Uso do software da plataforma de datos VAST

Uso do software da plataforma de datos VAST

Contidos ocultar
1 Introdución
2 Que é a plataforma de datos VAST
3 Segmentación de redes e nodos
4 Tenencia lóxica
5 Autorización e Xestión da Identidade
6 Control de acceso
7 Protocolo ACL e etiquetas SELinux
8 Xestión de certificados e cifrado
9 Catálogo e Auditoría
10 Sistema operativo mantido e protexido
11 Cadea de subministración segura de software
12 Conclusión
13 Documentos/Recursos
13.1 Referencias

Introdución

No mundo actual de datos, a confidencialidade e a seguridade dos datos non estruturados son primordiales. Multi-Category Security (MCS) e as funcións de arrendamento seguro ofrecen un marco sólido para abordar estas preocupacións. MCS, un mecanismo de control de acceso en Security-Enhanced Linux (SELinux), mellora a confidencialidade dos datos asignando categorías específicas a files e procesos. Isto garante que só os usuarios e procesos autorizados poidan acceder a información confidencial, proporcionando unha capa adicional de protección para os datos non estruturados, como documentos, imaxes e vídeos.

O arrendamento seguro fortalece aínda máis o illamento de datos ao crear ambientes distintos para diferentes grupos, departamentos ou organizacións dentro da mesma infraestrutura. Este enfoque garante que os datos de cada inquilino estean separados lóxica ou físicamente, evitando o acceso non autorizado e mantendo a privacidade dos datos. Os aspectos clave do arrendamento seguro inclúen o illamento de recursos, a segregación de datos, a segmentación da rede e os controis de acceso granulares.

A plataforma de datos VAST exemplifica estes principios a través do seu conxunto completo de funcións, incluíndo VLAN tagging, controis de acceso baseados en roles e atributos, e sólidos mecanismos de cifrado. Este documento explora como a integración de MCS con arrendamento seguro na plataforma de datos VAST ofrece unha solución completa e segura para xestionar datos non estruturados, especialmente para organizacións con requisitos estritos de confidencialidade de datos. Esta introdución é concisa, enfocada e ofrece unha guía clara sobre o contido do documento, aliñada coas mellores prácticas para a documentación técnica.

Que é a plataforma de datos VAST

A plataforma de datos VAST é unha solución completa para manexar datos non estruturados, especialmente para aplicacións de IA e aprendizaxe profunda. Integra varias capacidades para capturar, catalogar, etiquetar, enriquecer e preservar os datos, proporcionando un acceso directo aos datos desde o borde ata a nube.

Arquitectura Desagregada e Compartida-Todo (DASE).

Esta arquitectura desvincula a lóxica de cálculo do estado do sistema, permitindo a escala independente da capacidade engadindo nodos de datos (DNodes) e o rendemento engadindo nós de computación (CNodes). Combina estruturas de datos compartidas e transaccionais para superar as limitacións dos sistemas distribuídos tradicionais.

Clientes compatibles: NFS, NFSoRDMA Server Message Block (SMB), Amazon S3 e Containers (CSI)

Que é a plataforma de datos VAST
Servidores de protocolo sen estado (CNodes)
Arquitectura Desagregada e Compartida-Todo (DASE).

VAST DataStore

Presentado en 2019, DataStore está deseñado para almacenar e servir datos non estruturados. Rompe o compromiso entre rendemento e capacidade, polo que é axeitado para o almacenamento de datos non estruturados preparados para a intelixencia artificial empresarial.
Base de datos VAST

Este compoñente ofrece o rendemento transaccional dunha base de datos, o rendemento analítico dun almacén de datos e a escala e a accesibilidade dun lago de datos. Admite almacenamento de datos tanto en filas como en columnas.
VAST DataSpace

Lanzado en 2023, DataSpace ofrece acceso a datos globais desde o borde ata a nube, equilibrando a estrita coherencia co rendemento local. Permite o cálculo de datos desde calquera plataforma de nube pública, privada ou de borde.

A plataforma unifica datos estruturados e non estruturados, análise de bases de datos e ofrece un espazo de nomes global. Admite varios protocolos como NFS, SMB, S3, SQL e incorpora Apache Spark para a transformación de datos e o consumo dos sistemas de mensaxería.

