DSE Searchのセキュリティ保護

DSE Searchデータは、DataStax Enterpriseのセキュリティ機能を使用することで、完全または部分的にセキュリティ保護されます。

DataStax Enterpriseでは、Apache SolrおよびLuceneを使用したセキュアなエンタープライズ検索をサポートしています。DSE Searchやその他の統合コンポーネントのセキュリティ機能については、セキュリティ一覧にまとめてあります。DSE Searchデータは、DataStax Enterpriseのセキュリティ機能を使用することで、完全または部分的にセキュリティ保護されます。

  • オブジェクト・パーミッション管理

    Solrドキュメント(キャッシュ・データを除く)へのアクセスをアクセス・パーミッションを付与されたロールに限定します。パーミッション管理では、Solrデータの格納に使用されるテーブルのセキュリティも保護されます。

  • 透過的なデータ暗号化

    Cassandraテーブルに保存済みのデータは、DSE Searchインデックス暗号化を含め、暗号化できます。キャッシュ・データは暗号化されません。暗号化はCassandra側で実行され、その間はパフォーマンスがわずかに低下します。

  • クライアントとノード間の暗号化
    SolrデータへのHTTPアクセスはSSLを使用して暗号化でき、DSE Searchノードではクライアントとノード間暗号化が使用できます。
    • DSE Searchノードでクライアントとノード間のSSL暗号化を有効にするには、cassandra.yamlファイル内のclient_encryption_optionsを設定します。
    • すべての暗号化アルゴリズムがサポートされるように、JCEをインストールします。

      cassandra.yaml内のserver_encryption_optionsのデフォルト・セットの一部の暗号化スイートは、Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policyファイルにのみ含まれています。すべての暗号化アルゴリズムがサポートされるように、JCE Unlimited Strength Jurisdiction Policyファイルをインストールしてください。

    • SSLを使用して特定のセキュリティ要件を満たすには、DSE Searchへのクライアント接続用にIPアドレスを変更します。たとえば、サブネットを分離するには、以下のようにします。
  • 実稼働環境のDSE Searchには、Kerberos認証を使用します。

    Simple and Protected GSSAPI Negotiation Mechanism(SPNEGO)を使用して、DSE SearchユーザーをKerberos認証で認証できます。Kerberos認証を使ってDSE Searchクラスターに対してSolrJ APIを使用するには、クライアント・アプリケーション側が、solrj-auth-README.mdファイルの記述に従って、SolrJ-AuthライブラリーとDataStax Enterprise SolrJコンポーネントを使用する必要があります。

Cassandraパスワード認証またはDataStax Enterprise LDAP認証

HTTP基本認証を使用することもできますが、これは実稼働環境には推奨されません。

Cassandra内部のパスワード認証を使用する場合は、Solrサービスに認証情報を提供するために、クライアント・アプリケーションでHTTP基本認証を使用する必要があります。HTTP基本認証にはステートがないため、オーセンティケーターはHTTP要求があるたびに認証プロセスを実行しなければならず、パフォーマンスが大幅に低下する可能性があります。そのため、実稼働でのDSE Searchクラスターで内部認証を使用することは推奨されません。実稼働のDSE Searchをセキュリティ保護するには、DataStax EnterpriseでKerberos認証を有効にするか、CQLを使用して検索します。

cassandra.yamlファイルの場所は、インストールのタイプによって異なります。
パッケージ・インストール /etc/dse/cassandra/cassandra.yaml
tarボール・インストール install_location/resources/cassandra/conf/cassandra.yaml
dse.yamlファイルの場所は、インストールのタイプによって異なります。
Installer-Services /etc/dse/dse.yaml
パッケージ・インストール /etc/dse/dse.yaml
Installer-No Services install_location/resources/dse/conf/dse.yaml
tarボール・インストール install_location/resources/dse/conf/dse.yaml
Tomcat server.xmlファイルのデフォルトの場所は、すべてのインストールのタイプで同じです。
Installer-Servicesおよびパッケージ・インストール /etc/dse/resources/tomcat/conf/server.xml
Installer-No Servicesおよびtarボール・インストール /etc/dse/tomcat/conf/server.xml
注: DSE Searchノード上のセキュリティ構成は自動的かつ内部的に行われます。TomcatおよびSolrには、追加の構成は不要です。、高度なカスタム設定に関してのみ、web.xmlまたはserver.xmlファイルを変更します。

DSE SearchでCassandraの内部認証を使用するように構成するには、以下の設定を行います。

  1. Solr用にHTTP基本認証を有効にするには、cassandra.yamlでPasswordAuthenticatorのコメントを解除し、DseAuthenticatorに変更します。
    #authenticator:org.apache.cassandra.auth.AllowAllAuthenticator
    authenticator:org.apache.cassandra.auth.DseAuthenticator
    #authenticator:com.datastax.bdp.cassandra.auth.PasswordAuthenticator
    #authenticator:com.datastax.bdp.cassandra.auth.KerberosAuthenticator
  2. system_authキースペースのレプリケーション・ストラテジを構成します。
  3. サーバーを起動します。
  4. WebブラウザーでサービスのWebページに移動します。たとえば、ウィキペディア・デモを実行して、http://localhost:8983/demos/wikipedia/に移動したとします。

    要求されたら、Cassandraのロールとパスワードの入力を入力します。