych w trakcie przesyłania i przechowywania jest połączona z modułem kryptograficznym OpenSSL 1.1.1 z certyfikatem FIPS. Platforma wykorzystuje protokół TLS 1.3 do bezpiecznej transmisji danych i 256-bitowe szyfrowanie AES-XTS dla danych w stanie spoczynku, zapewniając solidne bezpieczeństwo i zgodność ze standardami branżowymi. Zwiększanie bezpieczeństwa danych i zarządzania nimi dzięki zabezpieczeniom wielu kategorii i bezpiecznej dzierżawie 14

  • Źródło: Program walidacji modułu kryptograficznego (CMVP)

Zarządzanie certyfikatami TLS

Opis: Platforma wspiera instalację i zarządzanie certyfikatami TLS w celu zabezpieczenia komunikacji
z systemem zarządzania VAST (VMS). Administratorzy mogą zainstalować certyfikaty TLS, aby zapewnić transmisję danych
pomiędzy klientami a VMS jest szyfrowana i bezpieczna.

• Sekcja: Instalacja certyfikatu SSL dla VMS (v5.1) [str. 78]

Uwierzytelnianie mTLS dla klientów VMS

Opis: Platforma obsługuje wzajemne uwierzytelnianie TLS (mTLS) dla klientów VMS GUI i API. Gdy mTLS jest włączony, VMS wymaga, aby klient przedstawił certyfikat podpisany przez określony urząd certyfikacji. Dodaje to warstwę wzajemnego uwierzytelniania, w którym zarówno klient, jak i serwer uwierzytelniają się nawzajem, zapewniając dodatkową warstwę bezpieczeństwa komunikacji z VMS w celu opcjonalnej obsługi kart PIV/CAC.

  • Sekcja: Włączanie uwierzytelniania mTLS dla klientów VMS (v5.1) [p. 78]

Zabezpieczanie komunikacji Active Directory

Platforma danych VAST zapewnia solidne środki bezpieczeństwa dla uwierzytelniania Active Directory (AD), umożliwiając administratorom wyłączanie protokołów NTLM v1 i v2. NTLM (NT LAN Manager) to starszy protokół uwierzytelniania, który ma znane luki w zabezpieczeniach, przez co jest mniej bezpieczny w porównaniu z nowocześniejszymi protokołami, takimi jak Kerberos.

  • Sekcja: Łączenie z Active Directory (v5.1) [p. 347]

Zabezpieczanie dostępu S3

Platforma danych VAST zwiększa bezpieczeństwo dostępu S3, umożliwiając wyłączenie podpisywania Signature Version 2 (SigV2), zapewniając, że wszystkie interakcje S3 są prowadzone przy użyciu bezpieczniejszej wersji Signature Version 4 (SigV4). Ponadto platforma wymusza użycie protokołu TLS 1.3 w komunikacji S3, wykorzystując szyfry sprawdzone zgodnie ze standardem FIPS 140-3.

  • Sekcja: Protokół przechowywania obiektów S3 (v5.1) [p. 182]

Kryptokasowanie

Opis: Kasowanie kryptograficzne to metoda usuwania danych dzierżawcy z systemu VAST. Odbywa się to poprzez unieważnienie lub usunięcie kluczy najemcy za pomocą systemu VAST lub Zewnętrznego Menedżera Kluczy. System VAST usunie klucze szyfrowania danych (DEK) i klucze szyfrowania klucza (KEK) z systemowej pamięci RAM, natychmiast usuwając w ten sposób dostęp do wszystkich danych zapisanych przy użyciu tych kluczy. System VAST może następnie usunąć zaszyfrowane dane. Ta funkcja zapewnia metodę bezpiecznego usuwania danych w przypadku wycieku danych lub gdy dzierżawca opuści platformę.