A plataforma está construída para potenciar a IA e as aplicacións empresariais, proporcionando análise de datos en profundidade en tempo real e capacidades de aprendizaxe profunda. Captura e procesa datos en tempo real, permitindo a inferencia da intelixencia artificial, o enriquecemento de metadatos e a reciclaxe de modelos.

Que é a plataforma de datos VAST

Segmentación de redes e nodos

A plataforma de datos VAST inclúe varias funcións relacionadas coa eficiencia da xestión e a segmentación da rede, incluíndo a funcionalidade de agrupación de CNode, así como a capacidade de vincular CNodes a VLAN. Aquí están as descricións detalladas destas funcións, xunto coas seccións relevantes da documentación de VAST Cluster 5.1:

Agrupación e agrupación de CNode

Agrupación de servidores (CNode): os protocolos de almacenamento serven desde os nodos de cálculo (CNodes). A plataforma de datos VAST permite a agrupación de CNodes en grupos de servidores distintos. Cada grupo de servidores ten asignado un conxunto de enderezos IP virtuais (VIP) que se distribúen polos CNodes do grupo. Isto proporciona un mecanismo de calidade de servizo (QoS) controlando o número de servidores asignados a cada grupo. Cando un CNode queda fóra de liña, os VIP que estaba a servir son redistribuídos de forma sen interrupcións nos CNodes restantes do grupo. Isto garante o equilibrio de carga e unha alta dispoñibilidade.

  • Sección: Documentación do clúster VAST, "Xestionar grupos de IP virtuais" [p. 593]

VLAN Tagging e encadernación

VLAN Tagxestación: VLAN tagging permite aos administradores controlar que IP virtuais están expostas a que VLAN na rede. Esta función garante que o tráfico de rede estea illado entre diferentes VLAN, evitando o acceso non autorizado e a fuga de datos entre os inquilinos. VLAN tagging configúrase creando agrupacións de IP virtuais dentro das VLAN na plataforma VAST, proporcionando unha segmentación e illamento seguro da rede.

  • Sección: Documentación do clúster VAST, “Tagcrear agrupacións de IP virtuais con VLAN” [p. 147]
  • Sección: Acceso á rede e aprovisionamento de almacenamento (v5.1) [p. 141]

Segmentación de redes

Controlar o acceso a Views e Protocolos: UN VAST View é unha representación multiprotocolo dun recurso compartido, exportación ou depósito de almacenamento en rede. A plataforma permite aos administradores controlar a que VLAN teñen acceso específico Views e que protocolos se permiten utilizar ao acceder aos VIP desas VLAN. Esta función mellora a seguridade ao garantir que só as VLAN autorizadas poidan acceder a determinados datos e servizos. Configurase usando View Políticas, que poden especificar permisos de acceso baseados en VLAN.

  • Sección: Documentación do clúster VAST, “Creación View Políticas” [p. 628]

Tenencia lóxica

A plataforma de datos VAST ofrece varias funcións relacionadas co arrendamento múltiple que permiten o illamento e a xestión seguras dos inquilinos. Aquí están as principais características de arrendamento xunto con descricións detalladas e as seccións relevantes da documentación de VAST Cluster 5.1:

Inquilinos

Descrición: os inquilinos da plataforma de datos VAST definen rutas de datos illadas e poden ter as súas propias fontes de autenticación, como Active Directory (AD), LDAP ou NIS. Cada inquilino tamén pode xestionar as súas propias claves de cifrado, garantindo que os datos permanecen illados de forma segura doutros inquilinos. Esta función é fundamental para ambientes multi-inquilinos nos que diferentes organizacións ou departamentos precisan manter unha separación estrita de datos.

  • Sección: Inquilinos (v5.1) [páx. 251]

View Políticas

Descrición: View As políticas definen permisos de acceso, protocolos e configuracións de seguranza para Views asignado aos inquilinos. Estas políticas permiten aos administradores controlar quen pode acceder aos datos, que accións poden realizar e que protocolos poden utilizar. Este control granular é esencial para manter a seguridade e o cumprimento en contornas de varios arrendatarios.

  • Sección: Xestión Views e View Políticas (v5.1) [páx. 260]

Illamento VLAN

Descrición: as VLAN pódense unir a un inquilino específico para illar aínda máis o tráfico entre inquilinos, evitando que o tráfico cruzado ou de transmisión se produza a través do límite L2.

