Brukerveiledning for VAST Data Platform Software

VAST-dataplattformprogramvarebruk

Introduksjon

I dagens datadrevne verden er konfidensialitet og sikkerhet for ustrukturerte data avgjørende. Multi-Category Security (MCS) og sikre leieforhold tilbyr et robust rammeverk for å møte disse bekymringene. MCS, en tilgangskontrollmekanisme i Security-Enhanced Linux (SELinux), forbedrer datakonfidensialitet ved å tilordne spesifikke kategorier til files og prosesser. Dette sikrer at bare autoriserte brukere og prosesser kan få tilgang til sensitiv informasjon, og gir et ekstra lag med beskyttelse for ustrukturerte data som dokumenter, bilder og videoer.

Sikkert leieforhold styrker dataisolasjonen ytterligere ved å skape distinkte miljøer for ulike grupper, avdelinger eller organisasjoner innenfor samme infrastruktur. Denne tilnærmingen sikrer at hver leietakers data er logisk eller fysisk atskilt, forhindrer uautorisert tilgang og opprettholder personvernet. Nøkkelaspekter ved sikkert leieforhold inkluderer ressursisolering, datasegregering, nettverkssegmentering og granulære tilgangskontroller.

VAST Data Platform eksemplifiserer disse prinsippene gjennom sin omfattende pakke med funksjoner, inkludert VLAN taging, rollebaserte og attributtbaserte tilgangskontroller og robuste krypteringsmekanismer. Dette dokumentet utforsker hvordan integrering av MCS med sikre leieforhold innenfor VAST Data Platform gir en omfattende og sikker løsning for å administrere ustrukturerte data, spesielt for organisasjoner med strenge krav til datakonfidensialitet. Denne introduksjonen er kortfattet, fokusert og gir en klar guide til dokumentets innhold, i tråd med beste praksis for teknisk dokumentasjon.

Hva er VAST-dataplattformen

VAST Data Platform er en omfattende løsning for håndtering av ustrukturerte data, spesielt for AI- og dyplæringsapplikasjoner. Den integrerer ulike funksjoner for å fange, katalogisere, merke, berike og bevare data, og gir sømløs datatilgang fra kant til sky.

Disaggregated and Shared-Everything (DASE) arkitektur

Denne arkitekturen kobler beregningslogikk fra systemtilstand, og muliggjør uavhengig skalering av kapasitet ved å legge til datanoder (DNoder) og ytelse ved å legge til beregningsnoder (CNoder). Den kombinerer delte og transaksjonelle datastrukturer for å overvinne begrensningene til tradisjonelle distribuerte systemer.

Støttede klienter: NFS, NFSoRDMA Server Message Block (SMB), Amazon S3 og Containers (CSI)

Stateless Protocol Servers (CNoder)

VAST DataStore

DataStore ble introdusert i 2019 og er designet for lagring og servering av ustrukturerte data. Det bryter avveiningen mellom ytelse og kapasitet, noe som gjør den egnet for AI-klar ustrukturert datalagring.
VAST Database

Denne komponenten leverer transaksjonsytelsen til en database, den analytiske ytelsen til et datavarehus og skalaen og rimeligheten til en datainnsjø. Den støtter både rad- og kolonnedatalagring.
VAST DataSpace

DataSpace ble lansert i 2023 og gir global datatilgang fra kant til sky, og balanserer streng konsistens med lokal ytelse. Den muliggjør beregning av data fra enhver offentlig, privat eller edge cloud-plattform.

Plattformen forener strukturerte og ustrukturerte data, databaseanalyse og gir et globalt navneområde. Den støtter ulike protokoller som NFS, SMB, S3, SQL, og bygger inn Apache Spark for datatransformasjon og forbruk fra meldingssystemer.

Plattformen er bygget for å drive AI og bedriftsapplikasjoner, og gir dype dataanalyse i sanntid og dyp læringsmuligheter. Den fanger opp og behandler data i sanntid, og muliggjør AI-slutning, metadataberikelse og omskolering av modeller.