Sekcja: Szyfrowanie danych (v5.1) [str. 128]

Katalog i audyt

Platforma danych VAST oferuje kompleksowy zestaw funkcji do audytu i katalogowania, zapewniając niezawodne zarządzanie danymi i zgodność. Oto szczegółowe opisy każdej funkcji wraz z odpowiednimi sekcjami i numerami stron z dokumentacji VAST Cluster 5.1:

Audyt protokołu

Opis: Kontrola protokołu w platformie danych VAST rejestruje operacje tworzenia, usuwania lub modyfikowania files, katalogi, obiekty i metadane. Rejestruje także operacje odczytu i działania sesji. Ta funkcja pomaga w śledzeniu działań użytkowników i zapewnianiu zgodności z politykami bezpieczeństwa. Administratorzy mogą konfigurować globalne ustawienia inspekcji i view dzienniki audytu za pośrednictwem VAST Web Interfejs użytkownika lub interfejs wiersza polecenia.

  • Sekcja: Zakończenie audytu protokołuview [str. 243]
  • Sekcja: Konfiguracja globalnych ustawień audytu [p. 243]
  • Sekcja: Konfiguracja audytu za pomocą View Polityka [str. 245]
  • Sekcja: Kontrolowane operacje protokołu [str. 245]
  • Sekcja: ViewDzienniki audytu protokołu [str. 248]

Przechowywanie dzienników audytu protokołu w tabelach bazy danych VAST

Opis: Platforma danych VAST umożliwia konfigurację systemu VMS w celu przechowywania dzienników audytu protokołu w tabeli bazy danych VAST. Wpisy dziennika są przechowywane jako rekordy JSON, które mogą być viewed bezpośrednio z VAST Web Interfejs użytkownika na stronie dziennika audytu VAST. Funkcja ta zwiększa możliwość przeprowadzania szczegółowych audytów i analiz działań użytkowników. Sekcja: Przechowywanie dzienników audytu protokołu w tabelach bazy danych VAST [p. 25]

Katalog VAST

Opis: Katalog VAST to wbudowany indeks metadanych, który umożliwia użytkownikom szybkie wyszukiwanie i znajdowanie danych. Leczy file system taki jak baza danych, umożliwiając aplikacjom sztucznej inteligencji i uczenia maszynowego nowej generacji wykorzystanie go jako samoreferencyjnego magazynu funkcji. Katalog obsługuje zapytania w stylu SQL i zapewnia intuicyjną obsługę WebInterfejs użytkownika, bogaty interfejs CLI i interfejsy API do interakcji.

  • Sekcja: Koniec katalogu VASTview [str. 489]
  • Sekcja: Konfiguracja katalogu VAST [p. 491]
  • Sekcja: Wysyłanie zapytań do katalogu VAST z VAST Web Interfejs użytkownika [str. 492]
  • Sekcja: Zapewnienie dostępu klienta do CLI katalogu VAST [str. 493]
    Katalog i audyt

Baza danych VAST

Opis: Baza danych VAST rozszerza możliwości katalogu VAST, przechowując bardziej złożone treści we w pełni funkcjonalnej bazie danych. Obsługuje szybkie i masowe zapytania o dane, przechowując dane w wydajnym formacie kolumnowym podobnym do Apache Parquet. Baza danych jest przeznaczona do wykonywania w czasie rzeczywistym szczegółowych zapytań do ogromnych zasobów danych tabelarycznych i skatalogowanych metadanych.

  • Sekcja: Baza danych VASTview [str. 495]
  • Sekcja: Konfiguracja klastra VAST pod kątem dostępu do baz danych [p. 499]
  • Sekcja: Przewodnik szybkiego startu po interfejsie CLI bazy danych VAST [p. 494]

Pola rekordów dziennika audytu

Opis: Pola rekordów dziennika audytu dostarczają szczegółowych informacji o każdym zarejestrowanym zdarzeniu, w tym o typie operacji, danych użytkownika i czasieamps i dotknięte zasoby. To szczegółowe rejestrowanie ma kluczowe znaczenie dla zgodności i analizy kryminalistycznej.