  • Sección: Tagxerar grupos de IP virtuais con VLAN [p. 147]

Calidade de servizo (QoS)

Descrición: as políticas de QoS proporcionan controis de rendemento granulares para ancho de banda e IOP (operacións de entrada/saída por segundo) para Views asignado aos inquilinos. Estas políticas garanten un rendemento previsible e evitan problemas de contención de recursos, o que é particularmente importante en ambientes de varios arrendatarios nos que os diferentes inquilinos poden ter requisitos de rendemento diferentes. Ademais dos limiares máximos de QoS que axudan a evitar o esgotamento do rendemento, tamén están dispoñibles os limiares mínimos de QoS, para axudar a previr o problema dos veciños ruidosos da multitenencia.

  • Sección: Calidade do servizo (v5.1) [p. 323]

Cotas

Descrición: as cotas permiten aos administradores establecer límites de capacidade Views e directorios para o illamento dos inquilinos. Esta función garante que ningún inquilino pode consumir máis que a súa parte de recursos asignada, o que axuda a evitar o esgotamento inesperado dos recursos da capacidade do sistema.

  • Sección: Xestionar cotas (v5.1) [p. 314]

Autorización e Xestión da Identidade

Xestión de inquilinos e identidade

Descrición: os inquilinos da plataforma de datos VAST definen rutas de datos illadas e poden ter as súas propias fontes de autenticación, como Active Directory (AD), LDAP ou NIS. A plataforma admite ata oito provedores de identidade únicos que se poden configurar para o seu uso a nivel de inquilino.

  • Sección: Inquilinos (v5.1) [páx. 251]

Views

Descrición: Views son participacións, exportacións ou depósitos multiprotocolo que pertencen a arrendatarios específicos. Ofrecen acceso a datos illados de forma segura, o que garante que cada inquilino só poida acceder aos seus propios datos. Views poden configurarse con permisos de acceso e protocolos específicos, polo que son versátiles para diferentes casos de uso.

  • Sección: Xestión Views e View Políticas (v5.1) [páx. 260]

View Políticas

Descrición: View As políticas definen permisos de acceso, protocolos e configuracións de seguranza para views asignado aos inquilinos. Estas políticas permiten aos administradores controlar quen pode acceder aos datos, que accións poden realizar e que protocolos poden utilizar. Este control granular é esencial para manter a seguridade e o cumprimento en contornas de varios arrendatarios.

  • Sección: Xestión Views e View Políticas (v5.1) [páx. 260]

Control de acceso

A plataforma de datos VAST ofrece un conxunto completo de funcións para a xestión de autorización e identidade. Aquí están as descricións detalladas de cada función xunto coas seccións e números de páxina relevantes da documentación de VAST Cluster 5.1:

Control de acceso

Control de acceso baseado en roles (RBAC)

Descrición: VAST Cluster emprega un sistema de control de acceso baseado en funcións (RBAC) para xestionar o acceso ao sistema de xestión VAST (VMS). RBAC permite aos administradores definir roles con permisos específicos e asignar estes roles aos usuarios. Isto garante que os usuarios teñan acceso só aos recursos e accións necesarios para as súas funcións, mellorando a seguridade e simplificando a xestión.

  • Sección: Autorización de accesos e permisos de VMS [p. 82]

Control de acceso baseado en atributos (ABAC)

Descrición: o control de acceso baseado en atributos (ABAC) é compatible views accede a través de NFSv4.1 con autenticación Kerberos ou mediante SMB con autenticación Kerberos ou NTLM. ABAC permite o acceso a un view se a conta do usuario en Active Directory ten asociado un atributo ABAC que coincide co ABAC tag asignado ao view. Isto proporciona un control de acceso detallado baseado nos atributos do usuario.

  • Sección: Control de acceso baseado en atributos (ABAC) [p. 269] Control de acceso

Autenticación de inicio de sesión único (SSO).

Descrición: VAST VMS admite a autenticación de inicio de sesión único (SSO) mediante provedores de identidade (IdP) baseados en SAML. Isto permite que os xestores de VMS inicien sesión nun clúster VAST usando as súas credenciais dun IdP como Okta, que ademais pode proporcionar capacidades de autenticación multifactor (MFA). SSO simplifica o proceso de inicio de sesión e mellora a seguridade ao centralizar a autenticación.

