Безопасность в Кассандре

Question

Как кластеры Кассандры обычно строятся безопасным способом? Должны ли они всегда храниться локально или есть какие-либо функции безопасности, которые позволяют открыть внешние подключения к кластеру? Насколько я понимаю, мне кажется, что у Cassandra нет «встроенного механизма безопасности» для работы с такими вещами. Я планирую создать службу, чтобы поговорить с Cassandra, если это соединение должно быть сделано локально (в той же сети, что и кластер), или из внешнего, используя DNS?

Answer 1

Настройте брандмауэр с состоянием, чтобы разрешить входящие подключения, но разрешить исходящий, только если кто-то запросил что-то с сервера. Кроме того, C * имеет встроенную поддержку SSL, но не все API могут использовать SSL, поэтому вам нужно будет выбрать совместимый.

Answer 2

Cassandra поддерживает встроенную аутентификацию и авторизацию пароля с версии 1.2. Пользовательские учетные данные и привилегии хранятся внутри системы в таблицах системных аутентификаторов. Это можно рассматривать как «встроенный механизм безопасности».

Что касается защиты соединений (шифрования), то с версии 1.2 существует поддержка SSL как для межсетевого взаимодействия, так и для связи между узлами. Платформа DataStax Enterprise дополнительно расширяет ее, поддерживая поддержку Kerberos/LDAP, чтобы обеспечить единый вход.