Nettverks- og nodesegmentering

VAST-dataplattformen inkluderer flere funksjoner knyttet til administrasjonseffektivitet og nettverkssegmentering, inkludert CNode-grupperingsfunksjonalitet, samt muligheten til å binde CNoder til VLAN. Her er de detaljerte beskrivelsene av disse funksjonene, sammen med de relevante delene fra VAST Cluster 5.1-dokumentasjonen:

CNode-gruppering og pooling

Server (CNode) Pooling: Lagringsprotokoller betjenes fra Compute Nodes (CNoder). VAST-dataplattformen gjør det mulig å gruppere CNoder i distinkte serverpooler. Hver serverpool har et tildelt sett med virtuelle IP-adresser (VIP-er) som er fordelt på tvers av CNodene i bassenget. Dette gir en mekanisme for Quality of Service (QoS) ved å kontrollere antall servere som er tilordnet hver pool. Når en CNode går frakoblet, blir VIP-ene den tjente, omfordelt uten forstyrrende over de gjenværende CNodene i bassenget. Dette sikrer lastbalansering og høy tilgjengelighet.

• Seksjon: VAST-klyngedokumentasjon, "Administrere virtuelle IP-pooler" [s. 593]

VLAN Tagging og Binding

VLAN Tagging: VLAN tagGing lar administratorer kontrollere hvilke virtuelle IP-er som eksponeres for hvilke VLAN-er på nettverket. Denne funksjonen sikrer at nettverkstrafikk er isolert mellom ulike VLAN-er, og forhindrer uautorisert tilgang og datalekkasje mellom leietakere. VLAN tagging konfigureres ved å lage virtuelle IP-pooler i VLAN-er i VAST-plattformen, noe som gir sikker nettverkssegmentering og isolasjon.

• Seksjon: VAST-klyngedokumentasjon, "Taglage virtuelle IP-bassenger med VLAN» [s. 147]
• Seksjon: Nettverkstilgang og lagringsprovisionering (v5.1) [s. 141]

Nettverkssegmentering

Kontroller tilgang til Views og protokoller: EN VAST View er en multiprotokollrepresentasjon av en nettverkslagringsandel, eksport eller bøtte. Plattformen lar administratorer kontrollere hvilke VLAN som har tilgang til spesifikke Views og hvilke protokoller som er tillatt å brukes når du får tilgang til VIP-ene på disse VLAN-ene. Denne funksjonen forbedrer sikkerheten ved å sikre at bare autoriserte VLAN-er kan få tilgang til visse data og tjenester. Den konfigureres ved å bruke View Retningslinjer, som kan spesifisere tilgangstillatelser basert på VLAN.

• Seksjon: VAST-klyngedokumentasjon, "Opprette View Retningslinjer» [s. 628]

Logisk leieforhold

VAST Data Platform tilbyr flere funksjoner knyttet til multi-tenancy som muliggjør sikker isolering og administrasjon av leietakere. Her er nøkkelfunksjonene for leieforhold sammen med detaljerte beskrivelser og de relevante delene fra VAST Cluster 5.1-dokumentasjonen:

Leietakere

Beskrivelse: Leietakere i VAST-dataplattformen definerer isolerte databaner og kan ha sine egne autentiseringskilder som Active Directory (AD), LDAP eller NIS. Hver leietaker kan også administrere sine egne krypteringsnøkler, for å sikre at data forblir sikkert isolert fra andre leietakere. Denne funksjonen er avgjørende for miljøer med flere leietakere der ulike organisasjoner eller avdelinger må opprettholde streng dataseparasjon.

• Seksjon: Leietakere (v5.1) [s. 251]

View Retningslinjer

Beskrivelse: View Retningslinjer definerer tilgangstillatelser, protokoller og sikkerhetsinnstillinger for Views tildelt leietakere. Disse retningslinjene lar administratorer kontrollere hvem som har tilgang til dataene, hvilke handlinger de kan utføre og hvilke protokoller de kan bruke. Denne granulære kontrollen er avgjørende for å opprettholde sikkerhet og samsvar i miljøer med flere leietakere.

• Seksjon: Administrering Views og View Retningslinjer (v5.1) [s. 260]

VLAN-isolasjon

Beskrivelse: VLAN-er kan knyttes til en spesifikk leietaker for ytterligere å isolere trafikk mellom leietakere, og forhindre kryssruting eller kringkastingstrafikk fra å oppstå over L2-grensen.

• Del: Taggi virtuelle IP-bassenger med VLAN [s. 147]

Tjenestekvalitet (QoS)

Beskrivelse: QoS-policyer gir detaljerte ytelseskontroller for båndbredde og IOP-er (inn-/utgangsoperasjoner per sekund) for Views tildelt leietakere. Disse retningslinjene sikrer forutsigbar ytelse og forhindrer ressurskonflikter, noe som er spesielt viktig i miljøer med flere leietakere der ulike leietakere kan ha varierende ytelseskrav. I tillegg til QoS-maksgrenser som bidrar til å forhindre utmattelse av ytelsen, er QoS-minimumsterskler også tilgjengelige, for å forhindre det støyende naboproblemet med flere leieforhold.