  • Sección: Configurar a autenticación SSO en VMS [p. 90]

Integración con Active Directory

Descrición: VAST Cluster admite a integración con Active Directory (AD) tanto para a autenticación e autorización de usuarios do protocolo de datos como de VMS. Isto permite ás organizacións aproveitar a súa infraestrutura AD existente para xestionar o acceso dos usuarios aos recursos do clúster VAST. A integración con AD admite funcións como o historial SID para grupos e usuarios, o que garante un control de acceso perfecto.

  • Sección: Conectarse a Active Directory (v5.1) [p. 347]

Integración LDAP

Descrición: a plataforma admite a integración con servidores LDAP para a autenticación e autorización de usuarios de protocolo de datos e VMS. Isto permite ás organizacións utilizar os seus directorios LDAP existentes para xestionar o acceso aos recursos do clúster VAST, proporcionando unha solución de autenticación flexible e escalable.

  • Sección: Conexión a un servidor LDAP (v5.1) [p. 342]

Integración NIS

Descrición: VAST Cluster admite a integración con Network Information Service (NIS) para a autenticación de usuarios do protocolo de datos. Esta función é útil para ambientes que dependen de NIS para xestionar a información do usuario e o control de acceso.

  • Sección: Conexión a NIS (v5.1) [p. 358]

Usuarios e grupos locais

Descrición: os administradores poden xestionar usuarios e grupos locais directamente dentro do clúster VAST. Isto inclúe a creación, modificación e eliminación de contas e grupos de usuarios locais, así como a asignación de permisos e roles a estas contas.

  • Sección: Xestionar usuarios locais (v5.1) [p. 335]
  • Sección: Xestionar grupos locais (v5.1) [p. 337] Control de acceso

Protocolo ACL e etiquetas SELinux

A plataforma de datos VAST admite varias ACL de protocolo e funcións de etiquetas SELinux, o que garante un control de acceso e seguridade robustos. Aquí están as descricións detalladas de cada función xunto coas seccións e números de páxina relevantes da documentación de VAST Cluster 5.1:

Listas de control de acceso (ACL) POSIX

Descrición: os sistemas VAST admiten ACL POSIX, o que permite aos administradores definir permisos detallados para files e cartafoles máis aló do simple modelo Unix/Linux. As ACL POSIX permiten a asignación de permisos a varios usuarios e grupos, proporcionando un control de acceso flexible e granular.

  • Sección: NFS File Protocolo de uso compartido (v5.1) [páx. 154]

ACL NFSv4

Descrición: NFSv4 é un protocolo con estado con autenticación segura a través de Kerberos que admite ACL detalladas. Estas ACL son similares en granularidade ás dispoñibles en SMB e NTFS, o que permite un control de acceso robusto. As ACL NFSv4 pódense xestionar mediante ferramentas estándar de Linux a través do protocolo NFS.

  • Sección: NFS File Protocolo de uso compartido (v5.1) [páx. 154]

ACL SMB

Descrición: as ACL SMB xestionanse do mesmo xeito que as accións compartidas de Windows, o que permite aos usuarios establecer ACL de Windows con gran precisión mediante scripts de PowerShell e Windows. File Explorador a través de SMB. Estas ACL, incluídas as entradas de lista de denegación, pódense aplicar aos usuarios que acceden a través dos protocolos SMB e NFS simultaneamente.

  • Sección: SMB File Protocolo para compartir no clúster VAST (v5.1) [p. 171]

S3 Políticas de identidade

Descrición: S3 Native Security Flavor permite o uso de políticas de identidade S3 para controlar o acceso e a posibilidade de establecer e cambiar ACL segundo as regras de S3. Esta función proporciona un control de acceso granular para os depósitos e obxectos S3.

  • Sección: Protocolo de almacenamento de obxectos S3 (v5.1) [p. 182]

ACL multiprotocolo

Descrición: VAST admite ACL multiprotocolo, que proporciona un modelo de permisos unificado para acceder a datos en diferentes protocolos. Isto garante un control de acceso e seguridade consistentes independentemente do protocolo utilizado para acceder aos datos.

  • Sección: Acceso multiprotocolo (v5.1) [p. 151]

Características das etiquetas de SELinux

1. Etiquetas de seguranza NFSv4.2

Descrición: VAST Cluster 5.1 admite a etiquetaxe NFSv4.2 no modo de servidor limitado. Neste modo, o clúster VAST pode almacenar e devolver etiquetas de seguranza files e directorios en NFS views de inquilinos habilitados para NFSv4.2, pero o clúster non aplica a toma de decisións de acceso baseada en etiquetas. A asignación e validación de etiquetas realízana os clientes NFSv4.2.

