Používateľská príručka softvéru VAST Data Platform

Používanie softvéru dátovej platformy VAST

Úvod

V dnešnom svete založenom na údajoch je dôvernosť a bezpečnosť neštruktúrovaných údajov prvoradá. Funkcie zabezpečenia viacerých kategórií (MCS) a zabezpečeného prenájmu ponúkajú robustný rámec na riešenie týchto problémov. MCS, mechanizmus kontroly prístupu v systéme Security-Enhanced Linux (SELinux), zvyšuje dôvernosť údajov priradením špecifických kategórií files a procesy. To zaisťuje, že iba oprávnení používatelia a procesy majú prístup k citlivým informáciám, čím sa poskytuje ďalšia vrstva ochrany pre neštruktúrované údaje, ako sú dokumenty, obrázky a videá.

Zabezpečený prenájom ďalej posilňuje izoláciu údajov vytvorením odlišných prostredí pre rôzne skupiny, oddelenia alebo organizácie v rámci rovnakej infraštruktúry. Tento prístup zabezpečuje, že údaje každého nájomcu sú logicky alebo fyzicky oddelené, čím sa zabráni neoprávnenému prístupu a zachováva sa súkromie údajov. Medzi kľúčové aspekty bezpečného prenájmu patrí izolácia zdrojov, segregácia údajov, segmentácia siete a podrobné riadenie prístupu.

Dátová platforma VAST ilustruje tieto princípy prostredníctvom svojej komplexnej sady funkcií vrátane VLAN tagriadenie prístupu založené na rolách a atribútoch a robustné šifrovacie mechanizmy. Tento dokument skúma, ako integrácia MCS s bezpečným prenájmom v rámci dátovej platformy VAST poskytuje komplexné a bezpečné riešenie na správu neštruktúrovaných údajov, najmä pre organizácie s prísnymi požiadavkami na dôvernosť údajov. Tento úvod je stručný, zameraný a poskytuje jasného sprievodcu obsahom dokumentu, ktorý je v súlade s osvedčenými postupmi pre technickú dokumentáciu.

Čo je dátová platforma VAST

Dátová platforma VAST je komplexné riešenie na spracovanie neštruktúrovaných údajov, najmä pre aplikácie AI a hlboké učenie. Integruje rôzne funkcie na zachytávanie, katalogizáciu, označovanie, obohacovanie a uchovávanie údajov, čím poskytuje bezproblémový prístup k údajom z okraja do cloudu.

Architektúra dezagregovaného a zdieľaného všetkého (DASE).

Táto architektúra oddeľuje výpočtovú logiku od stavu systému a umožňuje nezávislé škálovanie kapacity pridaním dátových uzlov (DNodes) a výkonu pridaním výpočtových uzlov (CNodes). Spája zdieľané a transakčné dátové štruktúry na prekonanie obmedzení tradičných distribuovaných systémov.

Podporovaní klienti: NFS, NFSoRDMA Server Message Block (SMB), Amazon S3 a kontajnery (CSI)

Bezstavové protokolové servery (CNodes)

VAST DataStore

DataStore bol predstavený v roku 2019 a je určený na ukladanie a obsluhu neštruktúrovaných údajov. Prerušuje kompromis medzi výkonom a kapacitou, vďaka čomu je vhodný pre podnikové ukladanie neštruktúrovaných údajov s podporou AI.
Databáza VAST

Tento komponent poskytuje transakčný výkon databázy, analytický výkon dátového skladu a rozsah a cenovú dostupnosť dátového jazera. Podporuje riadkové aj stĺpcové ukladanie údajov.
VAST DataSpace

DataSpace, ktorý bol uvedený na trh v roku 2023, poskytuje globálny prístup k údajom od okraja po cloud, pričom vyvažuje prísnu konzistenciu s lokálnym výkonom. Umožňuje výpočet údajov z akejkoľvek verejnej, súkromnej alebo okrajovej cloudovej platformy.

Platforma zjednocuje štruktúrované a neštruktúrované údaje, databázovú analytiku a poskytuje globálny menný priestor. Podporuje rôzne protokoly ako NFS, SMB, S3, SQL a obsahuje Apache Spark na transformáciu a spotrebu údajov zo systémov na odosielanie správ.

Platforma je vytvorená na podporu AI a podnikových aplikácií, poskytuje hĺbkovú analýzu údajov v reálnom čase a možnosti hlbokého učenia. Zachytáva a spracováva údaje v reálnom čase, čo umožňuje odvodzovanie AI, obohatenie metadát a preškolenie modelov.