• Seksjon: Tjenestekvalitet (v5.1) [s. 323]

Kvoter

Beskrivelse: Kvoter lar administratorer sette kapasitetsgrenser på Views og kataloger for leietakerisolering. Denne funksjonen sikrer at ingen enkelt leietaker kan forbruke mer enn sin tildelte andel av ressurser, og bidrar til å forhindre uventet systemkapasitetsressursbruk.

• Seksjon: Administrere kvoter (v5.1) [s. 314]

Autorisasjon og identitetshåndtering

Leietaker og identitetshåndtering

Beskrivelse: Leietakere i VAST-dataplattformen definerer isolerte databaner og kan ha sine egne autentiseringskilder som Active Directory (AD), LDAP eller NIS. Plattformen støtter opptil åtte unike identitetsleverandører som kan konfigureres for bruk på leietakernivå.

• Seksjon: Leietakere (v5.1) [s. 251]

Views

Beskrivelse: Views er multiprotokollaksjer, eksporter eller bøtter som tilhører bestemte leietakere. De gir sikker isolert datatilgang, og sikrer at hver leietaker bare har tilgang til sine egne data. Views kan konfigureres med spesifikke tilgangstillatelser og protokoller, noe som gjør dem allsidige for ulike brukstilfeller.

• Seksjon: Administrering Views og View Retningslinjer (v5.1) [s. 260]

View Retningslinjer

Beskrivelse: View Retningslinjer definerer tilgangstillatelser, protokoller og sikkerhetsinnstillinger for views tildelt leietakere. Disse retningslinjene lar administratorer kontrollere hvem som har tilgang til dataene, hvilke handlinger de kan utføre og hvilke protokoller de kan bruke. Denne granulære kontrollen er avgjørende for å opprettholde sikkerhet og samsvar i miljøer med flere leietakere.

• Seksjon: Administrering Views og View Retningslinjer (v5.1) [s. 260]

Tilgangskontroll

VAST Data Platform tilbyr en omfattende pakke med funksjoner for autorisasjon og identitetsadministrasjon. Her er de detaljerte beskrivelsene av hver funksjon sammen med relevante seksjoner og sidetall fra VAST Cluster 5.1-dokumentasjonen:

Rollebasert tilgangskontroll (RBAC)

Beskrivelse: VAST Cluster bruker et rollebasert tilgangskontrollsystem (RBAC) for å administrere tilgang til VAST Management System (VMS). RBAC lar administratorer definere roller med spesifikke tillatelser og tildele disse rollene til brukere. Dette sikrer at brukerne kun har tilgang til ressursene og handlingene som er nødvendige for rollene deres, noe som forbedrer sikkerheten og forenkler administrasjonen.

• Seksjon: Godkjenne VMS-tilgang og tillatelser [s. 82]

Attributtbasert tilgangskontroll (ABAC)

Beskrivelse: Attributtbasert tilgangskontroll (ABAC) støttes på views tilgang til via NFSv4.1 med Kerberos-autentisering eller via SMB med Kerberos- eller NTLM-autentisering. ABAC gir tilgang til en view hvis brukerens konto i Active Directory har et tilknyttet ABAC-attributt som samsvarer med ABAC tag tildelt til view. Dette gir finmasket tilgangskontroll basert på brukerattributter.

• Seksjon: Attributtbasert tilgangskontroll (ABAC) [s. 269]
  

Single Sign-On (SSO) autentisering

Beskrivelse: VAST VMS støtter Single Sign-On (SSO) autentisering ved bruk av SAML-baserte identitetsleverandører (IdP). Dette gjør det mulig for VMS-administratorer å logge på en VAST-klynge ved å bruke deres legitimasjon fra en IdP som Okta, som i tillegg kan gi multifaktorautentisering (MFA)-funksjoner. SSO forenkler påloggingsprosessen og øker sikkerheten ved å sentralisere autentisering.

• Seksjon: Konfigurer SSO-autentisering i VMS [s. 90]

Active Directory -integrasjon

Beskrivelse: VAST Cluster støtter integrasjon med Active Directory (AD) for både VMS og dataprotokoll brukerautentisering og autorisasjon. Dette lar organisasjoner utnytte sin eksisterende AD-infrastruktur for å administrere brukertilgang til VAST Cluster-ressurser. AD-integrasjon støtter funksjoner som SID-historikk for grupper og brukere, noe som sikrer sømløs tilgangskontroll.