  • Sección: Etiquetas de seguranza NFSv4.2 (v5.1) [p. 169]

Xestión de certificados e cifrado

A plataforma de datos VAST ofrece un conxunto completo de funcións para o cifrado e a xestión de certificados. Aquí están as descricións detalladas de cada función xunto coas seccións e números de páxina relevantes da documentación de VAST Cluster 5.1:

Cifrado de datos en reposo

Descrición: VAST Data Platform admite o cifrado de datos en reposo mediante solucións de xestión de claves externas. Esta función garante que os datos almacenados na plataforma estean cifrados de forma segura con claves mantidas externas ao clúster VAST, protexendo os datos do acceso non autorizado. A plataforma admite Thales CipherTrust Data Security Platform e Fornetix Vault Core para a xestión de chaves externas. Cada clúster ten unha clave mestra única e pódese activar o cifrado durante a configuración inicial do clúster.

  • Sección: Cifrado de datos (v5.1) [p. 128]

Validación FIPS 140-3 Nivel 1

A plataforma de datos VAST incorpora o módulo criptográfico OpenSSL 1.1.1, que está validado como FIPS 140-3 Nivel 1. O número de certificado para esta validación é #4675. Todo o cifrado dos datos en voo e en repouso está ligado ao módulo criptográfico OpenSSL 1.1.1 validado por FIPS. A plataforma utiliza TLS 1.3 para a transmisión segura de datos e o cifrado AES-XTS de 256 bits para os datos en repouso, o que garante unha seguridade robusta e o cumprimento dos estándares da industria. Mellora da seguridade e da xestión dos datos con seguridade multicategoría e arrendamento seguro 14

  • Fonte: Programa de validación de módulos criptográficos (CMVP)

Xestión de certificados TLS

Descrición: a plataforma admite a instalación e xestión de certificados TLS para protexer as comunicacións
co sistema de xestión VAST (VMS). Os administradores poden instalar certificados TLS para garantir que os datos transmitidos
entre os clientes e o VMS está cifrado e seguro.

• Sección: Instalación dun certificado SSL para VMS (v5.1) [p. 78]

Autenticación mTLS para clientes VMS

Descrición: a plataforma admite a autenticación TLS mutua (mTLS) para clientes de API e GUI de VMS. Cando mTLS está activado, VMS require que o cliente presente un certificado asinado por unha autoridade de certificación específica. Isto engade unha capa de autenticación mutua, na que tanto o cliente como o servidor autentican entre si, proporcionando unha capa adicional de seguridade para as comunicacións co VMS para admitir opcionalmente tarxetas PIV/CAC.

  • Sección: Activación da autenticación mTLS para clientes VMS (v5.1) [p. 78]

Protección da comunicación de Active Directory

A plataforma de datos VAST ofrece sólidas medidas de seguridade para a autenticación de Active Directory (AD) ao permitir que os administradores desactiven os protocolos NTLM v1 e v2. NTLM (NT LAN Manager) é un protocolo de autenticación máis antigo que ten vulnerabilidades coñecidas, o que o fai menos seguro en comparación con protocolos máis modernos como Kerberos.

  • Sección: Conectarse a Active Directory (v5.1) [p. 347]

Asegurando o acceso S3

A plataforma de datos VAST mellora a seguridade do acceso a S3 ao permitirche desactivar a sinatura da versión 2 de sinatura (SigV2), garantindo que todas as interaccións de S3 se realicen mediante a versión 4 de sinatura (SigV4) máis segura. Ademais, a plataforma aplica o uso de TLS 1.3 para comunicacións S3, aproveitando cifras validadas FIPS 140-3.

  • Sección: Protocolo de almacenamento de obxectos S3 (v5.1) [p. 182]

Borrado criptográfico

Descrición: o borrado criptográfico é un método para eliminar os datos dun inquilino dun sistema VAST. Isto faise revogando ou eliminando as claves do inquilino mediante o sistema VAST ou o Xestor de claves externo. O sistema VAST eliminará as claves de cifrado de datos (DEK) e as claves de cifrado de claves (KEK) da memoria RAM do sistema, eliminando así inmediatamente o acceso a todos os datos escritos con esas claves. O sistema VAST pode entón borrar os datos cifrados. Esta función ofrece un método para eliminar datos de forma segura en caso de derrame de datos ou cando un inquilino abandona a plataforma.

