Предотвратить узел UnAuhtorize, чтобы присоединиться к кластеру Cassandra

Question

Я использую Apache Cassandra 2.1.2 и создаю кластер из 5 узлов. в файле конфигурации cassandra.yaml, авторизатору & Свойства аутентификатора установлены на CassandraAuthorizer и PasswordAuthenticator.

Это работает префект, но когда некоторые из этих конфигурационных файлов узлов изменены для подключения без авторизации, этот узел может запросить все пространства ключей и легко прочитать все безопасные данные!

Что можно сделать для обеспечения доступа к ключам и данным Cassandra из авторизованного клиента (узла)?

Answer 1

Если вы обеспокоены тем, что файлы конфигурации сбрасываются, вы должны действительно использовать программное обеспечение для управления конфигурацией, такое как Puppet или Chef, чтобы синхронизация вашей конфигурации между узлами вашего кластера.

Я также настоятельно рекомендую настроить node-to-node encryption и настроить хранилище доверия на ваших узлах cassandra, которое позволяет другим узлам присоединиться к кольцу, если они предоставляют доверенный сертификат.

Таким образом, вы не можете иметь несанкционированные узлы, соединяющие ваше кольцо, о котором вы не знаете. Кроме того, есть вероятность, что если ваши файлы конфигурации будут изменены, сервер_encryption_options также будет недействительным, и ваш узел не сможет подключиться.

Если вы обеспокоены обеспечением безопасности кластера. Я также рекомендую использовать client-to-node encryption при использовании авторизации, так как без SSL учетные данные передаются при очистке при подключении клиента.