• Seksjon: Koble til Active Directory (v5.1) [s. 347]

LDAP-integrasjon

Beskrivelse: Plattformen støtter integrasjon med LDAP-servere for både VMS og dataprotokoll brukerautentisering og autorisasjon. Dette lar organisasjoner bruke sine eksisterende LDAP-kataloger til å administrere tilgang til VAST Cluster-ressurser, og gir en fleksibel og skalerbar autentiseringsløsning.

• Seksjon: Koble til en LDAP-server (v5.1) [s. 342]

NIS-integrasjon

Beskrivelse: VAST Cluster støtter integrasjon med Network Information Service (NIS) for dataprotokollbrukerautentisering. Denne funksjonen er nyttig for miljøer som er avhengige av NIS for å administrere brukerinformasjon og tilgangskontroll.

• Seksjon: Koble til NIS (v5.1) [s. 358]

Lokale brukere og grupper

Beskrivelse: Administratorer kan administrere lokale brukere og grupper direkte i VAST-klyngen. Dette inkluderer å opprette, endre og slette lokale brukerkontoer og grupper, samt å tildele tillatelser og roller til disse kontoene.

• Seksjon: Administrere lokale brukere (v5.1) [s. 335]
• Seksjon: Administrere lokale grupper (v5.1) [s. 337]
  

Protokoll ACL-er og SELinux-etiketter

VAST-dataplattformen støtter ulike protokoll-ACL-er og SELinux-etikettfunksjoner, noe som sikrer robust tilgangskontroll og sikkerhet. Her er de detaljerte beskrivelsene av hver funksjon sammen med relevante seksjoner og sidetall fra VAST Cluster 5.1-dokumentasjonen:

POSIX tilgangskontrolllister (ACLs)

Beskrivelse: VAST-systemer støtter POSIX ACL-er, slik at administratorer kan definere detaljerte tillatelser for files og mapper utover den enkle Unix/Linux-modellen. POSIX ACLer muliggjør tildeling av tillatelser til flere brukere og grupper, og gir fleksibel og detaljert tilgangskontroll.

• Seksjon: NFS File Delingsprotokoll (v5.1) [s. 154]

NFSv4 ACL-er

Beskrivelse: NFSv4 er en stateful protokoll med sikker autentisering via Kerberos som støtter detaljerte tilgangskontrollister. Disse tilgangskontrollistene er like i granularitet som de som er tilgjengelige i SMB og NTFS, noe som gir robust tilgangskontroll. NFSv4 ACL-er kan administreres ved hjelp av standard Linux-verktøy over NFS-protokollen.

• Seksjon: NFS File Delingsprotokoll (v5.1) [s. 154]

SMB ACL-er

Beskrivelse: SMB-tilgangskontrollister administreres på samme måte som Windows-aksjer, slik at brukere kan angi finmaskede Windows-tilgangskontrollister gjennom PowerShell-skript og Windows File Utforsker over SMB. Disse tilgangskontrollistene, inkludert avvisningslisteoppføringer, kan håndheves på brukere som har tilgang via både SMB- og NFS-protokoller samtidig.

• Seksjon: SMB File Delingsprotokoll på VAST Cluster (v5.1) [s. 171]

S3 identitetspolicyer

Beskrivelse: S3 Native Security Flavor tillater bruk av S3 Identity Policies for å kontrollere tilgang og muligheten til å angi og endre ACLer i henhold til S3-regler. Denne funksjonen gir detaljert tilgangskontroll for S3-bøtter og gjenstander.

• Seksjon: S3 Object Storage Protocol (v5.1) [s. 182]

Multi-Protocol ACLer

Beskrivelse: VAST støtter multi-protokoll ACLer, og gir en enhetlig tillatelsesmodell for tilgang til data på tvers av forskjellige protokoller. Dette sikrer konsistent tilgangskontroll og sikkerhet uavhengig av protokollen som brukes for å få tilgang til dataene.

