Uso do software da plataforma de dados VAST

Uso do software da plataforma de dados VAST

Conteúdo esconder
1 Introdução
2 O que é a plataforma de dados VAST
3 Segmentação de redes e nós
4 Locação Lógica
5 Autorização e gerenciamento de identidade
6 Controle de acesso
7 ACLs de protocolo e rótulos SELinux
8 Gerenciamento e criptografia de certificados
9 Catálogo e Auditoria
10 Sistema operacional mantido e protegido
11 Cadeia de fornecimento de software segura
12 Conclusão
13 Documentos / Recursos
13.1 Referências

Introdução

No mundo atual, orientado por dados, a confidencialidade e a segurança dos dados não estruturados são fundamentais. A segurança multicategoria (MCS) e os recursos de locação segura oferecem uma estrutura robusta para resolver essas preocupações. MCS, um mecanismo de controle de acesso no Security-Enhanced Linux (SELinux), aumenta a confidencialidade dos dados atribuindo categorias específicas a filese processos. Isso garante que apenas usuários e processos autorizados possam acessar informações confidenciais, fornecendo uma camada adicional de proteção para dados não estruturados, como documentos, imagens e vídeos.

A locação segura fortalece ainda mais o isolamento de dados, criando ambientes distintos para diferentes grupos, departamentos ou organizações dentro da mesma infraestrutura. Essa abordagem garante que os dados de cada locatário sejam separados lógica ou fisicamente, evitando acesso não autorizado e mantendo a privacidade dos dados. Os principais aspectos da locação segura incluem isolamento de recursos, segregação de dados, segmentação de rede e controles de acesso granulares.

A plataforma de dados VAST exemplifica esses princípios por meio de seu conjunto abrangente de recursos, incluindo VLAN tagging, controles de acesso baseados em funções e atributos e mecanismos robustos de criptografia. Este documento explora como a integração do MCS com locação segura na plataforma de dados VAST fornece uma solução abrangente e segura para o gerenciamento de dados não estruturados, especialmente para organizações com requisitos rigorosos de confidencialidade de dados. Esta introdução é concisa, focada e fornece um guia claro para o conteúdo do documento, alinhando-se às melhores práticas para documentação técnica.

O que é a plataforma de dados VAST

A plataforma de dados VAST é uma solução abrangente para lidar com dados não estruturados, especialmente para aplicações de IA e aprendizagem profunda. Ele integra vários recursos para capturar, catalogar, rotular, enriquecer e preservar dados, fornecendo acesso contínuo aos dados da borda à nuvem.

Arquitetura desagregada e compartilhada (DASE)

Essa arquitetura separa a lógica de computação do estado do sistema, permitindo o dimensionamento independente de capacidade adicionando nós de dados (DNodes) e desempenho adicionando nós de computação (CNodes). Combina estruturas de dados compartilhadas e transacionais para superar as limitações dos sistemas distribuídos tradicionais.

Clientes suportados: NFS, bloco de mensagens de servidor NFSoRDMA (SMB), Amazon S3 e contêineres (CSI)

O que é a plataforma de dados VAST
Servidores de protocolo sem estado (CNodes)
Arquitetura desagregada e compartilhada (DASE)

Armazenamento de dados VAST

Introduzido em 2019, o DataStore foi projetado para armazenar e servir dados não estruturados. Ele quebra a relação entre desempenho e capacidade, tornando-o adequado para armazenamento de dados não estruturados corporativos prontos para IA.
Banco de dados VAST

Este componente oferece o desempenho transacional de um banco de dados, o desempenho analítico de um data warehouse e a escala e acessibilidade de um data lake. Ele oferece suporte ao armazenamento de dados em linhas e colunas.
Espaço de dados VAST

Lançado em 2023, o DataSpace fornece acesso global a dados da borda à nuvem, equilibrando consistência estrita com desempenho local. Ele permite a computação de dados de qualquer plataforma de nuvem pública, privada ou de ponta.

A plataforma unifica dados estruturados e não estruturados, análise de banco de dados e fornece um namespace global. Ele oferece suporte a vários protocolos como NFS, SMB, S3, SQL e incorpora Apache Spark para transformação e consumo de dados de sistemas de mensagens.

A plataforma foi construída para potencializar aplicações empresariais e de IA, fornecendo análise profunda de dados em tempo real e recursos de aprendizado profundo. Ele captura e processa dados em tempo real, permitindo inferência de IA, enriquecimento de metadados e retreinamento de modelos.

O que é a plataforma de dados VAST

Segmentação de redes e nós

A plataforma de dados VAST inclui vários recursos relacionados à eficiência de gerenciamento e segmentação de rede, incluindo funcionalidade de agrupamento de CNodes, bem como a capacidade de vincular CNodes a VLANs. Aqui estão as descrições detalhadas desses recursos, juntamente com as seções relevantes da documentação do VAST Cluster 5.1:

Agrupamento e pooling de CNode

Pool de servidores (CNode): Os protocolos de armazenamento são servidos a partir dos nós de computação (CNodes). A plataforma de dados VAST permite o agrupamento de CNodes em pools de servidores distintos. Cada pool de servidores possui um conjunto atribuído de endereços IP virtuais (VIPs) que são distribuídos entre os CNodes do pool. Isso fornece um mecanismo para Qualidade de Serviço (QoS), controlando o número de servidores atribuídos a cada pool. Quando um CNode fica offline, os VIPs que ele atende são redistribuídos de forma ininterrupta entre os CNodes restantes no pool. Isso garante balanceamento de carga e alta disponibilidade.

  • Seção: Documentação do cluster VAST, “Gerenciamento de pools de IP virtuais” [p. 593]

VLAN Tagging e encadernação

VLAN Tagging: VLAN tagO ging permite que os administradores controlem quais IPs virtuais estão expostos a quais VLANs na rede. Esse recurso garante que o tráfego de rede seja isolado entre diferentes VLANs, evitando acesso não autorizado e vazamento de dados entre locatários. VLAN tagO ging é configurado criando pools de IP virtuais dentro de VLANs na plataforma VAST, fornecendo segmentação e isolamento de rede seguros.

  • Seção: Documentação do cluster VAST, “Tagcriação de pools de IP virtuais com VLANs” [pág. 147]
  • Seção: Acesso à rede e provisionamento de armazenamento (v5.1) [p. 141]

Segmentação de rede

Controlar o acesso a Views e protocolos: um vasto View é uma representação multiprotocolo de um compartilhamento, exportação ou bucket de armazenamento de rede. A plataforma permite que os administradores controlem quais VLANs têm acesso a determinados Viewse quais protocolos podem ser usados ​​ao acessar os VIPs nessas VLANs. Esse recurso aumenta a segurança, garantindo que apenas VLANs autorizadas possam acessar determinados dados e serviços. Ele é configurado usando View Políticas, que podem especificar permissões de acesso com base em VLANs.

  • Seção: Documentação do cluster VAST, “Criando View Políticas” [pág. 628]

Locação Lógica

A plataforma de dados VAST oferece vários recursos relacionados à multilocação que permitem isolamento e gerenciamento seguros de locatários. Aqui estão os principais recursos de locação, juntamente com descrições detalhadas e as seções relevantes da documentação do VAST Cluster 5.1:

Inquilinos

Descrição: os locatários da plataforma de dados VAST definem caminhos de dados isolados e podem ter suas próprias fontes de autenticação, como Active Directory (AD), LDAP ou NIS. Cada locatário também pode gerenciar suas próprias chaves de criptografia, garantindo que os dados permaneçam isolados com segurança de outros locatários. Esse recurso é crucial para ambientes multilocatários, onde diferentes organizações ou departamentos precisam manter uma separação rigorosa de dados.

  • Seção: Locatários (v5.1) [p. 251]

View Políticas

Descrição: View As políticas definem permissões de acesso, protocolos e configurações de segurança para Viewé atribuído aos inquilinos. Essas políticas permitem que os administradores controlem quem pode acessar os dados, quais ações podem realizar e quais protocolos podem usar. Esse controle granular é essencial para manter a segurança e a conformidade em ambientes multilocatários.

  • Seção: Gerenciando Viewareia View Políticas (v5.1) [pág. 260]

Isolamento de VLAN

Descrição: As VLANs podem ser vinculadas a um locatário específico para isolar ainda mais o tráfego entre locatários, evitando que o roteamento cruzado ou o tráfego de transmissão ocorram através do limite L2.

  • Seção: Tagcriação de pools de IP virtuais com VLANs [pág. 147]

Qualidade de Serviço (QoS)

Descrição: As políticas de QoS fornecem controles granulares de desempenho para largura de banda e IOPs (operações de entrada/saída por segundo) para Viewé atribuído aos inquilinos. Estas políticas garantem um desempenho previsível e evitam problemas de contenção de recursos, o que é particularmente importante em ambientes multi-inquilinos onde diferentes inquilinos podem ter requisitos de desempenho variados. Além dos limites máximos de QoS que ajudam a evitar o esgotamento do desempenho, também estão disponíveis limites mínimos de QoS, para ajudar a evitar o problema de vizinhança barulhenta da multilocação.

  • Seção: Qualidade de serviço (v5.1) [p. 323]

Cotas

Descrição: As cotas permitem que os administradores definam limites de capacidade Viewse diretórios para isolamento de inquilinos. Esse recurso garante que nenhum locatário possa consumir mais do que sua parcela de recursos alocada, ajudando a evitar o esgotamento inesperado dos recursos da capacidade do sistema.

  • Seção: Gerenciamento de cotas (v5.1) [p. 314]

Autorização e gerenciamento de identidade

Gerenciamento de inquilino e identidade

Descrição: os locatários da plataforma de dados VAST definem caminhos de dados isolados e podem ter suas próprias fontes de autenticação, como Active Directory (AD), LDAP ou NIS. A plataforma suporta até oito provedores de identidade exclusivos que podem ser configurados para uso no nível do locatário.

  • Seção: Locatários (v5.1) [p. 251]

Views

Descrição: Views são compartilhamentos, exportações ou buckets multiprotocolo que pertencem a locatários específicos. Eles fornecem acesso a dados isolado com segurança, garantindo que cada locatário possa acessar apenas seus próprios dados. Views podem ser configurados com permissões e protocolos de acesso específicos, tornando-os versáteis para diferentes casos de uso.

  • Seção: Gerenciando Viewareia View Políticas (v5.1) [pág. 260]

View Políticas

Descrição: View As políticas definem permissões de acesso, protocolos e configurações de segurança para viewé atribuído aos inquilinos. Essas políticas permitem que os administradores controlem quem pode acessar os dados, quais ações podem realizar e quais protocolos podem usar. Esse controle granular é essencial para manter a segurança e a conformidade em ambientes multilocatários.

  • Seção: Gerenciando Viewareia View Políticas (v5.1) [pág. 260]

Controle de acesso

A plataforma de dados VAST oferece um conjunto abrangente de recursos para autorização e gerenciamento de identidade. Aqui estão as descrições detalhadas de cada recurso, juntamente com as seções relevantes e os números de página da documentação do VAST Cluster 5.1:

Controle de acesso

Controle de acesso baseado em função (RBAC)

Descrição: O VAST Cluster emprega um sistema de controle de acesso baseado em função (RBAC) para gerenciar o acesso ao sistema de gerenciamento VAST (VMS). O RBAC permite que os administradores definam funções com permissões específicas e atribuam essas funções aos usuários. Isto garante que os utilizadores tenham acesso apenas aos recursos e ações necessários para as suas funções, aumentando a segurança e simplificando a gestão.

  • Seção: Autorização de acesso e permissões do VMS [p. 82]

Controle de acesso baseado em atributos (ABAC)

Descrição: O Controle de Acesso Baseado em Atributos (ABAC) é compatível com views acessados ​​via NFSv4.1 com autenticação Kerberos ou via SMB com autenticação Kerberos ou NTLM. ABAC permite o acesso a um view se a conta do usuário no Active Directory tiver um atributo ABAC associado que corresponda ao ABAC tag atribuído ao view. Isso fornece controle de acesso refinado com base nos atributos do usuário.

  • Seção: Controle de acesso baseado em atributos (ABAC) [p. 269] Controle de acesso

Autenticação de logon único (SSO)

Descrição: VAST VMS oferece suporte à autenticação Single Sign-On (SSO) usando provedores de identidade (IdP) baseados em SAML. Isso permite que os gerentes VMS façam login em um cluster VAST usando suas credenciais de um IdP como o Okta, que também pode fornecer recursos de autenticação multifator (MFA). O SSO simplifica o processo de login e aumenta a segurança centralizando a autenticação.

  • Seção: Configurar a autenticação SSO no VMS [p. 90]

Integração do Active Directory

Descrição: O cluster VAST oferece suporte à integração com o Active Directory (AD) para autenticação e autorização de usuário VMS e de protocolo de dados. Isso permite que as organizações aproveitem sua infraestrutura AD existente para gerenciar o acesso dos usuários aos recursos do cluster VAST. A integração do AD oferece suporte a recursos como histórico de SID para grupos e usuários, garantindo controle de acesso contínuo.

  • Seção: Conexão ao Active Directory (v5.1) [p. 347]

Integração LDAP

Descrição: A plataforma suporta integração com servidores LDAP para autenticação e autorização de usuário VMS e protocolo de dados. Isso permite que as organizações usem seus diretórios LDAP existentes para gerenciar o acesso aos recursos do cluster VAST, fornecendo uma solução de autenticação flexível e escalável.

  • Seção: Conexão a um servidor LDAP (v5.1) [p. 342]

Integração NIS

Descrição: O cluster VAST oferece suporte à integração com Network Information Service (NIS) para autenticação de usuário de protocolo de dados. Este recurso é útil para ambientes que dependem do NIS para gerenciar informações do usuário e controle de acesso.

  • Seção: Conexão ao NIS (v5.1) [p. 358]

Usuários e grupos locais

Descrição: os administradores podem gerenciar usuários e grupos locais diretamente no cluster VAST. Isso inclui criar, modificar e excluir contas e grupos de usuários locais, bem como atribuir permissões e funções a essas contas.

  • Seção: Gerenciamento de usuários locais (v5.1) [p. 335]
  • Seção: Gerenciando grupos locais (v5.1) [p. 337] Controle de acesso

ACLs de protocolo e rótulos SELinux

A plataforma de dados VAST oferece suporte a vários protocolos ACLs e recursos de rótulo SELinux, garantindo controle de acesso e segurança robustos. Aqui estão as descrições detalhadas de cada recurso, juntamente com as seções relevantes e os números de página da documentação do VAST Cluster 5.1:

Listas de controle de acesso POSIX (ACLs)

Descrição: Os sistemas VAST suportam ACLs POSIX, permitindo que os administradores definam permissões detalhadas para filese pastas além do modelo Unix/Linux simples. As ACLs POSIX permitem a atribuição de permissões a vários usuários e grupos, fornecendo controle de acesso flexível e granular.

  • Seção: NFS File Protocolo de compartilhamento (v5.1) [pág. 154]

ACLs NFSv4

Descrição: NFSv4 é um protocolo stateful com autenticação segura via Kerberos que oferece suporte a ACLs detalhadas. Essas ACLs são semelhantes em granularidade às disponíveis em SMB e NTFS, permitindo um controle de acesso robusto. As ACLs NFSv4 podem ser gerenciadas usando ferramentas padrão do Linux através do protocolo NFS.

  • Seção: NFS File Protocolo de compartilhamento (v5.1) [pág. 154]

ACLs para pequenas e médias empresas

Descrição: As ACLs SMB são gerenciadas da mesma maneira que os compartilhamentos do Windows, permitindo que os usuários definam ACLs refinadas do Windows por meio de scripts do PowerShell e do Windows. File Explorador sobre SMB. Essas ACLs, incluindo entradas da lista de negações, podem ser impostas aos usuários que acessam simultaneamente através dos protocolos SMB e NFS.

  • Seção: PME File Protocolo de compartilhamento no cluster VAST (v5.1) [p. 171]

Políticas de identidade S3

Descrição: o S3 Native Security Flavor permite o uso de políticas de identidade do S3 para controlar o acesso e a capacidade de definir e alterar ACLs de acordo com as regras do S3. Esse recurso fornece controle de acesso granular para buckets e objetos S3.

  • Seção: Protocolo de armazenamento de objetos S3 (v5.1) [p. 182]

ACLs multiprotocolo

Descrição: o VAST oferece suporte a ACLs multiprotocolo, fornecendo um modelo de permissão unificado para acessar dados em diferentes protocolos. Isso garante controle de acesso e segurança consistentes, independentemente do protocolo usado para acessar os dados.

  • Seção: Acesso multiprotocolo (v5.1) [p. 151]

Recursos do rótulo SELinux

1. Rótulos de segurança NFSv4.2

Descrição: VAST Cluster 5.1 oferece suporte à rotulagem NFSv4.2 no modo de servidor limitado. Neste modo, o cluster VAST pode armazenar e retornar rótulos de segurança de files e diretórios no NFS views de locatários habilitados para NFSv4.2, mas o Cluster não impõe a tomada de decisões de acesso baseada em rótulos. A atribuição e validação de rótulos são realizadas por clientes NFSv4.2.

  • Seção: Rótulos de segurança NFSv4.2 (v5.1) [p. 169]

Gerenciamento e criptografia de certificados

A plataforma de dados VAST oferece um conjunto abrangente de recursos para criptografia e gerenciamento de certificados. Aqui estão as descrições detalhadas de cada recurso, juntamente com as seções relevantes e os números de página da documentação do VAST Cluster 5.1:

Criptografia de dados em repouso

Descrição: a plataforma de dados VAST oferece suporte à criptografia de dados inativos usando soluções externas de gerenciamento de chaves. Esse recurso garante que os dados armazenados na plataforma sejam criptografados de forma segura com chaves mantidas externamente ao cluster VAST, protegendo os dados contra acesso não autorizado. A plataforma suporta Thales CipherTrust Data Security Platform e Fornetix Vault Core para gerenciamento de chaves externas. Cada cluster possui uma chave mestra exclusiva e a criptografia pode ser habilitada durante a configuração inicial do cluster.

  • Seção: Criptografia de dados (v5.1) [p. 128]

Validação FIPS 140-3 Nível 1

A plataforma de dados VAST incorpora o módulo criptográfico OpenSSL 1.1.1, que é validado pelo FIPS 140-3 Nível 1. O número do certificado para esta validação é #4675. Toda a criptografia de dados em trânsito e em repouso está vinculada ao módulo criptográfico OpenSSL 1.1.1 validado pelo FIPS. A plataforma utiliza TLS 1.3 para transmissão segura de dados e criptografia AES-XTS de 256 bits para dados em repouso, garantindo segurança robusta e conformidade com os padrões do setor. Aprimorando a segurança e o gerenciamento de dados com segurança multicategoria e locação segura 14

  • Fonte: Programa de Validação de Módulo Criptográfico (CMVP)

Gerenciamento de certificados TLS

Descrição: A plataforma suporta a instalação e gerenciamento de certificados TLS para segurança de comunicações
com o Sistema de Gerenciamento VAST (VMS). Os administradores podem instalar certificados TLS para garantir que os dados transmitidos
entre clientes e o VMS é criptografado e seguro.

• Seção: Instalando um certificado SSL para VMS (v5.1) [p. 78]

Autenticação mTLS para clientes VMS

Descrição: A plataforma oferece suporte à autenticação TLS mútua (mTLS) para clientes VMS GUI e API. Quando o mTLS está habilitado, o VMS exige que o cliente apresente um certificado assinado por uma Autoridade Certificadora específica. Isso adiciona uma camada de autenticação mútua, na qual o cliente e o servidor se autenticam, fornecendo uma camada adicional de segurança para comunicações com o VMS para suportar opcionalmente cartões PIV/CAC.

  • Seção: Ativação da autenticação mTLS para clientes VMS (v5.1) [p. 78]

Protegendo a comunicação do Active Directory

A VAST Data Platform fornece medidas de segurança robustas para autenticação do Active Directory (AD), permitindo que os administradores desabilitem os protocolos NTLM v1 e v2. NTLM (NT LAN Manager) é um protocolo de autenticação mais antigo que possui vulnerabilidades conhecidas, tornando-o menos seguro em comparação com protocolos mais modernos como Kerberos.

  • Seção: Conexão ao Active Directory (v5.1) [p. 347]

Protegendo o acesso S3

A plataforma de dados VAST aprimora a segurança do acesso S3, permitindo que você desative a assinatura do Signature Versão 2 (SigV2), garantindo que todas as interações do S3 sejam conduzidas usando o Signature Versão 4 (SigV4), mais seguro. Além disso, a plataforma impõe o uso de TLS 1.3 para comunicações S3, aproveitando cifras validadas pelo FIPS 140-3.

  • Seção: Protocolo de armazenamento de objetos S3 (v5.1) [p. 182]

Apagamento de Criptomoedas

Descrição: O apagamento criptográfico é um método para remover os dados de um locatário de um sistema VAST. Isso é feito revogando ou excluindo as chaves do locatário usando o sistema VAST ou o Gerenciador de Chaves Externas. O sistema VAST limpará as chaves de criptografia de dados (DEKs) e as chaves de criptografia de chaves (KEKs) da RAM do sistema, removendo imediatamente o acesso a todos os dados gravados usando essas chaves. O sistema VAST pode então apagar os dados criptografados. Este recurso fornece um método para excluir dados com segurança em caso de vazamento de dados ou quando um locatário sai da plataforma.

Seção: Criptografia de dados (v5.1) [p. 128]

Catálogo e Auditoria

A plataforma de dados VAST oferece um conjunto abrangente de recursos para auditoria e catalogação, garantindo conformidade e gerenciamento robusto de dados. Aqui estão as descrições detalhadas de cada recurso, juntamente com as seções relevantes e os números de página da documentação do VAST Cluster 5.1:

Auditoria de Protocolo

Descrição: a auditoria de protocolo na VAST Data Platform registra operações que criam, excluem ou modificam files, diretórios, objetos e metadados. Ele também registra operações de leitura e atividades de sessão. Este recurso ajuda a rastrear as atividades do usuário e garantir a conformidade com as políticas de segurança. Os administradores podem definir configurações de auditoria global e view registros de auditoria por meio do VAST Web IU ou CLI.

  • Seção: Auditoria de protocolo encerradaview [pág. 243]
  • Seção: Definir configurações de auditoria global [p. 243]
  • Seção: Configurando auditoria com View Políticas [pág. 245]
  • Seção: Operações de protocolo auditadas [p. 245]
  • Seção: Viewing registros de auditoria de protocolo [p. 248]

Armazenando logs de auditoria de protocolo em tabelas de banco de dados VAST

Descrição: VAST Data Platform permite a configuração do VMS para armazenar logs de auditoria de protocolo em uma tabela de banco de dados VAST. As entradas de log são armazenadas como registros JSON, que podem ser vieweditado diretamente do VAST Web IU na página Registro de auditoria VAST. Esse recurso aprimora a capacidade de realizar auditorias e análises detalhadas das atividades do usuário. Seção: Armazenamento de logs de auditoria de protocolo em tabelas de banco de dados VAST [p. 25]

Catálogo VAST

Descrição: o Catálogo VAST é um índice de metadados integrado que permite aos usuários pesquisar e encontrar dados rapidamente. Ele trata o file sistema como um banco de dados, permitindo que aplicativos de IA e ML de próxima geração o usem como um armazenamento de recursos autorreferencial. O catálogo oferece suporte a consultas no estilo SQL e fornece uma interface intuitiva WebUI, uma CLI avançada e APIs para interação.

  • Seção: Catálogo VAST encerradoview [pág. 489]
  • Seção: Configuração do catálogo VAST [p. 491]
  • Seção: Consultando o Catálogo VAST do VAST Web IU [pág. 492]
  • Seção: Fornecimento de acesso do cliente à CLI do catálogo VAST [p. 493] Catálogo e Auditoria

Banco de dados VAST

Descrição: o VAST DataBase amplia os recursos do Catálogo VAST armazenando conteúdo mais complexo em um banco de dados completo. Ele suporta consultas de dados massivas e de alta velocidade, armazenando dados em um formato colunar eficiente semelhante ao Apache Parquet. O banco de dados foi projetado para consultas refinadas em tempo real em vastas reservas de dados tabulares e metadados catalogados.

  • Seção: Banco de dados VAST encerradoview [pág. 495]
  • Seção: Configuração do cluster VAST para acesso ao banco de dados [p. 499]
  • Seção: Guia de início rápido da CLI do banco de dados VAST [p. 494]

Campos de registro de log de auditoria

Descrição: Os campos de registro do log de auditoria fornecem informações detalhadas sobre cada evento registrado, incluindo o tipo de operação, detalhes do usuário, horárioamps e recursos afetados. Esse registro detalhado é crucial para conformidade e análise forense.

  • Seção: Campos de registro do log de auditoria [p. 250]

Viewlogs de auditoria de protocolo

Descrição: Os administradores podem view registros de auditoria de protocolo por meio do VAST Web UI ou CLI. Os logs fornecem insights sobre as atividades do usuário e as operações do sistema, ajudando a garantir a conformidade e detectar quaisquer ações não autorizadas.

  • Seção: Viewing registros de auditoria de protocolo [p. 248]

Sistema operacional mantido e protegido

A plataforma de dados VAST emprega uma abordagem abrangente para proteger seu sistema operacional, garantindo segurança robusta
proteção e conformidade com os padrões da indústria. Aqui estão os principais aspectos do sistema operacional e as medidas de segurança implementadas:

Sistema operacional mantido

Descrição: VAST Data Platform usa um sistema operacional mantido fornecido pela CIQ, especificamente Enterprise Rocky 8, que é uma imagem de sistema operacional compatível com binário RHEL. A Mountain Platform da CIQ oferece uma solução de entrega de imagens, pacotes e contêineres segura, confiável e altamente escalonável, disponível tanto na nuvem pública quanto no local.

Aplicação regular de patches e gerenciamento de vulnerabilidades

Descrição: o VAST garante que o sistema operacional seja corrigido e atualizado regularmente, mantendo-se informado sobre as vulnerabilidades de segurança mais recentes, aplicando os patches necessários e implementando as mitigações apropriadas em tempo hábil. Essa abordagem proativa ajuda a manter a postura de segurança do sistema operacional.

Monitoramento Contínuo

Descrição: Práticas de monitoramento contínuo são implementadas para manter a postura de segurança do sistema operacional. Isso inclui avaliações regulares, auditorias e reavaliaçõesviews dos controles e configurações de segurança do sistema, bem como permitir o registro de atividades suspeitas e possíveis incidentes de segurança.

Conformidade DISA STIG

Descrição: A plataforma de dados VAST oferece suporte ao DISA STIG (Guia de implementação técnica de segurança) para RedHat Linux 8, MAC 1 Profile – Classificado de Missão Crítica. Essa conformidade garante que o sistema operacional cumpra os rigorosos padrões de segurança exigidos pelos clientes em ambientes regulamentados.

Gerenciamento de configuração

Descrição: A plataforma mantém uma configuração básica para sistemas RHEL 8, incluindo configurações para componentes do sistema, file permissões e instalação de software. Ele também implementa processos de controle de mudanças para rastrear, refazerviewe aprovar alterações na configuração do sistema, garantindo que os sistemas sigam uma configuração segura e padronizada.

Menos funcionalidade

Descrição: O princípio de menor funcionalidade é enfatizado ao recomendar a remoção ou desativação de software, serviços e componentes de sistema desnecessários. Isso reduz vulnerabilidades potenciais e vetores de ataque.

Integridade do Sistema e da Informação

Descrição: Os recursos de criptografia e gerenciamento de chaves da plataforma, bem como sua integração com sistemas SIEM, ajudam a garantir a integridade dos dados e informações. Isso inclui avaliações regulares de segurança, testes de penetração e gerenciamento de vulnerabilidades para garantir patches de segurança, configurações e práticas recomendadas atualizadas.

Cadeia de fornecimento de software segura

Garantir uma cadeia de fornecimento de software segura é fundamental para a conformidade com regulamentações como a Lei de Acordos Comerciais (TAA), o Regulamento de Aquisição Federal (FAR) e os padrões ISO. A Plataforma de Dados VAST implementa medidas abrangentes para proteger sua cadeia de fornecimento de software, garantindo que o software seja desenvolvido corretamente e atenda a requisitos de segurança rigorosos.

Estrutura de Desenvolvimento de Software Seguro (SSDF)

A plataforma de dados VAST adota o NIST Secure Software Development Framework (SSDF), que fornece diretrizes para o desenvolvimento seguro de software. Esta estrutura ajuda a proteger as cadeias de fornecimento de software contra riscos, descrevendo práticas para codificação segura, gerenciamento de vulnerabilidades e monitoramento contínuo.

Análise de Composição de Software (SCA)

Ferramentas como o GitLab são utilizadas para testes estáticos de segurança de aplicativos (SAST) e testes dinâmicos de segurança de aplicativos (DAST) para analisar vulnerabilidades em código proprietário e de código-fonte aberto. Isto é crucial para identificar pontos fracos de segurança antes da implantação.

Lista de materiais do software (SBOM)

A plataforma gera e gerencia SBOMs para rastrear componentes utilizados no desenvolvimento de software. GitLab e Artifactory são aproveitados no pipeline para aumentar a transparência e a conformidade com a Ordem Executiva 14028.

Pipeline de integração contínua e implantação contínua (CI/CD)

Um pipeline de CI/CD incorpora testes de segurança, revisão de códigoviewe verificações de conformidade. O pipeline está hospedado em uma plataforma de nuvem baseada nos EUA para atender aos requisitos TAA/FAR, garantindo que todas as operações sejam realizadas nos EUA e gerenciadas por entidades dos EUA.

Assinatura de contêineres e pacotes

A assinatura digital de contêineres e pacotes é implementada para garantir integridade e autenticidade. Docker Content Trust e assinatura RPM são práticas recomendadas para proteger aplicativos em contêineres e distribuições de pacotes.

Verificação de vulnerabilidade e conformidade

Ferramentas como Tenable e Qualys são usadas para verificar sistemas operacionais e construir pacotes, bem como para detecção de vírus e malware. Essas ferramentas são incorporadas ao pipeline para identificar e mitigar ameaças potenciais no ambiente de software.

Gerenciamento de software de terceiros

Todo software de terceiros, seja de código aberto ou proprietário, é proveniente de locais nos EUA para cumprir os regulamentos TAA/FAR. Este software está incluído nos processos de digitalização SAST e DAST para garantir a segurança.

Documentação e trilhas de auditoria

É mantida documentação abrangente de todo o processo, desde o check-in do código até o pacote para download usado pelos clientes. Esta documentação está acessível sob NDA para auditorias e validações por parte dos clientes, conforme exigido pela liderança.

Gestão de funcionários e ativos

O processo é gerenciado por funcionários da entidade norte-americana (Vast Federal), e todos os ativos utilizados no processo de desenvolvimento e implantação de software são de propriedade desta entidade. Essa conformidade é crucial para atender aos regulamentos federais de aquisição.

Ambiente de desenvolvimento seguro

O software é desenvolvido e construído em ambientes seguros, com medidas como autenticação multifator, acesso condicional e criptografia de dados confidenciais. O registro, o monitoramento e a auditoria regulares das relações de confiança são aplicados.

Cadeias de fornecimento de código-fonte confiáveis

Ferramentas automatizadas ou processos comparáveis ​​são usados ​​para validar a segurança do código interno e de componentes de terceiros, gerenciando eficazmente as vulnerabilidades relacionadas.

Verificações de vulnerabilidade de segurança

Ongoing vulnerability checks are conducted before releasing new products, versions, or updates. A vulnerability disclosure program is maintained to assess and address disclosed software vulnerabilities promptly.

Conclusão

A integração da Segurança Multicategoria (MCS) com recursos de locação segura fornece uma estrutura robusta para aumentar a confidencialidade e a segurança de dados não estruturados. Ao aproveitar o MCS, as organizações podem atribuir categorias específicas a files, garantindo que apenas processos e usuários autorizados possam acessar informações confidenciais. Essa camada adicional de segurança é crucial para proteger dados não estruturados, como documentos, imagens e vídeos.

A locação segura fortalece ainda mais o isolamento de dados, criando ambientes distintos para diferentes grupos, departamentos ou organizações dentro da mesma infraestrutura. Aspectos importantes como isolamento de recursos, segregação de dados, segmentação de rede e controles de acesso granulares garantem que os dados de cada locatário permaneçam privados e seguros. A plataforma de dados VAST exemplifica esses princípios por meio de seu conjunto abrangente de recursos, incluindo VLAN tagging, controles de acesso baseados em funções e atributos e mecanismos robustos de criptografia.

Em resumo, a plataforma de dados VAST, com integração de MCS e locação segura, fornece uma solução abrangente e segura para gerenciamento de dados não estruturados. Esta abordagem é essencial para organizações com requisitos rigorosos de confidencialidade de dados, como agências governamentais, instituições financeiras e prestadores de cuidados de saúde. Ao implementar estas medidas de segurança avançadas, as organizações podem proteger com confiança os seus dados sensíveis, ao mesmo tempo que permitem uma gestão de dados eficiente e escalável. Esta conclusão mantém os pontos-chave, garantindo clareza e concisão.

Conclusão

 

Símbolo Para obter mais informações sobre a plataforma de dados VAST e como ela pode ajudá-lo a resolver seus problemas de aplicação, entre em contato conosco em olá@vastdata.com.

Logotipo

Documentos / Recursos

Software de plataforma de dados VAST [pdf] Guia do Usuário
Software de plataforma de dados, Software de plataforma, Software
Software de plataforma de dados VAST [pdf] Guia do Usuário
Software de plataforma de dados, Software de plataforma, Software

Referências

Deixe um comentário

Seu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados *