Hadoop，作為被大肆宣傳的大數(shù)據(jù)利器，設(shè)計(jì)初衷是為搜索引擎建立網(wǎng)頁索引，而不是處理信用卡號(hào)，所以安全并不是其重點(diǎn)考慮的問題?；谶@個(gè)原因，許多企業(yè)對(duì)Hadoop都是淺嘗輒止。目前，包括Cloudera、Intel在內(nèi)等多個(gè)Hadoop發(fā)行版廠商，都在實(shí)行或制定安全方面的計(jì)劃。

專利和補(bǔ)丁

Zettaset是一家為Hadoop發(fā)行版提供安全特性的公司，其董事長(zhǎng)兼CEO Jim Vogt稱：“今年很多公司都對(duì)Hadoop技術(shù)很感興趣，但是其中很大一部分因?yàn)榘踩珕栴}都望而卻步。當(dāng)真正衡量某一技術(shù)在一個(gè)企業(yè)或一個(gè)更廣闊的市場(chǎng)的可行性時(shí)，安全問題是必須要考慮的。”

據(jù)Vogt稱，Zettaset已經(jīng)在管理和控制分布在Hadoop集群上多個(gè)服務(wù)器的加密密鑰技術(shù)上有了專利方法。為了在Hadoop上實(shí)現(xiàn)安全的前提下，***限度控制性能降低，Zettaset明年將推出一個(gè)在集群中實(shí)現(xiàn)優(yōu)先數(shù)據(jù)存儲(chǔ)的系統(tǒng)。如果某塊數(shù)據(jù)經(jīng)常被訪問，那么將這部分?jǐn)?shù)據(jù)放在SSD會(huì)比在硬盤執(zhí)行速度更快。當(dāng)然，指出現(xiàn)有的不足，使用戶意識(shí)到自己的基礎(chǔ)設(shè)施是不安全的，直接受益者肯定是Zettaset以及其它提供安全服務(wù)的公司。

Cloudera產(chǎn)品副總裁Charles Zedlewski認(rèn)為，安全問題主要設(shè)計(jì)四個(gè)方面：

身份驗(yàn)證：怎樣確認(rèn)你是否是某個(gè)系統(tǒng)的用戶。

授權(quán)：可以控制用戶能夠讀取的信息，以及針對(duì)特定數(shù)據(jù)用戶可以進(jìn)行的操作。

審計(jì)：審計(jì)可以提供滿足監(jiān)管需求的文檔支持，查看是否有違規(guī)操作。

加密：為數(shù)據(jù)安全提供更多保障。

目前，在MapReduce、HBase、Hive和其它Hadoop程序中，原生的Apache Hadoop提供了其中的某些特性。比如，Hadoop中有嚴(yán)格的身份驗(yàn)證機(jī)制。Zedlewski認(rèn)為從客戶的角度考慮我們還需要提高的地方在于使其更易于安裝和配置。

Zedlewski說：“加密是另一回事。數(shù)據(jù)可以在網(wǎng)絡(luò)傳輸過程中被加密，這個(gè)功能兩年前就實(shí)現(xiàn)了。涉及到‘靜止’數(shù)據(jù)的加密，一些公司會(huì)采用如Gazzang和Vormetric等安全供應(yīng)商提供的現(xiàn)成的加密庫。”Cloudera正在考慮在自己的產(chǎn)品中加入加密功能，客戶就不用再找其它安全服務(wù)提供商。Cloudera作為Hadoop市場(chǎng)領(lǐng)軍者，這一做法很值得贊賞。

Zedlewski認(rèn)為在授權(quán)方面，Hadoop還不夠成熟。Cloudera希望客戶可以自己決定某個(gè)表的授權(quán)粒度。例如一個(gè)10000條信用卡號(hào)碼的表，如果你有查看部分?jǐn)?shù)據(jù)的權(quán)限，那么基于表粒度級(jí)的授權(quán)機(jī)制，你沒有訪問這個(gè)表的權(quán)限，而基于記錄粒度的授權(quán)機(jī)制，你能看到50條特定范圍內(nèi)的數(shù)據(jù)。換句話說，細(xì)粒度的授權(quán)機(jī)制，可以使更多員工獲得訪問權(quán)限。

Rhino項(xiàng)目

大約3個(gè)月前，剛剛加入Hadoop陣營(yíng)的Intel，在Rhino項(xiàng)目下列出了希望在Hadoop中實(shí)現(xiàn)的安全特性。

在身份驗(yàn)證方面，實(shí)現(xiàn)一個(gè)不依賴外部源的新的內(nèi)部系統(tǒng)，同時(shí)提供更好的單點(diǎn)登錄功能。授權(quán)機(jī)制方面，可以跨越許多Hadoop應(yīng)用程序，從批處理的MapReduce到HBase數(shù)據(jù)庫。這些功能會(huì)被加入到Intel的Hadoop發(fā)行版中，其它發(fā)行版中可以作為補(bǔ)丁加入。

Knox項(xiàng)目

來自Hortonworks的幾位工程師今年一直活躍在某個(gè)名為Knox的孵化器項(xiàng)目。Hortonworks的企業(yè)戰(zhàn)略副總裁Shaun Connolly解釋說，這個(gè)項(xiàng)目就像在Hadoop集群中的服務(wù)器周圍構(gòu)造一個(gè)大的虛擬圍欄，對(duì)于可用的Hadoop服務(wù)只有一個(gè)安全網(wǎng)關(guān)可以進(jìn)入。

MapR公司***營(yíng)銷官Jack Norris說：”MapR在試圖加入加密密鑰管理功能，包括對(duì)‘靜止’數(shù)據(jù)的加密。就像Cloudera，MapR希望使安全問題更容易實(shí)現(xiàn)，尤其是傳輸過程中的數(shù)據(jù)加密和身份驗(yàn)證。”