Segmentácia siete a uzlov

Dátová platforma VAST obsahuje niekoľko funkcií súvisiacich s efektívnosťou správy a segmentáciou siete, vrátane funkcie zoskupovania CNode, ako aj schopnosti viazať CNody na siete VLAN. Tu sú podrobné popisy týchto funkcií spolu s príslušnými sekciami z dokumentácie VAST Cluster 5.1:

Zoskupovanie a združovanie uzlov

Server (CNode) Pooling: Protokoly úložiska sú obsluhované z Compute Nodes (CNodes). Dátová platforma VAST umožňuje zoskupovanie CNodov do odlišných serverových oblastí. Každá serverová oblasť má priradenú množinu virtuálnych IP adries (VIP), ktoré sú distribuované cez CNody v oblasti. Toto poskytuje mechanizmus pre Quality of Service (QoS) riadením počtu serverov priradených ku každej oblasti. Keď CNode prejde do režimu offline, VIP, ktoré obsluhoval, sa nerušivo prerozdelia medzi zostávajúce CNode v skupine. To zaisťuje vyváženie záťaže a vysokú dostupnosť.

• Časť: Dokumentácia klastra VAST, „Správa oblastí virtuálnych IP“ [s. 593]

VLAN Tagging a viazanie

VLAN Tagpripojenie: VLAN tagging umožňuje správcom kontrolovať, ktoré virtuálne adresy IP sú vystavené ktorým sieťam VLAN v sieti. Táto funkcia zabezpečuje, že sieťová prevádzka je izolovaná medzi rôznymi sieťami VLAN, čím sa bráni neoprávnenému prístupu a úniku údajov medzi nájomníkmi. VLAN tagging sa konfiguruje vytvorením virtuálnych oblastí IP v rámci VLAN na platforme VAST, čím sa zabezpečí zabezpečená segmentácia a izolácia siete.

• Časť: Dokumentácia klastra VAST, “Tagging Virtual IP Pools with VLAN“ [s. 147]
• Časť: Sieťový prístup a poskytovanie úložiska (v5.1) [s. 141]

Segmentácia siete

Kontrola prístupu k Views a protokoly: A VAST View je multiprotokolová reprezentácia zdieľania sieťového úložiska, exportu alebo segmentu. Platforma umožňuje správcom kontrolovať, ktoré siete VLAN majú prístup ku konkrétnym Views a ktoré protokoly sa môžu používať pri prístupe k VIP na týchto VLAN. Táto funkcia zvyšuje bezpečnosť tým, že zaisťuje, že k určitým údajom a službám majú prístup iba autorizované siete VLAN. Konfiguruje sa pomocou View Politiky, ktoré môžu špecifikovať prístupové oprávnenia na základe VLAN.

• Časť: Dokumentácia klastra VAST, „Vytváranie View Zásady“ [str. 628]

Logický nájom

Dátová platforma VAST ponúka niekoľko funkcií súvisiacich s viacnásobným prenájmom, ktoré umožňujú bezpečnú izoláciu a správu nájomníkov. Tu sú kľúčové funkcie prenájmu spolu s podrobnými popismi a príslušnými sekciami z dokumentácie VAST Cluster 5.1:

Nájomníci

Popis: Nájomníci v dátovej platforme VAST definujú izolované dátové cesty a môžu mať svoje vlastné zdroje autentifikácie, ako napríklad Active Directory (AD), LDAP alebo NIS. Každý nájomník môže tiež spravovať svoje vlastné šifrovacie kľúče, čím sa zabezpečí, že údaje zostanú bezpečne izolované od ostatných nájomníkov. Táto funkcia je kľúčová pre prostredia s viacerými nájomcami, kde rôzne organizácie alebo oddelenia potrebujú prísne oddeľovať údaje.

• Sekcia: Nájomníci (v5.1) [s. 251]

View zásady

Popis: View Politiky definujú prístupové povolenia, protokoly a nastavenia zabezpečenia Views pridelené nájomníkom. Tieto zásady umožňujú správcom kontrolovať, kto môže pristupovať k údajom, aké akcie môžu vykonávať a ktoré protokoly môžu používať. Táto podrobná kontrola je nevyhnutná pre zachovanie bezpečnosti a súladu v prostrediach s viacerými nájomníkmi.

• Sekcia: Riadenie Views a View Zásady (v5.1) [s. 260]

Izolácia VLAN

Popis: Siete VLAN môžu byť naviazané na konkrétneho nájomníka, aby sa ďalej izolovala prevádzka medzi nájomníkmi, čím sa zabránilo krížovému smerovaniu alebo vysielaniu prenosu cez hranicu L2.