  • Sekcja: Pola rekordów dziennika audytu [p. 250]

ViewDzienniki audytu protokołu

Opis: Administratorzy mogą view dzienniki audytu protokołu za pośrednictwem VAST Web Interfejs użytkownika lub CLI. Dzienniki zapewniają wgląd w działania użytkowników i operacje systemu, pomagając zapewnić zgodność i wykryć wszelkie nieautoryzowane działania.

  • Sekcja: ViewDzienniki audytu protokołu [str. 248]

Utrzymywany i chroniony system operacyjny

Platforma danych VAST stosuje kompleksowe podejście do zabezpieczania systemu operacyjnego, zapewniając jego solidność
ochronę i zgodność ze standardami branżowymi. Oto kluczowe aspekty systemu operacyjnego i wdrożone środki bezpieczeństwa:

Utrzymywany system operacyjny

Opis: Platforma danych VAST korzysta z obsługiwanego systemu operacyjnego dostarczonego przez CIQ, w szczególności Enterprise Rocky 8, który jest obrazem systemu operacyjnego zgodnego z wersją binarną RHEL. Platforma Mountain firmy CIQ zapewnia bezpieczne, wiarygodne i wysoce skalowalne rozwiązanie do dostarczania obrazów, pakietów i kontenerów, dostępne zarówno w chmurze publicznej, jak i lokalnie.

Regularne łatanie i zarządzanie lukami w zabezpieczeniach

Opis: VAST zapewnia regularne łatanie i aktualizację systemu operacyjnego, na bieżąco informując o najnowszych lukach w zabezpieczeniach, stosując niezbędne łatki i terminowo wdrażając odpowiednie środki zaradcze. To proaktywne podejście pomaga utrzymać poziom zabezpieczeń systemu operacyjnego.

Ciągły monitoring

Opis: Wdrożono praktyki ciągłego monitorowania w celu utrzymania stanu zabezpieczeń systemu operacyjnego. Obejmuje to regularne oceny, audyty i reviewkontroli i konfiguracji bezpieczeństwa systemu, a także umożliwienie rejestrowania podejrzanych działań i potencjalnych incydentów związanych z bezpieczeństwem.

Zgodność z DISA STIGA

Opis: Platforma danych VAST obsługuje DISA STIG (Przewodnik dotyczący technicznego wdrażania zabezpieczeń) dla RedHat Linux 8, MAC 1 Profile – Tajne informacje o znaczeniu krytycznym. Zgodność ta gwarantuje, że system operacyjny spełnia rygorystyczne standardy bezpieczeństwa wymagane przez klientów w regulowanych środowiskach.

Zarządzanie konfiguracją

Opis: Platforma utrzymuje konfigurację bazową dla systemów RHEL 8, w tym ustawienia komponentów systemu, file uprawnienia i instalacja oprogramowania. Wdraża również procesy kontroli zmian w celu śledzenia, reviewi zatwierdzaj zmiany w konfiguracji systemu, zapewniając, że systemy są zgodne z bezpieczną i standardową konfiguracją.

Najmniejsza funkcjonalność

Opis: Zasadę najmniejszej funkcjonalności podkreśla się poprzez zalecenie usunięcia lub wyłączenia niepotrzebnego oprogramowania, usług i komponentów systemu. Zmniejsza to potencjalne luki w zabezpieczeniach i wektory ataków.

Integralność Systemu i Informacji

Opis: Funkcje szyfrowania i zarządzania kluczami platformy, a także jej integracja z systemami SIEM, pomagają zapewnić integralność danych i informacji. Obejmuje to regularne oceny bezpieczeństwa, testy penetracyjne i zarządzanie lukami w zabezpieczeniach, aby zapewnić aktualne poprawki zabezpieczeń, konfiguracje i najlepsze praktyki.

