Sicherung der Cassandra-Kommunikation mit TLS/SSL

Question

Wir möchten die Cassandra vor Man-in-the-Middle-Angriffen schützen. Gibt es eine Möglichkeit, Cassandra so zu konfigurieren, dass die Client-Server- und Server-Server (Replikations) -Kommunikation SSL-verschlüsselt sind?

danke

Answer 1

kurze Antwort: nein :)

Für Client - Server: THRIFT-151

Edit: Sie könnten this Gewinde auf der ML

Answer 2

verschlüsselten Server-Server-Kommunikation folgen wollen scheint jetzt verfügbar zu sein:

https://issues.apache.org/jira/browse/CASSANDRA-1567
Bereitstellung von Unterstützung konfigurierbare Verschlüsselung für Querverkehr

Auflösung: Feste
Fix Version/s: 0.8 beta 1
Entschlossen: 19/Jan/11 18:11

Answer 3

Die Strategie, die ich beschäftigen Apache Cassandra-Knoten kommunizieren über einen Site-to-Site-VPN-Tunnel.

Spezielle Konfigurationen für die cassandra.yaml Datei:

listen_address: 10.x.x.x # vpn network ip 
rpc_address: 172.16.x.x. # non-vpn network for client access although, I leave it blank so that it listens on all interfaces 

Die Vorteile dieses Ansatzes ist, dass Sie Agnostiker viele verschiedene Umgebungen bereitstellen können, und Sie werden Anbieter Apache Cassandra. Beispielsweise können Sie Knoten in verschiedenen Amazon EC2-Umgebungen hosten und Knoten in Ihrem eigenen physischen Rechenzentrum hosten und ein paar andere unter Ihrem Schreibtisch hosten!

Kosten ein Problem, das Sie daran hindert, diesen Ansatz zu untersuchen? Auschecken Vyatta ...

Wie KajMagnus wies darauf hin, gibt es ein JIRA-Ticket gelöst und in der stabilen Version von Apache Cassandra: https://issues.apache.org/jira/browse/CASSANDRA-1567, die Sie erreichen, was Sie möchten über TLS/SSL .. aber es gibt ein paar Möglichkeiten, um zu erreichen, was Sie möchten.

Schließlich, wenn Sie Ihre Instanz auf Amazon EC2 hosten möchten, kann Region zu Region problematisch sein und obwohl es einen Patch in 1.x.x gibt, ist es wirklich der richtige Ansatz? Ich habe festgestellt, dass der VPN-Ansatz die Latenz zwischen Knoten in verschiedenen Regionen verringert und trotzdem das erforderliche Sicherheitsniveau beibehält.

• http://cassandra-user-incubator-apache-org.3065146.n2.nabble.com/Running-across-multiple-EC2-regions-td6634995.html

Endlich - Teil 2 -

Wenn Sie Client-Server-Kommunikation sichern wollen, müssen Sie Ihre Kunden (Web-Server) durch die gleiche VPN kommunizieren ..Die Konfiguration habe ich:

• Frontend Web-Servern kommunizieren über interne Netzwerk-Anwendungsservern
• Anwendungsserver auf ihre eigenen internen Netzwerk und VPN-Netzwerk sitzen und an die Datenschicht über den VPN-Tunnel kommunizieren und untereinander auf das interne Netzwerk
• Data Layer existiert pro Data Center/Rack-sein eigenes Netzwerk auf und empfängt Anfragen über das VPN-Netzwerk

Answer 4

Knoten zu Knoten (Klatsch) Kommunikation kann über je die Frage gesichert werden. Client und Server werden beide bald Kerberos unterstützen (In Hector Master ab Commit: https://github.com/rantav/hector/commit/08149a03c81b559cba5680d115943dbf334f58fa sollte Cassandra Seite in Kürze treffen).