• Seksjon: Multi-Protocol Access (v5.1) [s. 151]

SELinux-etikettfunksjoner

1. NFSv4.2 Sikkerhetsetiketter

Beskrivelse: VAST Cluster 5.1 støtter NFSv4.2-merking i begrenset servermodus. I denne modusen kan VAST Cluster lagre og returnere sikkerhetsetiketter for files og kataloger på NFS views av NFSv4.2-aktiverte leietakere, men klyngen håndhever ikke etikettbasert tilgangsbeslutning. Etiketttildeling og validering utføres av NFSv4.2-klienter.

• Seksjon: NFSv4.2 Sikkerhetsetiketter (v5.1) [s. 169]

Sertifikatbehandling og kryptering

VAST Data Platform tilbyr en omfattende pakke med funksjoner for kryptering og sertifikatadministrasjon. Her er de detaljerte beskrivelsene av hver funksjon sammen med relevante seksjoner og sidetall fra VAST Cluster 5.1-dokumentasjonen:

Datakryptering i hvile

Beskrivelse: VAST Data Platform støtter kryptering av data i hvile ved bruk av eksterne nøkkeladministrasjonsløsninger. Denne funksjonen sikrer at data som er lagret på plattformen er sikkert kryptert med nøkler som holdes utenfor VAST-klyngen, og beskytter data mot uautorisert tilgang. Plattformen støtter Thales CipherTrust Data Security Platform og Fornetix Vault Core for ekstern nøkkeladministrasjon. Hver klynge har en unik hovednøkkel, og kryptering kan aktiveres under det første oppsettet av klyngen.

• Seksjon: Datakryptering (v5.1) [s. 128]

FIPS 140-3 Nivå 1-validering

VAST-dataplattformen bygger inn OpenSSL 1.1.1 Cryptographic Module, som er FIPS 140-3 nivå 1-validert. Sertifikatnummeret for denne valideringen er #4675. All kryptering for data under flyging og hvile er koblet til den FIPS-validerte OpenSSL 1.1.1 Cryptographic Module. Plattformen bruker TLS 1.3 for sikker dataoverføring og 256-bit AES-XTS-kryptering for data i hvile, noe som sikrer robust sikkerhet og samsvar med industristandarder. Forbedre datasikkerhet og administrasjon med multi-kategorisikkerhet og sikre leieforhold 14

• Kilde: Cryptographic Module Validation Program (CMVP)

TLS-sertifikatbehandling

Beskrivelse: Plattformen støtter installasjon og administrasjon av TLS-sertifikater for sikring av kommunikasjon
med VAST Management System (VMS). Administratorer kan installere TLS-sertifikater for å sikre at data overføres
mellom klienter og VMS er kryptert og sikker.

• Del: Installere et SSL-sertifikat for VMS (v5.1) [s. 78]

mTLS-autentisering for VMS-klienter

Beskrivelse: Plattformen støtter gjensidig TLS (mTLS) autentisering for VMS GUI og API-klienter. Når mTLS er aktivert, krever VMS at klienten presenterer et sertifikat signert av en spesifikk sertifiseringsinstans. Dette legger til et lag med gjensidig autentisering, der både klienten og serveren autentiserer hverandre, og gir et ekstra lag med sikkerhet for kommunikasjon med VMS for valgfritt å støtte PIV/CAC-kort.

• Seksjon: Aktivering av mTLS-autentisering for VMS-klienter (v5.1) [s. 78]

Sikring av Active Directory-kommunikasjon

VAST-dataplattformen gir robuste sikkerhetstiltak for Active Directory (AD)-autentisering ved å tillate administratorer å deaktivere NTLM v1- og v2-protokoller. NTLM (NT LAN Manager) er en eldre autentiseringsprotokoll som har kjente sårbarheter, noe som gjør den mindre sikker sammenlignet med mer moderne protokoller som Kerberos.

• Seksjon: Koble til Active Directory (v5.1) [s. 347]

Sikring av S3-tilgang

VAST-dataplattformen forbedrer sikkerheten til S3-tilgang ved å la deg deaktivere Signature Version 2 (SigV2)-signering, og sikrer at alle S3-interaksjoner utføres ved å bruke den sikrere Signature Version 4 (SigV4). I tillegg håndhever plattformen bruken av TLS 1.3 for S3-kommunikasjon, ved å utnytte FIPS 140-3-validerte chiffer.

• Seksjon: S3 Object Storage Protocol (v5.1) [s. 182]

Kryptosletting

Beskrivelse: Kryptosletting er en metode for å fjerne en leietakers data fra et VAST-system. Dette gjøres ved å tilbakekalle eller slette leietakers nøkler ved å bruke enten VAST-systemet eller den eksterne nøkkelbehandleren. VAST-systemet vil rense datakrypteringsnøklene (DEKs) og Key Encryption Keys (KEKs) fra system-RAM, og dermed umiddelbart fjerne tilgangen til alle data som er skrevet med disse nøklene. VAST-systemet kan deretter slette de krypterte dataene. Denne funksjonen gir en metode for sikker sletting av data i tilfelle datasøl eller når en leietaker forlater plattformen.

Seksjon: Datakryptering (v5.1) [s. 128]

Katalog og revisjon

VAST-dataplattformen tilbyr en omfattende pakke med funksjoner for revisjon og katalogisering, som sikrer robust dataadministrasjon og samsvar. Her er de detaljerte beskrivelsene av hver funksjon sammen med relevante seksjoner og sidetall fra VAST Cluster 5.1-dokumentasjonen:

Protokollrevisjon

Beskrivelse: Protokollrevisjon i VAST-dataplattformen logger operasjoner som oppretter, sletter eller endrer files, kataloger, objekter og metadata. Den logger også leseoperasjoner og øktaktiviteter. Denne funksjonen hjelper til med å spore brukeraktiviteter og sikre overholdelse av sikkerhetspolicyer. Administratorer kan konfigurere globale revisjonsinnstillinger og view revisjonslogger gjennom VAST Web UI eller CLI.

• Seksjon: Protokollrevisjon overview [s. 243]
• Seksjon: Konfigurere globale revisjonsinnstillinger [s. 243]
• Seksjon: Konfigurere revisjon med View Retningslinjer [s. 245]
• Seksjon: Reviderte protokolloperasjoner [s. 245]
• Del: Viewing Protokollrevisjonslogger [s. 248]

Lagring av protokollrevisjonslogger i VAST-databasetabeller

Beskrivelse: VAST Data Platform tillater konfigurasjon av VMS for å lagre protokollrevisjonslogger i en VAST-databasetabell. Loggoppføringer lagres som JSON-poster, som kan være viewed direkte fra VAST Web UI på VAST Audit Log-siden. Denne funksjonen forbedrer muligheten til å utføre detaljerte revisjoner og analyser av brukeraktiviteter. Seksjon: Lagring av protokollrevisjonslogger i VAST-databasetabeller [s. 25]

VAST katalog

Beskrivelse: VAST-katalogen er en innebygd metadataindeks som lar brukere søke og finne data raskt. Den behandler file system som en database, noe som gjør det mulig for neste generasjons AI- og ML-applikasjoner å bruke den som en selvrefererende funksjonsbutikk. Katalogen støtter SQL-stil spørringer og gir en intuitiv WebUI, en rik CLI og APIer for interaksjon.

• Seksjon: VAST Catalog Overview [s. 489]
• Seksjon: Konfigurere VAST-katalog [s. 491]
• Seksjon: Spørre VAST-katalogen fra VAST Web UI [s. 492]
• Seksjon: Gi klienttilgang til VAST Catalog CLI [s. 493]
  

VAST Database

Beskrivelse: VAST-databasen utvider mulighetene til VAST-katalogen ved å lagre mer komplekst innhold i en fullstendig database. Den støtter høyhastighets og massive dataspørringer, og lagrer data i et effektivt kolonneformat som ligner på Apache Parquet. Databasen er designet for sanntids, finmaskede søk i enorme reserver av tabelldata og katalogiserte metadata.

• Seksjon: VAST DataBase Overview [s. 495]
• Seksjon: Konfigurere VAST-klyngen for databasetilgang [s. 499]
• Seksjon: VAST Database CLI Hurtigstartveiledning [s. 494]

Revisjonsloggpostfelt

Beskrivelse: Revisjonsloggpostfeltene gir detaljert informasjon om hver logget hendelse, inkludert type operasjon, brukerdetaljer, tidspunktamps, og berørte ressurser. Denne detaljerte loggingen er avgjørende for samsvar og rettsmedisinsk analyse.

• Seksjon: Revisjonsloggpostfelt [s. 250]

Viewing Protocol revisjonslogger

Beskrivelse: Administratorer kan view protokollrevisjonslogger gjennom VAST Web UI eller CLI. Loggene gir innsikt i brukeraktiviteter og systemoperasjoner, og bidrar til å sikre samsvar og oppdage eventuelle uautoriserte handlinger.

• Del: Viewing Protokollrevisjonslogger [s. 248]

Vedlikeholdt og sikret operativsystem

VAST-dataplattformen bruker en omfattende tilnærming til å sikre operativsystemet, og sikrer robust
beskyttelse og samsvar med industristandarder. Her er de viktigste aspektene ved operativsystemet og sikkerhetstiltakene som er implementert:

Opprettholdt operativsystem

Beskrivelse: VAST Data Platform bruker et vedlikeholdt operativsystem levert av CIQ, spesielt Enterprise Rocky 8, som er et RHEL binært-kompatibelt operativsystembilde. CIQs Mountain Platform leverer en sikker, autoritativ og svært skalerbar bilde-, pakke- og containerleveringsløsning tilgjengelig på både offentlig sky og lokalt.

Regelmessig patching og sårbarhetshåndtering

Beskrivelse: VAST sikrer at operativsystemet jevnlig blir oppdatert og oppdatert ved å holde seg informert om de siste sikkerhetssvakhetene, bruke nødvendige oppdateringer og implementere passende avbøtende tiltak i tide. Denne proaktive tilnærmingen bidrar til å opprettholde sikkerheten til operativsystemet.

Kontinuerlig overvåking

Beskrivelse: Kontinuerlig overvåkingspraksis implementeres for å opprettholde sikkerhetsposisjonen til operativsystemet. Dette inkluderer regelmessige vurderinger, revisjoner og vedrviews av systemets sikkerhetskontroller og konfigurasjoner, samt muliggjør logging for mistenkelige aktiviteter og potensielle sikkerhetshendelser.

DISA STIG-samsvar

Beskrivelse: VAST-dataplattformen støtter DISA STIG (Security Technical Implementation Guide) for RedHat Linux 8, MAC 1 Profile – Oppdragskritisk klassifisert. Denne overensstemmelsen sikrer at operativsystemet overholder strenge sikkerhetsstandarder som kreves av kunder i regulerte miljøer.

Konfigurasjonsadministrasjon

Beskrivelse: Plattformen opprettholder en grunnlinjekonfigurasjon for RHEL 8-systemer, inkludert innstillinger for systemkomponenter, file tillatelser og programvareinstallasjon. Den implementerer også endringskontrollprosesser for å spore, review, og godkjenne endringer i systemkonfigurasjonen, og sikre at systemene følger en sikker og standardisert konfigurasjon.

Minst funksjonalitet

Beskrivelse: Prinsippet om minst mulig funksjonalitet understrekes ved å anbefale fjerning eller deaktivering av unødvendig programvare, tjenester og systemkomponenter. Dette reduserer potensielle sårbarheter og angrepsvektorer.

System- og informasjonsintegritet

Beskrivelse: Plattformens kryptering og nøkkeladministrasjonsfunksjoner, samt integrasjonen med SIEM-systemer, bidrar til å sikre integriteten til data og informasjon. Dette inkluderer regelmessige sikkerhetsvurderinger, penetrasjonstesting og sårbarhetsadministrasjon for å sikre oppdaterte sikkerhetsoppdateringer, konfigurasjoner og beste praksis.

Sikker programvareforsyningskjede

Å sikre en sikker programvareforsyningskjede er avgjørende for overholdelse av forskrifter som Trade Agreements Act (TAA), Federal Acquisition Regulation (FAR) og ISO-standarder. VAST Data Platform implementerer omfattende tiltak for å sikre sin programvareforsyningskjede, og sikrer at programvaren utvikles riktig og oppfyller strenge sikkerhetskrav.

Secure Software Development Framework (SSDF)

VAST Data Platform tar i bruk NIST Secure Software Development Framework (SSDF), som gir retningslinjer for sikker programvareutvikling. Dette rammeverket bidrar til å beskytte programvareforsyningskjeder mot risiko ved å skissere fremgangsmåter for sikker koding, sårbarhetshåndtering og kontinuerlig overvåking.

Software Composition Analysis (SCA)

Verktøy som GitLab brukes for Static Application Security Testing (SAST) og Dynamic Application Security Testing (DAST) for å analysere både proprietær og åpen kildekode for sårbarheter. Dette er avgjørende for å identifisere sikkerhetssvakheter før distribusjon.

Software Bill of Materials (SBOM)

Plattformen genererer og administrerer SBOM-er for å spore komponenter som brukes i programvareutvikling. GitLab og Artifactory er utnyttet i pipelinen for å øke åpenheten og samsvar med Executive Order 14028.

Kontinuerlig integrasjon og kontinuerlig distribusjon (CI/CD) Pipeline

En CI/CD-pipeline inneholder sikkerhetstesting, kode vedrview, og samsvarskontroller. Rørledningen er vert på en USA-basert skyplattform for å oppfylle TAA/FAR-kravene, og sikrer at all operasjon utføres i USA og administreres av amerikanske enheter.

Signering av container og pakke

Digital signering av containere og pakker er implementert for å sikre integritet og autentisitet. Docker Content Trust og RPM-signering er anbefalte fremgangsmåter for å sikre containeriserte applikasjoner og pakkedistribusjoner.

Sårbarhets- og samsvarsskanning

Verktøy som Tenable og Qualys brukes til å skanne operativsystemer og bygge pakker, samt for å oppdage virus og skadelig programvare. Disse verktøyene er integrert i rørledningen for å identifisere og redusere potensielle trusler i programvaremiljøet.

Tredjeparts programvareadministrasjon

All tredjepartsprogramvare, enten åpen kildekode eller proprietær, er hentet fra amerikanske lokasjoner for å overholde TAA/FAR-regelverket. Denne programvaren er inkludert i SAST- og DAST-skanneprosessene for å sikre sikkerhet.

Dokumentasjon og revisjonsspor

Omfattende dokumentasjon av hele prosessen fra kodeinnsjekking til den nedlastbare pakken som brukes av kundene opprettholdes. Denne dokumentasjonen er tilgjengelig under NDA for revisjoner og valideringer av kunder, som kreves av ledelsen.

Ansatt og kapitalforvaltning

Prosessen administreres av ansatte i den amerikanske enheten (Vast Federal), og alle eiendeler som brukes i programvareutviklings- og distribusjonsprosessen eies av denne enheten. Denne overholdelse er avgjørende for å oppfylle føderale oppkjøpsforskrifter.

Sikkert utviklingsmiljø

Programvaren er utviklet og bygget i sikre miljøer, med tiltak som multifaktorautentisering, betinget tilgang og kryptering av sensitive data. Regelmessig logging, overvåking og revisjon av tillitsforhold håndheves.

Trusted Source Code Supply Chain

Automatiserte verktøy eller sammenlignbare prosesser brukes til å validere sikkerheten til intern kode og tredjepartskomponenter, og administrere relaterte sårbarheter effektivt.

Sikkerhetssårbarhetssjekker

Ongoing vulnerability checks are conducted before releasing new products, versions, or updates. A vulnerability disclosure program is maintained to assess and address disclosed software vulnerabilities promptly.

Konklusjon

Integrasjonen av Multi-Category Security (MCS) med sikre leieforhold gir et robust rammeverk for å forbedre konfidensialiteten og sikkerheten til ustrukturerte data. Ved å utnytte MCS kan organisasjoner tilordne spesifikke kategorier til files, og sikrer at bare autoriserte prosesser og brukere kan få tilgang til sensitiv informasjon. Dette ekstra sikkerhetslaget er avgjørende for å beskytte ustrukturerte data som dokumenter, bilder og videoer.

Sikkert leieforhold styrker dataisolasjonen ytterligere ved å skape distinkte miljøer for ulike grupper, avdelinger eller organisasjoner innenfor samme infrastruktur. Nøkkelaspekter som ressursisolering, datasegregering, nettverkssegmentering og granulære tilgangskontroller sikrer at hver leietakers data forblir private og sikre. VAST Data Platform eksemplifiserer disse prinsippene gjennom sin omfattende pakke med funksjoner, inkludert VLAN taging, rollebaserte og attributtbaserte tilgangskontroller og robuste krypteringsmekanismer.

Oppsummert gir VAST Data Platform, med sin integrasjon av MCS og sikre leieforhold, en omfattende og sikker løsning for å administrere ustrukturerte data. Denne tilnærmingen er avgjørende for organisasjoner med strenge krav til datakonfidensialitet, som offentlige etater, finansinstitusjoner og helsepersonell. Ved å implementere disse avanserte sikkerhetstiltakene kan organisasjoner trygt beskytte sine sensitive data samtidig som de muliggjør effektiv og skalerbar dataadministrasjon. Denne konklusjonen opprettholder nøkkelpunktene samtidig som den sikrer klarhet og konsisitet.

 

 For mer informasjon om VAST-dataplattformen og hvordan den kan hjelpe deg med å løse søknadsproblemene dine, ta kontakt med oss ​​på hello@vastdata.com.