Sección: Cifrado de datos (v5.1) [p. 128]

Catálogo e Auditoría

A plataforma de datos VAST ofrece un conxunto completo de funcións para a auditoría e a catalogación, que garanten unha sólida xestión e cumprimento de datos. Aquí están as descricións detalladas de cada función xunto coas seccións e números de páxina relevantes da documentación de VAST Cluster 5.1:

Auditoría de protocolo

Descrición: a auditoría de protocolos na plataforma de datos VAST rexistra as operacións que crean, eliminan ou modifican files, directorios, obxectos e metadatos. Tamén rexistra operacións de lectura e actividades de sesión. Esta función axuda a rastrexar as actividades dos usuarios e a garantir o cumprimento das políticas de seguridade. Os administradores poden configurar as opcións de auditoría globais e view rexistros de auditoría a través do VAST Web UI ou CLI.

  • Sección: Auditoría de Protocoloview [páx. 243]
  • Sección: Configuración da configuración global de auditoría [p. 243]
  • Sección: Configuración da auditoría con View Políticas [p. 245]
  • Sección: Operacións de protocolo auditadas [páx. 245]
  • Sección: Viewrexistros de auditoría do protocolo [páx. 248]

Almacenamento de rexistros de auditoría de protocolos en táboas de base de datos VAST

Descrición: VAST Data Platform permite a configuración de VMS para almacenar rexistros de auditoría de protocolo nunha táboa de base de datos VAST. As entradas de rexistro gárdanse como rexistros JSON, que poden ser viewed directamente desde VAST Web IU na páxina do rexistro de auditoría de VAST. Esta función mellora a capacidade de realizar auditorías e análises detalladas das actividades dos usuarios. Sección: Almacenamento de rexistros de auditoría de protocolos nas táboas de bases de datos VAST [páx. 25]

Catálogo VAST

Descrición: o catálogo VAST é un índice de metadatos integrado que permite aos usuarios buscar e atopar datos rapidamente. Trata o file sistema como unha base de datos, o que permite que as aplicacións de IA e ML de próxima xeración o usen como unha tenda de funcións autorreferencial. O catálogo admite consultas de estilo SQL e ofrece un sistema intuitivo WebUI, unha CLI rica e API para a interacción.

  • Sección: Catálogo VASTview [páx. 489]
  • Sección: Configuración do catálogo VAST [p. 491]
  • Sección: Consulta do catálogo VAST desde VAST Web IU [páx. 492]
  • Sección: Proporcionar acceso ao cliente á CLI do catálogo VAST [páx. 493] Catálogo e Auditoría

Base de datos VAST

Descrición: a base de datos VAST amplía as capacidades do catálogo VAST almacenando contido máis complexo nunha base de datos con todas as características. Admite consultas de datos masivas e de alta velocidade, almacenando datos nun formato de columnas eficiente semellante ao de Apache Parquet. A base de datos está deseñada para consultas detalladas e en tempo real en grandes reservas de datos tabulares e metadatos catalogados.

  • Sección: VAST DataBase Overview [páx. 495]
  • Sección: Configuración do clúster VAST para o acceso á base de datos [p. 499]
  • Sección: Guía de inicio rápido de VAST Database CLI [p. 494]

Campos de rexistro de auditoría

Descrición: os campos do rexistro do rexistro de auditoría proporcionan información detallada sobre cada evento rexistrado, incluíndo o tipo de operación, os detalles do usuario, o tempoamps, e recursos afectados. Este rexistro detallado é crucial para o cumprimento e a análise forense.

  • Sección: Campos de rexistro do rexistro de auditoría [páx. 250]

Viewrexistros de auditoría de protocolo

Descrición: Os administradores poden view rexistros de auditoría do protocolo a través do VAST Web UI ou CLI. Os rexistros proporcionan información sobre as actividades dos usuarios e as operacións do sistema, axudando a garantir o cumprimento e detectar calquera acción non autorizada.

