天翼云大數據平臺 翼MapReduce支持海量數據存儲、海量數據分析、實時處理等行業應用，平臺具備高安全性。該產品主要從以下幾個方面保障用戶可以安全地存儲、使用數據以及運行業務。

網絡隔離

整個系統部署在用戶在公有云上專享的虛擬私有云中，提供安全隔離的網絡環境，保證用戶大數據集群的業務、管理的安全性。通過結合虛擬私有云的子網劃分、路由控制、安全組等功能，可以為用戶提供高安全、高可靠的網絡隔離環境。

資源隔離

翼MR服務目前支持用戶在天翼云4.0資源池內專屬化部署，服務使用到的云主機在IaaS層保證資源隔離，資源組合上確保專屬計算資源+專屬存儲資源。

主機安全

翼MR支持與天翼云官網安全服務集成，支持漏洞掃描、安全防護、應用防火墻、云堡壘機、網頁防篡改等。針對云主機，提供如下安全措施：

• 操作系統內核安全加固
• 更新操作系統最新補丁
• 操作系統權限控制
• 操作系統端口管理
• 操作系統協議與端口防攻擊
• 云主機監控
• 防DDoS攻擊
• 定期備份數據
• 增加登錄密碼強度

應用安全

通過如下措施保證大數據業務正常運行：

• 身份鑒別與認證
• Web應用安全
• 訪問控制
• 審計安全
• 密碼安全

數據安全

針對海量用戶數據，提供如下措施保障客戶數據的機密性、完整性和可用性。

• 容災：翼MR產品當前數據存放在天翼云云硬盤產品中，云硬盤采用三副本冗余機制，保障上層翼MR服務數據的高容災型。
• 備份：翼MR產品當前數據存放在天翼云云硬盤產品中，云硬盤具備定期備份、數據恢復等特性。

數據完整性

通過數據校驗，保證數據在存儲、傳輸過程中的數據完整性。

• 用戶數據保存在HDFS上，HDFS默認采用CRC32C校驗數據的正確性。
• HDFS的DataNode節點負責存儲校驗數據，如果發現客戶端傳遞過來的數據有異常（不完整）就上報異常給客戶端，讓客戶端重新寫入數據。
• 客戶端從DataNode讀數據的時候會同步檢查數據是否完整，如果發現數據不完整，嘗試從其它的DataNode節點上讀取數據。

數據保密性

天翼云大數據平臺 翼MapReduce產品中的分布式文件系統采用Apache Hadoop 3.3.3版本，提供對文件內容的加密存儲功能，避免敏感數據明文存儲，提升數據安全性。業務應用只需對指定的敏感數據進行加密，加解密過程業務完全不感知。在文件系統數據加密基礎上，Hive實現表級加密，HBase實現列族級加密，在創建表時指定采用的加密算法，即可實現對敏感數據的加密存儲。

• 從數據的存儲加密、訪問控制來保障用戶數據的保密性。
• HBase支持將業務數據存儲到HDFS前進行壓縮處理，且用戶可以配置AES和SMS4算法加密存儲。
• 各組件支持本地數據目錄訪問權限設置，無權限用戶禁止訪問數據。
• 所有集群內部用戶信息提供密文存儲。

安全認證

基于用戶和角色的認證統一體系，遵從帳戶/角色RBAC（Role-Based Access Control）模型，實現通過角色進行權限管理，對用戶進行批量授權管理。

• 支持安全協議Kerberos，翼MR Manager使用OpenLDAP作為帳戶管理系統，并通過Kerberos對帳戶信息進行安全認證。
• 對登錄Manager的用戶進行審計。