Bezpieczny łańcuch dostaw oprogramowania

Zapewnienie bezpiecznego łańcucha dostaw oprogramowania ma kluczowe znaczenie dla zgodności z przepisami, takimi jak ustawa o umowach handlowych (TAA), federalne rozporządzenie w sprawie przejęć (FAR) i normy ISO. Platforma Danych VAST wdraża kompleksowe środki zabezpieczające swój łańcuch dostaw oprogramowania, zapewniając, że oprogramowanie jest tworzone prawidłowo i spełnia rygorystyczne wymogi bezpieczeństwa.

Bezpieczne środowisko tworzenia oprogramowania (SSDF)

Platforma danych VAST wykorzystuje platformę NIST Secure Software Development Framework (SSDF), która zapewnia wytyczne dotyczące bezpiecznego tworzenia oprogramowania. Ramy te pomagają chronić łańcuchy dostaw oprogramowania przed zagrożeniami, przedstawiając praktyki dotyczące bezpiecznego kodowania, zarządzania lukami w zabezpieczeniach i ciągłego monitorowania.

Analiza składu oprogramowania (SCA)

Narzędzia takie jak GitLab są wykorzystywane do statycznego testowania bezpieczeństwa aplikacji (SAST) i dynamicznego testowania bezpieczeństwa aplikacji (DAST) w celu analizy zarówno kodu zastrzeżonego, jak i kodu open source pod kątem luk w zabezpieczeniach. Ma to kluczowe znaczenie dla identyfikacji słabych punktów bezpieczeństwa przed wdrożeniem.

Wykaz materiałów oprogramowania (SBOM)

Platforma generuje i zarządza SBOM-ami w celu śledzenia komponentów wykorzystywanych przy tworzeniu oprogramowania. GitLab i Artifactory są w przygotowaniu w celu zwiększenia przejrzystości i zgodności z rozporządzeniem wykonawczym 14028.

Potok ciągłej integracji i ciągłego wdrażania (CI/CD).

Potok CI/CD obejmuje testowanie bezpieczeństwa, kod revieworaz kontrole zgodności. Rurociąg jest hostowany na amerykańskiej platformie chmurowej, która spełnia wymogi TAA/FAR, co gwarantuje, że wszystkie operacje są wykonywane na terenie USA i zarządzane przez podmioty amerykańskie.

Podpisywanie kontenerów i paczek

Wdrożono cyfrowe podpisywanie kontenerów i paczek, aby zapewnić integralność i autentyczność. Docker Content Trust i podpisywanie RPM to zalecane praktyki zabezpieczania aplikacji kontenerowych i dystrybucji pakietów.

Skanowanie pod kątem luk w zabezpieczeniach i zgodności

Narzędzia takie jak Tenable i Qualys służą do skanowania systemów operacyjnych i tworzenia pakietów, a także do wykrywania wirusów i złośliwego oprogramowania. Narzędzia te są włączone do potoku w celu identyfikacji i łagodzenia potencjalnych zagrożeń w środowisku oprogramowania.

Zarządzanie oprogramowaniem innych firm

Całe oprogramowanie stron trzecich, zarówno typu open source, jak i zastrzeżone, pochodzi z lokalizacji w USA i jest zgodne z przepisami TAA/FAR. To oprogramowanie jest uwzględnione w procesach skanowania SAST i DAST w celu zapewnienia bezpieczeństwa.

Dokumentacja i ścieżki audytu

Prowadzona jest kompleksowa dokumentacja całego procesu od sprawdzenia kodu do pobrania pakietu używanego przez klientów. Dokumentacja ta jest dostępna w ramach NDA w celu przeprowadzenia audytów i zatwierdzeń przez klientów, zgodnie z wymaganiami kierownictwa.

Zarządzanie pracownikami i majątkiem

Procesem zarządzają pracownicy amerykańskiego podmiotu (Vast Federal), a wszystkie aktywa wykorzystywane w procesie tworzenia i wdrażania oprogramowania są własnością tego podmiotu. Zgodność ta ma kluczowe znaczenie dla spełnienia federalnych przepisów dotyczących przejęć.

