Protección de la comunicación de Cassandra con TLS/SSL

Question

Queremos proteger a Cassandra de los ataques de hombre en el medio. ¿Hay alguna forma de configurar Cassandra de forma que las comunicaciones cliente-servidor y servidor-servidor (replicación) estén cifradas con SSL?

gracias

Answer 1

respuesta corta: no :)

para el cliente - servidor: THRIFT-151

Editar: Es posible que desee seguir this hilo en el ML

Answer 2

comunicación del servidor servidor de cifrado parece estar disponible ahora:

https://issues.apache.org/jira/browse/CASSANDRA-1567
Proporcionar soporte de cifrado configurable para la comunicación internodal

Resolución: fijo
Fix Version/s: 0.8 beta 1
Resuelto: 19/Jan/11 18:11

Answer 3

La estrategia que empleo es hacer que los nodos Apache Cassandra se comuniquen a través de un túnel VPN de sitio a sitio.

configuraciones específicas para el archivo cassandra.yaml:

listen_address: 10.x.x.x # vpn network ip 
rpc_address: 172.16.x.x. # non-vpn network for client access although, I leave it blank so that it listens on all interfaces 

Los beneficios de este enfoque es que se puede implementar Apache Cassandra a muchos ambientes diferentes y se convertirá en el proveedor agnóstico. Por ejemplo, alojar nodos en varios entornos Amazon EC2 y nodos de alojamiento en su propio centro de datos físico y alojar algunos otros bajo su escritorio.

¿Le costó un problema que le impidió ver este enfoque? Echa un vistazo a Vyatta ...

Como KajMagnus señaló, hay un boleto JIRA resuelto y disponible en la versión estable de Apache Cassandra: https://issues.apache.org/jira/browse/CASSANDRA-1567 que le permite lograr lo que desea a través de TLS/SSL .. pero hay algunas maneras de lograr lo que le gustaría.

Por último, si quiere para alojar su instancia en Amazon EC2, una región a otra puede ser problemática y, aunque hay un parche disponible en 1.x.x, ¿es realmente el enfoque correcto? Descubrí que el enfoque VPN reduce la latencia entre los nodos en diferentes regiones y aún mantiene el nivel de seguridad necesario.

• http://cassandra-user-incubator-apache-org.3065146.n2.nabble.com/Running-across-multiple-EC2-regions-td6634995.html

Finalmente - parte 2 -

Si desea proteger comunicaciones de cliente a servidor, tienen sus clientes (servidores web) se comunican a través de la misma VPN ..La configuración que tengo:

• servidores web extremo delantero comunican a través de la red interna a los servidores de aplicaciones
• Los servidores de aplicaciones se sientan en su propia red interna y la red VPN y comunicar a la capa de datos a través del túnel VPN y entre sí en existe la red interna
• capa de datos en su propia red por Centro de datos/rack y recibe peticiones a través de la red VPN

Answer 4

nodo a nodo de comunicación (chisme) puede ser asegurado por el problema anterior. Tanto el cliente como el servidor admitirán pronto Kerberos (en el maestro de Hector a partir de la confirmación: https://github.com/rantav/hector/commit/08149a03c81b559cba5680d115943dbf334f58fa debería golpear al lado de Cassandra en breve).