• Sekcia: Tagging Virtual IP Pools s VLAN [str. 147]

Kvalita služby (QoS)

Popis: Politiky QoS poskytujú podrobné riadenie výkonu pre šírku pásma a IOP (vstupné/výstupné operácie za sekundu) pre Views pridelené nájomcom. Tieto politiky zaisťujú predvídateľný výkon a zabraňujú problémom so spormi o zdroje, čo je obzvlášť dôležité v prostrediach s viacerými nájomníkmi, kde môžu mať rôzni nájomníci rôzne požiadavky na výkon. Okrem maximálnych prahových hodnôt QoS, ktoré pomáhajú predchádzať vyčerpaniu výkonu, sú k dispozícii aj minimálne prahové hodnoty QoS, ktoré pomáhajú predchádzať problémom s hlučným susedom v súvislosti s viacerými nájomcami.

• Sekcia: Kvalita služby (v5.1) [s. 323]

Kvóty

Popis: Kvóty umožňujú správcom nastaviť limity kapacity Views a adresáre pre izoláciu nájomníkov. Táto funkcia zaisťuje, že žiadny jeden nájomník nemôže spotrebovať viac zdrojov, ako je jeho pridelený podiel, čo pomáha predchádzať neočakávanému vyčerpaniu zdrojov systémovej kapacity.

• Časť: Správa kvót (v5.1) [s. 314]

Správa autorizácie a identity

Správa nájomníkov a identity

Popis: Nájomníci v dátovej platforme VAST definujú izolované dátové cesty a môžu mať svoje vlastné zdroje autentifikácie, ako napríklad Active Directory (AD), LDAP alebo NIS. Platforma podporuje až osem jedinečných poskytovateľov identity, ktorých je možné nakonfigurovať na použitie na úrovni nájomníka.

• Sekcia: Nájomníci (v5.1) [s. 251]

Views

Popis: Views sú multiprotokolové akcie, exporty alebo skupiny, ktoré patria konkrétnym nájomcom. Poskytujú bezpečne izolovaný prístup k údajom, čím zaisťujú, že každý nájomník má prístup iba k svojim vlastným údajom. Views môžu byť nakonfigurované so špecifickými prístupovými povoleniami a protokolmi, vďaka čomu sú univerzálne pre rôzne prípady použitia.

• Sekcia: Riadenie Views a View Zásady (v5.1) [s. 260]

View zásady

Popis: View Politiky definujú prístupové povolenia, protokoly a nastavenia zabezpečenia views pridelené nájomníkom. Tieto zásady umožňujú správcom kontrolovať, kto môže pristupovať k údajom, aké akcie môžu vykonávať a ktoré protokoly môžu používať. Táto podrobná kontrola je nevyhnutná pre zachovanie bezpečnosti a súladu v prostrediach s viacerými nájomníkmi.

• Sekcia: Riadenie Views a View Zásady (v5.1) [s. 260]

Kontrola prístupu

Dátová platforma VAST ponúka komplexnú sadu funkcií pre autorizáciu a správu identity. Tu sú podrobné popisy každej funkcie spolu s príslušnými sekciami a číslami strán z dokumentácie VAST Cluster 5.1:

Kontrola prístupu na základe rolí (RBAC)

Popis: Klaster VAST využíva systém riadenia prístupu na základe roly (RBAC) na riadenie prístupu k systému správy VAST (VMS). RBAC umožňuje správcom definovať roly so špecifickými povoleniami a priraďovať tieto roly používateľom. To zaisťuje, že používatelia majú prístup len k prostriedkom a akciám potrebným pre ich roly, čím sa zvyšuje bezpečnosť a zjednodušuje sa správa.

• Časť: Autorizácia prístupu a povolení VMS [s. 82]

Kontrola prístupu na základe atribútov (ABAC)

Popis: Attribute-Based Access Control (ABAC) je podporované views prístupom cez NFSv4.1 s overením Kerberos alebo cez SMB s overením Kerberos alebo NTLM. ABAC umožňuje prístup k a view ak má používateľské konto v Active Directory priradený atribút ABAC, ktorý sa zhoduje s atribútom ABAC tag pridelené k view. To poskytuje jemné riadenie prístupu založené na používateľských atribútoch.

• Sekcia: Attribute-Based Access Control (ABAC) [s. 269]
  

Autentifikácia jedným prihlásením (SSO).

Popis: VAST VMS podporuje autentifikáciu Single Sign-On (SSO) pomocou poskytovateľov identity (IdP) založených na SAML. To umožňuje správcom VMS prihlásiť sa do klastra VAST pomocou svojich poverení od poskytovateľa identity, ako je napríklad Okta, ktorý môže navyše poskytovať možnosti viacfaktorovej autentifikácie (MFA). Jednotné prihlásenie zjednodušuje proces prihlásenia a zvyšuje bezpečnosť centralizáciou overovania.