Bezpieczne środowisko programistyczne

Oprogramowanie jest opracowywane i budowane w bezpiecznych środowiskach, wyposażonych w takie środki, jak uwierzytelnianie wieloskładnikowe, dostęp warunkowy i szyfrowanie wrażliwych danych. Wymuszone jest regularne rejestrowanie, monitorowanie i inspekcja relacji zaufania.

Zaufane łańcuchy dostaw kodu źródłowego

Zautomatyzowane narzędzia lub porównywalne procesy służą do sprawdzania bezpieczeństwa kodu wewnętrznego i komponentów stron trzecich, skutecznie zarządzając powiązanymi lukami.

Sprawdzanie luk w zabezpieczeniach

Przed wydaniem przeprowadzane są ciągłe kontrole podatnościasing nowych produktów, wersji lub aktualizacji. Utrzymujemy program ujawniania luk w zabezpieczeniach, aby szybko oceniać i usuwać ujawnione luki w zabezpieczeniach oprogramowania.

Wniosek

Integracja Multi-Category Security (MCS) z funkcjami bezpiecznego dzierżawy zapewnia solidną strukturę zwiększającą poufność i bezpieczeństwo nieustrukturyzowanych danych. Wykorzystując MCS, organizacje mogą przypisywać określone kategorie files, zapewniając, że tylko autoryzowane procesy i użytkownicy mają dostęp do wrażliwych informacji. Ta dodatkowa warstwa zabezpieczeń ma kluczowe znaczenie dla ochrony nieustrukturyzowanych danych, takich jak dokumenty, obrazy i filmy.

Bezpieczna dzierżawa dodatkowo wzmacnia izolację danych, tworząc odrębne środowiska dla różnych grup, działów lub organizacji w ramach tej samej infrastruktury. Kluczowe aspekty, takie jak izolacja zasobów, segregacja danych, segmentacja sieci i szczegółowa kontrola dostępu, zapewniają, że dane każdego najemcy pozostają prywatne i bezpieczne. Platforma danych VAST stanowi przykład tych zasad poprzez kompleksowy zestaw funkcji, w tym VLAN tagkontrolę dostępu opartą na rolach i atrybutach oraz solidne mechanizmy szyfrowania.

Podsumowując, platforma danych VAST, dzięki integracji MCS i bezpiecznej dzierżawie, zapewnia kompleksowe i bezpieczne rozwiązanie do zarządzania danymi nieustrukturyzowanymi. Takie podejście jest niezbędne w przypadku organizacji o rygorystycznych wymaganiach dotyczących poufności danych, takich jak agencje rządowe, instytucje finansowe i podmioty świadczące opiekę zdrowotną. Wdrażając te zaawansowane środki bezpieczeństwa, organizacje mogą bezpiecznie chronić swoje wrażliwe dane, umożliwiając jednocześnie wydajne i skalowalne zarządzanie danymi. Wniosek ten utrzymuje kluczowe punkty, zapewniając jednocześnie jasność i zwięzłość.

Wniosek

 

Symbol Aby uzyskać więcej informacji na temat platformy danych VAST i tego, w jaki sposób może ona pomóc w rozwiązywaniu problemów z aplikacjami, skontaktuj się z nami pod adresem witaj@vastdata.com.

Logo

Dokumenty / Zasoby

PDF thumbnailOprogramowanie platformy danych
User Guide · Data Platform Software, Platform Software, Software
PDF thumbnailOprogramowanie platformy danych
User Guide · Data Platform Software, Platform Software, Software

Odniesienia

Zadaj pytanie

Use this section to ask about setup, compatibility, troubleshooting, or anything missing from this manual.

Zadaj pytanie

Ask about setup, compatibility, troubleshooting, or anything missing from this manual. Name and email are optional.