DSE Searchのセキュリティ保護
DSE Searchデータは、DataStax Enterpriseのセキュリティ機能を使用することで、完全または部分的にセキュリティ保護されます。
DataStax Enterpriseでは、Apache SolrおよびLuceneを使用したセキュアなエンタープライズ検索をサポートしています。DSE Searchやその他の統合コンポーネントのセキュリティ機能については、セキュリティ一覧にまとめてあります。DSE Searchデータは、DataStax Enterpriseのセキュリティ機能を使用することで、完全または部分的にセキュリティ保護されます。
- オブジェクト・パーミッション管理
Solrドキュメント(キャッシュ・データを除く)へのアクセスをアクセス・パーミッションを付与されたロールに限定します。パーミッション管理では、Solrデータの格納に使用されるテーブルのセキュリティも保護されます。
- 透過的なデータ暗号化
Cassandraテーブルに保存済みのデータは、DSE Searchインデックス暗号化を含め、暗号化できます。キャッシュ・データは暗号化されません。暗号化はCassandra側で実行され、その間はパフォーマンスがわずかに低下します。
- クライアントとノード間の暗号化SolrデータへのHTTPアクセスはSSLを使用して暗号化でき、DSE Searchノードではクライアントとノード間暗号化が使用できます。
- DSE Searchノードでクライアントとノード間のSSL暗号化を有効にするには、cassandra.yamlファイル内の
client_encryption_options
を設定します。 - すべての暗号化アルゴリズムがサポートされるように、JCEをインストールします。
cassandra.yaml内のserver_encryption_optionsのデフォルト・セットの一部の暗号化スイートは、Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policyファイルにのみ含まれています。すべての暗号化アルゴリズムがサポートされるように、JCE Unlimited Strength Jurisdiction Policyファイルをインストールしてください。
- SSLを使用して特定のセキュリティ要件を満たすには、DSE Searchへのクライアント接続用にIPアドレスを変更します。たとえば、サブネットを分離するには、以下のようにします。
- DSE Searchノードでクライアントとノード間のSSL暗号化を有効にするには、cassandra.yamlファイル内の
-
実稼働環境のDSE Searchには、Kerberos認証を使用します。
Simple and Protected GSSAPI Negotiation Mechanism(SPNEGO)を使用して、DSE SearchユーザーをKerberos認証で認証できます。Kerberos認証を使ってDSE Searchクラスターに対してSolrJ APIを使用するには、クライアント・アプリケーション側が、solrj-auth-README.mdファイルの記述に従って、SolrJ-AuthライブラリーとDataStax Enterprise SolrJコンポーネントを使用する必要があります。
Cassandraパスワード認証またはDataStax Enterprise LDAP認証
HTTP基本認証を使用することもできますが、これは実稼働環境には推奨されません。
Cassandra内部のパスワード認証を使用する場合は、Solrサービスに認証情報を提供するために、クライアント・アプリケーションでHTTP基本認証を使用する必要があります。HTTP基本認証にはステートがないため、オーセンティケーターはHTTP要求があるたびに認証プロセスを実行しなければならず、パフォーマンスが大幅に低下する可能性があります。そのため、実稼働でのDSE Searchクラスターで内部認証を使用することは推奨されません。実稼働のDSE Searchをセキュリティ保護するには、DataStax EnterpriseでKerberos認証を有効にするか、CQLを使用して検索します。
パッケージ・インストール | /etc/dse/cassandra/cassandra.yaml |
tarボール・インストール | install_location/resources/cassandra/conf/cassandra.yaml |
Installer-Services | /etc/dse/dse.yaml |
パッケージ・インストール | /etc/dse/dse.yaml |
Installer-No Services | install_location/resources/dse/conf/dse.yaml |
tarボール・インストール | install_location/resources/dse/conf/dse.yaml |
Installer-Servicesおよびパッケージ・インストール | /etc/dse/resources/tomcat/conf/server.xml |
Installer-No Servicesおよびtarボール・インストール | /etc/dse/tomcat/conf/server.xml |
DSE SearchでCassandraの内部認証を使用するように構成するには、以下の設定を行います。
- Solr用にHTTP基本認証を有効にするには、cassandra.yamlでPasswordAuthenticatorのコメントを解除し、DseAuthenticatorに変更します。
#authenticator:org.apache.cassandra.auth.AllowAllAuthenticator authenticator:org.apache.cassandra.auth.DseAuthenticator #authenticator:com.datastax.bdp.cassandra.auth.PasswordAuthenticator #authenticator:com.datastax.bdp.cassandra.auth.KerberosAuthenticator
- system_authキースペースのレプリケーション・ストラテジを構成します。
- サーバーを起動します。
- WebブラウザーでサービスのWebページに移動します。たとえば、ウィキペディア・デモを実行して、http://localhost:8983/demos/wikipedia/に移動したとします。
要求されたら、Cassandraのロールとパスワードの入力を入力します。