  • Sección: Viewrexistros de auditoría do protocolo [páx. 248]

Sistema operativo mantido e protexido

A plataforma de datos VAST emprega un enfoque integral para protexer o seu sistema operativo, garantindo unha robustez
protección e cumprimento das normas do sector. Estes son os aspectos clave do sistema operativo e as medidas de seguridade implementadas:

Sistema operativo mantido

Descrición: VAST Data Platform utiliza un sistema operativo mantido proporcionado por CIQ, concretamente Enterprise Rocky 8, que é unha imaxe do sistema operativo compatible con binarios RHEL. A plataforma de montaña de CIQ ofrece unha solución de entrega de imaxes, paquetes e contedores segura, autorizada e altamente escalable dispoñible tanto na nube pública como local.

Xestión regular de parches e vulnerabilidades

Descrición: VAST garante que o sistema operativo se parchee e actualice regularmente mantendo informado sobre as vulnerabilidades de seguridade máis recentes, aplicando os parches necesarios e implementando as mitigacións adecuadas de forma oportuna. Este enfoque proactivo axuda a manter a postura de seguridade do sistema operativo.

Seguimento continuo

Descrición: Impléntanse prácticas de vixilancia continua para manter a postura de seguridade do sistema operativo. Isto inclúe avaliacións periódicas, auditorías e reviews dos controis e configuracións de seguridade do sistema, así como habilitar o rexistro de actividades sospeitosas e posibles incidentes de seguridade.

Conformidade DISA STIG

Descrición: a plataforma de datos VAST admite DISA STIG (Guía de implementación técnica de seguridad) para RedHat Linux 8, MAC 1 Profile - Clasificación de misión crítica. Este cumprimento garante que o sistema operativo cumpre os rigorosos estándares de seguridade requiridos polos clientes en ambientes regulados.

Xestión da configuración

Descrición: a plataforma mantén unha configuración de referencia para os sistemas RHEL 8, incluíndo a configuración dos compoñentes do sistema, file permisos e instalación de software. Tamén implementa procesos de control de cambios para rastrexar, review, e aprobar os cambios na configuración do sistema, garantindo que os sistemas se adhiran a unha configuración segura e estandarizada.

Funcionalidade mínima

Descrición: o principio de funcionalidade mínima é enfatizado ao recomendar a eliminación ou a desactivación de software, servizos e compoñentes do sistema innecesarios. Isto reduce as posibles vulnerabilidades e vectores de ataque.

Integridade do sistema e da información

Descrición: as funcións de cifrado e xestión de claves da plataforma, así como a súa integración cos sistemas SIEM, axudan a garantir a integridade dos datos e da información. Isto inclúe avaliacións de seguridade periódicas, probas de penetración e xestión de vulnerabilidades para garantir parches de seguridade, configuracións e prácticas recomendadas actualizadas.

Cadea de subministración segura de software

Asegurar unha cadea de subministración de software segura é fundamental para o cumprimento de normativas como a Lei de Acordos Comerciales (TAA), o Regulamento Federal de Adquisición (FAR) e as normas ISO. A plataforma de datos VAST implementa medidas completas para protexer a súa cadea de subministración de software, garantindo que o software se desenvolva correctamente e cumpra os estrictos requisitos de seguridade.

Marco de desenvolvemento de software seguro (SSDF)

A plataforma de datos VAST adopta o NIST Secure Software Development Framework (SSDF), que proporciona pautas para o desenvolvemento de software seguro. Este marco axuda a protexer as cadeas de subministración de software contra os riscos describindo prácticas de codificación segura, xestión de vulnerabilidades e seguimento continuo.

Análise de composición de software (SCA)

Ferramentas como GitLab utilízanse para as probas de seguridade de aplicacións estáticas (SAST) e as probas de seguranza de aplicacións dinámicas (DAST) para analizar o código propietario e de código aberto para detectar vulnerabilidades. Isto é fundamental para identificar as debilidades de seguridade antes da implantación.

Lista de materiais de software (SBOM)

A plataforma xera e xestiona SBOM para rastrexar os compoñentes utilizados no desenvolvemento de software. GitLab e Artifactory están aproveitados para mellorar a transparencia e o cumprimento da Orde executiva 14028.

Pipeline de integración continua e implantación continua (CI/CD).

Unha canalización CI/CD incorpora probas de seguridade, código review, e comprobacións de cumprimento. O gasoduto está aloxado nunha plataforma na nube baseada en Estados Unidos para cumprir os requisitos de TAA/FAR, o que garante que todas as operacións se realicen dentro dos Estados Unidos e sexan xestionadas por entidades estadounidenses.