• Časť: Konfigurácia autentifikácie SSO vo VMS [str. 90]

Integrácia služby Active Directory

Popis: Klaster VAST podporuje integráciu s Active Directory (AD) pre overovanie a autorizáciu používateľov VMS a dátových protokolov. To umožňuje organizáciám využiť svoju existujúcu infraštruktúru AD na správu prístupu používateľov k prostriedkom klastra VAST. Integrácia AD podporuje funkcie, ako je história SID pre skupiny a používateľov, čo zaisťuje bezproblémovú kontrolu prístupu.

• Časť: Pripojenie k Active Directory (v5.1) [str. 347]

Integrácia LDAP

Popis: Platforma podporuje integráciu so servermi LDAP pre overenie a autorizáciu používateľov VMS a dátových protokolov. To umožňuje organizáciám využívať svoje existujúce adresáre LDAP na správu prístupu k zdrojom klastra VAST, čím poskytuje flexibilné a škálovateľné riešenie overovania.

• Časť: Pripojenie k serveru LDAP (v5.1) [str. 342]

Integrácia NIS

Popis: Klaster VAST podporuje integráciu so službou Network Information Service (NIS) na overenie používateľov dátovým protokolom. Táto funkcia je užitočná pre prostredia, ktoré sa spoliehajú na NIS na správu informácií o používateľoch a riadenie prístupu.

• Časť: Pripojenie k NIS (v5.1) [str. 358]

Lokálni používatelia a skupiny

Popis: Administrátori môžu spravovať miestnych používateľov a skupiny priamo v rámci klastra VAST. To zahŕňa vytváranie, úpravu a odstraňovanie lokálnych používateľských účtov a skupín, ako aj priraďovanie povolení a rolí týmto účtom.

• Časť: Správa miestnych používateľov (v5.1) [s. 335]
• Časť: Správa miestnych skupín (v5.1) [s. 337]
  

Protokolové zoznamy ACL a štítky SELinux

Dátová platforma VAST podporuje rôzne protokolové ACL a funkcie štítkov SELinux, čím zaisťuje robustnú kontrolu prístupu a bezpečnosť. Tu sú podrobné popisy každej funkcie spolu s príslušnými sekciami a číslami strán z dokumentácie VAST Cluster 5.1:

Zoznamy riadenia prístupu POSIX (ACL)

Popis: Systémy VAST podporujú POSIX ACL, čo umožňuje administrátorom definovať podrobné povolenia pre files a priečinky nad rámec jednoduchého modelu Unix/Linux. POSIX ACL umožňujú prideľovanie povolení viacerým používateľom a skupinám, čím poskytujú flexibilné a podrobné riadenie prístupu.

• Sekcia: NFS File Protokol zdieľania (v5.1) [s. 154]

NFSv4 ACL

Popis: NFSv4 je stavový protokol so zabezpečenou autentifikáciou cez Kerberos, ktorý podporuje podrobné ACL. Tieto zoznamy ACL sú v granularite podobné tým, ktoré sú k dispozícii v SMB a NTFS, čo umožňuje robustnú kontrolu prístupu. NFSv4 ACL je možné spravovať pomocou štandardných nástrojov Linuxu cez protokol NFS.

• Sekcia: NFS File Protokol zdieľania (v5.1) [s. 154]

SMB ACL

Popis: SMB ACL sú spravované rovnakým spôsobom ako Windows zdieľania, čo umožňuje užívateľom nastaviť jemnozrnné Windows ACL cez PowerShell skripty a Windows File Prieskumník cez SMB. Tieto ACL, vrátane položiek zoznamu odmietnutí, môžu byť vynútené používateľom, ktorí pristupujú súčasne cez protokoly SMB aj NFS.

• Sekcia: SMB File Protokol zdieľania v klastri VAST (v5.1) [str. 171]

Zásady identity S3

Popis: S3 Native Security Flavor umožňuje použitie S3 Identity Policies na riadenie prístupu a možnosť nastavovať a meniť ACL podľa pravidiel S3. Táto funkcia poskytuje podrobné riadenie prístupu pre vedrá a objekty S3.

• Časť: S3 Object Storage Protocol (v5.1) [s. 182]

Viacprotokolové ACL

Popis: VAST podporuje viacprotokolové ACL, čím poskytuje jednotný model povolení na prístup k údajom cez rôzne protokoly. To zaisťuje konzistentnú kontrolu prístupu a bezpečnosť bez ohľadu na protokol použitý na prístup k údajom.

• Časť: Viacprotokolový prístup (v5.1) [s. 151]

Vlastnosti štítkov SELinux

1. Bezpečnostné štítky NFSv4.2

Popis: VAST Cluster 5.1 podporuje označovanie NFSv4.2 v režime obmedzeného servera. V tomto režime môže VAST Cluster uložiť a vrátiť bezpečnostné štítky files a adresáre na NFS views nájomníkmi s povoleným NFSv4.2, ale klaster nevynucuje rozhodovanie o prístupe na základe označenia. Priradenie a validáciu štítkov vykonávajú klienti NFSv4.2.

• Časť: Bezpečnostné štítky NFSv4.2 (v5.1) [s. 169]

Správa certifikátov a šifrovanie

Dátová platforma VAST ponúka komplexný balík funkcií na šifrovanie a správu certifikátov. Tu sú podrobné popisy každej funkcie spolu s príslušnými sekciami a číslami strán z dokumentácie VAST Cluster 5.1:

Šifrovanie dát v pokoji

Popis: VAST Data Platform podporuje šifrovanie dát v pokoji pomocou externých riešení správy kľúčov. Táto funkcia zaisťuje, že údaje uložené na platforme sú bezpečne zašifrované kľúčmi uchovávanými mimo klastra VAST, čím sú údaje chránené pred neoprávneným prístupom. Platforma podporuje platformu Thales CipherTrust Data Security Platform a Fornetix Vault Core pre správu externých kľúčov. Každý klaster má jedinečný hlavný kľúč a šifrovanie je možné povoliť počas počiatočného nastavenia klastra.

• Časť: Šifrovanie údajov (v5.1) [s. 128]

Overenie FIPS 140-3 úrovne 1

VAST Data Platform obsahuje OpenSSL 1.1.1 Cryptographic Module, ktorý je overený FIPS 140-3 Level 1. Číslo certifikátu pre toto overenie je #4675. Celé šifrovanie údajov počas letu a v pokoji je prepojené s kryptografickým modulom OpenSSL 1.1.1 overeným FIPS. Platforma využíva TLS 1.3 na bezpečný prenos dát a 256-bitové AES-XTS šifrovanie pre dáta v pokoji, čím zaisťuje robustnú bezpečnosť a súlad s priemyselnými štandardmi. Zlepšenie bezpečnosti a správy údajov pomocou zabezpečenia viacerých kategórií a bezpečného prenájmu 14

• Zdroj: Program overovania kryptografických modulov (CMVP)

Správa certifikátov TLS

Popis: Platforma podporuje inštaláciu a správu certifikátov TLS na zabezpečenie komunikácie
so systémom správy VAST (VMS). Správcovia môžu nainštalovať certifikáty TLS, aby zabezpečili prenos údajov
medzi klientmi a VMS je šifrovaný a bezpečný.

• Časť: Inštalácia certifikátu SSL pre VMS (v5.1) [str. 78]

Overenie mTLS pre klientov VMS

Popis: Platforma podporuje vzájomnú autentifikáciu TLS (mTLS) pre klientov VMS GUI a API. Keď je povolené mTLS, VMS vyžaduje, aby klient predložil certifikát podpísaný konkrétnou certifikačnou autoritou. Toto pridáva vrstvu vzájomnej autentifikácie, v ktorej sa klient aj server navzájom autentifikujú, čo poskytuje ďalšiu vrstvu zabezpečenia pre komunikáciu s VMS na voliteľnú podporu kariet PIV/CAC.

• Časť: Povolenie autentifikácie mTLS pre klientov VMS (v5.1) [str. 78]

Zabezpečenie komunikácie Active Directory

Dátová platforma VAST poskytuje robustné bezpečnostné opatrenia pre autentifikáciu Active Directory (AD) tým, že umožňuje správcom deaktivovať protokoly NTLM v1 a v2. NTLM (NT LAN Manager) je starší overovací protokol, ktorý má známe slabé miesta, vďaka čomu je menej bezpečný v porovnaní s modernejšími protokolmi, ako je Kerberos.

• Časť: Pripojenie k Active Directory (v5.1) [str. 347]

Zabezpečenie prístupu S3

Dátová platforma VAST zvyšuje bezpečnosť prístupu S3 tým, že vám umožňuje zakázať podpisovanie Signature Version 2 (SigV2), čím sa zaistí, že všetky interakcie S3 budú vykonávané pomocou bezpečnejšieho Signature Version 4 (SigV4). Okrem toho platforma presadzuje používanie TLS 1.3 pre komunikáciu S3, využívajúc overené šifry FIPS 140-3.

• Časť: S3 Object Storage Protocol (v5.1) [s. 182]

Crypto Erase

Popis: Crypto erase je metóda na odstránenie údajov nájomníka zo systému VAST. To sa vykonáva odvolaním alebo vymazaním kľúčov nájomníka pomocou systému VAST alebo správcu externých kľúčov. Systém VAST vyčistí kľúče na šifrovanie údajov (DEK) a kľúče na šifrovanie kľúčov (KEK) zo systémovej pamäte RAM, čím okamžite odstráni prístup ku všetkým údajom zapísaným pomocou týchto kľúčov. Systém VAST potom môže zašifrované údaje vymazať. Táto funkcia poskytuje metódu na bezpečné vymazanie údajov v prípade úniku údajov alebo keď nájomca opustí platformu.

Časť: Šifrovanie údajov (v5.1) [s. 128]

Katalóg a audit

Dátová platforma VAST ponúka komplexný súbor funkcií na auditovanie a katalogizáciu, čím zabezpečuje robustnú správu údajov a dodržiavanie predpisov. Tu sú podrobné popisy každej funkcie spolu s príslušnými sekciami a číslami strán z dokumentácie VAST Cluster 5.1:

Audit protokolu

Popis: Audit protokolu v dátovej platforme VAST zaznamenáva operácie, ktoré vytvárajú, odstraňujú alebo upravujú files, adresáre, objekty a metadáta. Zaznamenáva tiež operácie čítania a aktivity relácie. Táto funkcia pomáha pri sledovaní aktivít používateľov a zabezpečovaní súladu s bezpečnostnými zásadami. Správcovia môžu konfigurovať globálne nastavenia auditu a view protokoly auditu cez VAST Web UI alebo CLI.

• Sekcia: Audit protokolu ukončenýview [str. 243]
• Časť: Konfigurácia globálnych nastavení auditu [str. 243]
• Časť: Konfigurácia auditovania s View Zásady [str. 245]
• Sekcia: Auditované protokolové operácie [s. 245]
• Sekcia: ViewProtokoly auditu protokolu [str. 248]

Ukladanie protokolov auditu protokolu do databázových tabuliek VAST

Popis: VAST Data Platform umožňuje konfiguráciu VMS na ukladanie protokolov auditu protokolu v tabuľke databázy VAST. Záznamy denníka sú uložené ako záznamy JSON, čo môže byť viewpriamo z VAST Web UI na stránke denníka auditu VAST. Táto funkcia zlepšuje možnosť vykonávať podrobné audity a analýzy aktivít používateľov. Časť: Ukladanie protokolov auditu protokolu do databázových tabuliek VAST [str. 25]

Katalóg VAST

Popis: Katalóg VAST je vstavaný index metadát, ktorý používateľom umožňuje rýchlo vyhľadávať a nájsť údaje. Zaobchádza s file systém ako databáza, čo umožňuje aplikáciám AI a ML novej generácie používať ho ako úložisko samoreferenčných funkcií. Katalóg podporuje dotazy v štýle SQL a poskytuje intuitívne WebUI, bohaté CLI a API pre interakciu.

• Sekcia: Katalóg VAST Overview [str. 489]
• Časť: Konfigurácia katalógu VAST [str. 491]
• Sekcia: Dopytovanie katalógu VAST zo šablóny VAST Web UI [s. 492]
• Časť: Poskytovanie klientskeho prístupu k CLI katalógu VAST [s. 493]
  

Databáza VAST

Popis: Databáza VAST rozširuje možnosti katalógu VAST ukladaním komplexnejšieho obsahu do plne funkčnej databázy. Podporuje vysokorýchlostné a masívne dátové dotazy a ukladá dáta v efektívnom stĺpcovom formáte podobnom Apache Parquet. Databáza je navrhnutá pre jemnozrnné dopyty v reálnom čase do rozsiahlych rezerv tabuľkových údajov a katalogizovaných metadát.

• Sekcia: Databáza VAST Overview [str. 495]
• Časť: Konfigurácia klastra VAST pre prístup k databáze [str. 499]
• Časť: Príručka rýchleho spustenia CLI databázy VAST [str. 494]

Polia záznamu protokolu auditu

Opis: Polia záznamu protokolu auditu poskytujú podrobné informácie o každej zaprotokolovanej udalosti vrátane typu operácie, podrobností o používateľovi a časuamps a dotknuté zdroje. Toto podrobné zaznamenávanie je rozhodujúce pre súlad a forenznú analýzu.

• Časť: Polia záznamu protokolu auditu [str. 250]

Viewprotokolov auditu protokolu

Popis: Správcovia môžu view protokoly auditu protokolu cez VAST Web UI alebo CLI. Protokoly poskytujú prehľad o činnostiach používateľov a systémových operáciách, čo pomáha zabezpečiť súlad a odhaliť akékoľvek neoprávnené akcie.

• Sekcia: ViewProtokoly auditu protokolu [str. 248]

Udržiavaný a zabezpečený operačný systém

Dátová platforma VAST využíva komplexný prístup k zabezpečeniu svojho operačného systému, ktorý zabezpečuje robustnosť
ochranu a súlad s priemyselnými normami. Tu sú kľúčové aspekty operačného systému a implementované bezpečnostné opatrenia:

Udržiavaný operačný systém

Popis: VAST Data Platform používa udržiavaný operačný systém poskytovaný spoločnosťou CIQ, konkrétne Enterprise Rocky 8, čo je binárne kompatibilný obraz operačného systému RHEL. Horská platforma CIQ poskytuje bezpečné, autoritatívne a vysoko škálovateľné riešenie na doručovanie obrázkov, balíkov a kontajnerov dostupné vo verejnom cloude aj na mieste.

Pravidelné opravy a správa zraniteľností

Popis: VAST zaisťuje, že operačný systém je pravidelne opravovaný a aktualizovaný tým, že zostáva informovaný o najnovších bezpečnostných zraniteľnostiach, aplikuje potrebné opravy a včas implementuje vhodné zmiernenia. Tento proaktívny prístup pomáha udržiavať bezpečnostnú pozíciu operačného systému.

Nepretržité monitorovanie

Popis: Postupy nepretržitého monitorovania sú implementované na udržanie bezpečnostnej pozície operačného systému. To zahŕňa pravidelné hodnotenia, audity a reviews bezpečnostnými kontrolami a konfiguráciami systému, ako aj umožnenie zaznamenávania podozrivých aktivít a potenciálnych bezpečnostných incidentov.

Súlad s DISA STIG

Popis: Dátová platforma VAST podporuje DISA STIG (Príručka bezpečnostnej technickej implementácie) pre RedHat Linux 8, MAC 1 Profile – Kritická klasifikácia. Tento súlad zaisťuje, že operačný systém dodržiava prísne bezpečnostné štandardy požadované zákazníkmi v regulovaných prostrediach.

Správa konfigurácie

Popis: Platforma udržiava základnú konfiguráciu pre systémy RHEL 8 vrátane nastavení komponentov systému, file povolenia a inštaláciu softvéru. Tiež implementuje procesy riadenia zmien na sledovanie, naprviewa schvaľuje zmeny konfigurácie systému, čím sa zabezpečí, že systémy budú dodržiavať bezpečnú a štandardizovanú konfiguráciu.

Najmenej funkčnosti

Popis: Princíp najmenšej funkčnosti je zdôraznený odporúčaním odstránenia alebo zakázania nepotrebného softvéru, služieb a systémových komponentov. To znižuje potenciálne zraniteľnosti a vektory útokov.

Integrita systému a informácií

Popis: Funkcie šifrovania a správy kľúčov platformy, ako aj jej integrácia so systémami SIEM, pomáhajú zabezpečiť integritu údajov a informácií. To zahŕňa pravidelné hodnotenia bezpečnosti, penetračné testovanie a správu zraniteľností s cieľom zabezpečiť aktuálne bezpečnostné záplaty, konfigurácie a osvedčené postupy.

Bezpečný dodávateľský reťazec softvéru

Zabezpečenie bezpečného dodávateľského reťazca softvéru je rozhodujúce pre súlad s nariadeniami, ako je zákon o obchodných dohodách (TAA), federálne nariadenie o akvizícii (FAR) a normy ISO. Dátová platforma VAST implementuje komplexné opatrenia na zabezpečenie dodávateľského reťazca softvéru a zabezpečuje, že softvér je vyvíjaný správne a spĺňa prísne bezpečnostné požiadavky.

Secure Software Development Framework (SSDF)

Dátová platforma VAST prijíma NIST Secure Software Development Framework (SSDF), ktorý poskytuje usmernenia pre bezpečný vývoj softvéru. Tento rámec pomáha chrániť dodávateľské reťazce softvéru pred rizikami tým, že načrtáva postupy pre bezpečné kódovanie, správu zraniteľností a nepretržité monitorovanie.

Analýza zloženia softvéru (SCA)

Nástroje ako GitLab sa používajú na testovanie bezpečnosti statických aplikácií (SAST) a dynamické testovanie bezpečnosti aplikácií (DAST) na analýzu zraniteľností proprietárneho aj otvoreného kódu. Toto je rozhodujúce pre identifikáciu slabých miest zabezpečenia pred nasadením.

Softvérový kusovník (SBOM)

Platforma generuje a spravuje SBOM na sledovanie komponentov používaných pri vývoji softvéru. GitLab a Artifactory sa využívajú na zvýšenie transparentnosti a súladu s výkonným nariadením 14028.

Priebežná integrácia a priebežné zavádzanie (CI/CD).

Potrubie CI/CD zahŕňa testovanie bezpečnosti, kód reviewa kontroly súladu. Potrubie je hosťované na cloudovej platforme so sídlom v USA, aby spĺňalo požiadavky TAA/FAR, čím sa zaisťuje, že všetky operácie sú vykonávané v rámci USA a riadené americkými subjektmi.

Podpisovanie kontajnerov a balíkov

Digitálne podpisovanie kontajnerov a balíkov je implementované na zabezpečenie integrity a autentickosti. Docker Content Trust a RPM podpisovanie sú odporúčané postupy na zabezpečenie kontajnerových aplikácií a distribúcií balíkov.

Kontrola zraniteľnosti a zhody

Nástroje ako Tenable a Qualys sa používajú na skenovanie operačných systémov a zostavovanie balíkov, ako aj na detekciu vírusov a škodlivého softvéru. Tieto nástroje sú začlenené do kanála na identifikáciu a zmiernenie potenciálnych hrozieb v softvérovom prostredí.

Správa softvéru tretích strán

Všetok softvér tretích strán, či už open source alebo proprietárny, pochádza z miest v USA, aby bol v súlade s predpismi TAA/FAR. Tento softvér je súčasťou procesov skenovania SAST a DAST na zaistenie bezpečnosti.

Dokumentácia a audítorské záznamy

Udržiava sa komplexná dokumentácia celého procesu od registrácie kódu až po stiahnuteľný balík používaný zákazníkmi. Táto dokumentácia je prístupná na základe zmluvy o mlčanlivosti na účely auditov a validácií zo strany zákazníkov, ako to vyžaduje vedenie.

Správa zamestnancov a majetku

Proces riadia zamestnanci amerického subjektu (Vast Federal) a všetky aktíva používané v procese vývoja a nasadenia softvéru sú vo vlastníctve tohto subjektu. Tento súlad je rozhodujúci pre splnenie federálnych predpisov o akvizícii.

Bezpečné vývojové prostredie

Softvér je vyvinutý a zabudovaný v zabezpečených prostrediach s opatreniami, ako je viacfaktorová autentifikácia, podmienený prístup a šifrovanie citlivých údajov. Vynucuje sa pravidelné zaznamenávanie, monitorovanie a auditovanie dôveryhodných vzťahov.

Dôveryhodné dodávateľské reťazce zdrojového kódu

Automatizované nástroje alebo porovnateľné procesy sa používajú na overenie bezpečnosti interného kódu a komponentov tretích strán a efektívne spravujú súvisiace zraniteľnosti.

Kontroly bezpečnostných zraniteľností

Pred vydaním sa vykonávajú priebežné kontroly zraniteľnostíasinnové produkty, verzie alebo aktualizácie. Na promptne posúdenie a riešenie odhalených zraniteľností softvéru sa udržiava program na odhaľovanie zraniteľností.

Záver

Integrácia Multi-Category Security (MCS) s funkciami bezpečného prenájmu poskytuje robustný rámec na zvýšenie dôvernosti a bezpečnosti neštruktúrovaných údajov. Využitím MCS môžu organizácie priradiť konkrétne kategórie files, ktorý zabezpečuje, že k citlivým informáciám majú prístup iba autorizované procesy a používatelia. Táto dodatočná vrstva zabezpečenia je rozhodujúca pre ochranu neštruktúrovaných údajov, ako sú dokumenty, obrázky a videá.

Zabezpečený prenájom ďalej posilňuje izoláciu údajov vytvorením odlišných prostredí pre rôzne skupiny, oddelenia alebo organizácie v rámci rovnakej infraštruktúry. Kľúčové aspekty, ako je izolácia zdrojov, segregácia údajov, segmentácia siete a podrobné riadenie prístupu zaisťujú, že údaje každého nájomcu zostanú súkromné ​​a bezpečné. Dátová platforma VAST ilustruje tieto princípy prostredníctvom svojej komplexnej sady funkcií vrátane VLAN tagriadenie prístupu založené na rolách a atribútoch a robustné šifrovacie mechanizmy.

Stručne povedané, dátová platforma VAST so svojou integráciou MCS a bezpečným prenájmom poskytuje komplexné a bezpečné riešenie na správu neštruktúrovaných údajov. Tento prístup je nevyhnutný pre organizácie s prísnymi požiadavkami na dôvernosť údajov, ako sú vládne agentúry, finančné inštitúcie a poskytovatelia zdravotnej starostlivosti. Implementáciou týchto pokročilých bezpečnostných opatrení môžu organizácie s istotou chrániť svoje citlivé údaje a zároveň umožniť efektívnu a škálovateľnú správu údajov. Tento záver zachováva kľúčové body a zároveň zabezpečuje jasnosť a stručnosť.

 

 Ak chcete získať ďalšie informácie o dátovej platforme VAST a o tom, ako vám môže pomôcť vyriešiť problémy s aplikáciou, kontaktujte nás na adrese hello@vastdata.com.