Sinatura de contedores e paquetes

Implícase a sinatura dixital de envases e paquetes para garantir a integridade e autenticidade. Docker Content Trust e a sinatura RPM son prácticas recomendadas para protexer aplicacións en contenedores e distribucións de paquetes.

Escaneo de vulnerabilidades e cumprimento

Ferramentas como Tenable e Qualys utilízanse para analizar sistemas operativos e construír paquetes, así como para detectar virus e malware. Estas ferramentas incorpóranse ao pipeline para identificar e mitigar ameazas potenciais no contorno do software.

Xestión de software de terceiros

Todo o software de terceiros, xa sexa de código aberto ou propietario, procede de localizacións estadounidenses para cumprir coas normativas TAA/FAR. Este software inclúese nos procesos de dixitalización SAST e DAST para garantir a seguridade.

Documentación e pistas de auditoría

Mantense unha documentación completa de todo o proceso, desde a entrada do código ata o paquete descargable utilizado polos clientes. Esta documentación está accesible baixo a NDA para auditorías e validacións por parte dos clientes, segundo o requira o liderado.

Xestión de empregados e activos

O proceso está xestionado por empregados da entidade estadounidense (Vast Federal) e todos os activos utilizados no proceso de desenvolvemento e implantación de software son propiedade desta entidade. Este cumprimento é fundamental para cumprir coa normativa federal de adquisición.

Entorno de desenvolvemento seguro

O software desenvólvese e constrúese en ambientes seguros, con medidas como a autenticación multifactorial, o acceso condicional e o cifrado de datos sensibles. Aplícanse o rexistro, o seguimento e a auditoría regulares das relacións de confianza.

Cadea de subministración de código fonte de confianza

Utilízanse ferramentas automatizadas ou procesos comparables para validar a seguridade do código interno e dos compoñentes de terceiros, xestionando as vulnerabilidades relacionadas con eficacia.

Comprobacións de vulnerabilidade de seguridade

Ongoing vulnerability checks are conducted before releasing new products, versions, or updates. A vulnerability disclosure program is maintained to assess and address disclosed software vulnerabilities promptly.

Conclusión

A integración de Multi-Category Security (MCS) con funcións de arrendamento seguro proporciona un marco sólido para mellorar a confidencialidade e a seguridade dos datos non estruturados. Ao aproveitar MCS, as organizacións poden asignar categorías específicas files, garantindo que só os procesos e usuarios autorizados poidan acceder a información sensible. Esta capa adicional de seguridade é fundamental para protexer os datos non estruturados, como documentos, imaxes e vídeos.

O arrendamento seguro fortalece aínda máis o illamento de datos ao crear ambientes distintos para diferentes grupos, departamentos ou organizacións dentro da mesma infraestrutura. Aspectos clave como o illamento de recursos, a segregación de datos, a segmentación da rede e os controis de acceso granulares garanten que os datos de cada inquilino permanezan privados e seguros. A plataforma de datos VAST exemplifica estes principios a través do seu conxunto completo de funcións, incluíndo VLAN tagging, controis de acceso baseados en roles e atributos, e sólidos mecanismos de cifrado.

En resumo, a plataforma de datos VAST, coa súa integración de MCS e arrendamento seguro, ofrece unha solución completa e segura para xestionar datos non estruturados. Este enfoque é esencial para organizacións con requisitos estritos de confidencialidade de datos, como axencias gobernamentais, institucións financeiras e provedores de coidados de saúde. Ao implementar estas medidas de seguridade avanzadas, as organizacións poden protexer con confianza os seus datos confidenciais ao tempo que permiten unha xestión de datos eficiente e escalable. Esta conclusión mantén os puntos clave ao tempo que se garante a claridade e a concisión.

Conclusión

 

Símbolo Para obter máis información sobre a plataforma de datos VAST e sobre como pode axudarche a resolver os problemas da túa aplicación, ponte en contacto connosco en ola@vastdata.com.

Logotipo

Documentos/Recursos

Software de plataforma de datos VAST [pdfGuía do usuario
Software de plataforma de datos, software de plataforma, software
Software de plataforma de datos VAST [pdfGuía do usuario
Software de plataforma de datos, software de plataforma, software

Referencias

Deixa un comentario

O teu enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados *