Cómo auditar Apache Hive

Introducción

Apache Hive es ampliamente utilizado por muchas organizaciones para procesar y analizar enormes cantidades de datos estructurados almacenados en Hadoop. A medida que aumenta el volumen de datos sensibles procesados a través de Hive, la implementación de mecanismos efectivos de auditoría se vuelve esencial no solo para la seguridad, sino también para el cumplimiento normativo.

Esta guía lo llevará a través del proceso de configuración y puesta en marcha de las capacidades de auditoría para Apache Hive, desde las características de auditoría nativas hasta soluciones mejoradas con DataSunrise, asegurando que disponga de la visibilidad necesaria para monitorear el acceso a los datos, detectar actividades no autorizadas y mantener el cumplimiento.

Cómo auditar Apache Hive utilizando las capacidades nativas

Apache Hive ofrece varios mecanismos integrados para la auditoría que se pueden configurar para rastrear las actividades de los usuarios y las operaciones realizadas en los datos. Exploremos cómo configurar estas capacidades de auditoría nativas:

Paso 1: Habilitar la autorización basada en estándares SQL

La autorización basada en estándares SQL en Hive proporciona un modelo de control de acceso basado en roles que incluye capacidades básicas de auditoría. Este modelo registra las operaciones y los cambios de privilegios realizados por los usuarios.

Para habilitar la autorización basada en estándares SQL, modifique su archivo de configuración hive-site.xml:

<property>
  <name>hive.security.authorization.enabled</name>
  <value>true</value>
</property>
<property>
  <name>hive.security.authorization.manager</name>
  <value>org.apache.hadoop.hive.ql.security.authorization.plugin.sqlstd.SQLStdHiveAuthorizerFactory</value>
</property>
<property>
  <name>hive.security.authenticator.manager</name>
  <value>org.apache.hadoop.hive.ql.security.SessionStateUserAuthenticator</value>
</property>
<property>
  <name>hive.server2.enable.doAs</name>
  <value>false</value>
</property>

Después de realizar estos cambios, reinicie los servicios de Hive para aplicar la configuración.

Paso 2: Configurar el marco de registro (Logging Framework)

Apache Hive utiliza Log4j para registrar eventos, el cual puede configurarse para capturar información de auditoría. Para mejorar el registro de auditoría, modifique el archivo hive-log4j2.properties:

# Registro de auditoría de Hive
appender.AUDIT.type = RollingFile
appender.AUDIT.name = AUDIT
appender.AUDIT.fileName = ${sys:hive.log.dir}/${sys:hive.log.file}.audit
appender.AUDIT.filePattern = ${sys:hive.log.dir}/${sys:hive.log.file}.audit.%d{yyyy-MM-dd}
appender.AUDIT.layout.type = PatternLayout
appender.AUDIT.layout.pattern = %d{ISO8601} %p %c: %m%n
appender.AUDIT.policies.type = Policies
appender.AUDIT.policies.time.type = TimeBasedTriggeringPolicy
appender.AUDIT.policies.time.interval = 1
appender.AUDIT.policies.time.modulate = true
appender.AUDIT.strategy.type = DefaultRolloverStrategy
appender.AUDIT.strategy.max = 30

# Logger de auditoría
logger.audit.name = org.apache.hadoop.hive.ql.audit
logger.audit.level = INFO
logger.audit.additivity = false
logger.audit.appenderRef.audit.ref = AUDIT

Estas configuraciones crean un archivo de registro de auditoría dedicado que captura todos los eventos de auditoría en un formato estructurado.

Paso 3: Habilitar los registros de auditoría de HDFS

Dado que las operaciones de Hive implican operaciones en HDFS, habilitar los registros de auditoría de HDFS proporciona una capa adicional de auditoría. Modifique el archivo hdfs-site.xml:

<property>
  <name>hadoop.security.authorization</name>
  <value>true</value>
</property>
<property>
  <name>dfs.namenode.audit.log.async</name>
  <value>true</value>
</property>
<property>
  <name>dfs.namenode.audit.log.debug.cmdlist</name>
  <value>open,create,delete,append,rename</value>
</property>

Reinicie los servicios de HDFS para aplicar estos cambios.

Paso 4: Probar el registro de auditoría

Para verificar que la auditoría esté funcionando correctamente, realice varias operaciones en Hive y revise los registros de auditoría:

-- Crear una base de datos de prueba
CREATE DATABASE audit_test;

-- Crear una tabla
USE audit_test;
CREATE TABLE employee (
  id INT,
  name STRING,
  salary FLOAT
);

-- Insertar datos
INSERT INTO employee VALUES (1, 'John Doe', 75000.00);
INSERT INTO employee VALUES (2, 'Jane Smith', 85000.00);

-- Consultar datos
SELECT * FROM employee WHERE salary > 80000;

-- Actualizar datos
UPDATE employee SET salary = 90000.00 WHERE id = 1;

-- Eliminar tabla
DROP TABLE employee;

Después de ejecutar estas operaciones, verifique los registros de auditoría para asegurarse de que estén registrando todas las actividades:

cat ${HIVE_LOG_DIR}/hive.log.audit

Paso 5: Integrar con Apache Ranger (Opcional)

Para obtener capacidades de auditoría más completas, integre Apache Hive con Apache Ranger. Ranger proporciona una administración centralizada de la seguridad y registros de auditoría detallados para los componentes de Hadoop.

1. Instale Apache Ranger utilizando la guía de instalación oficial.

2. Configure el plugin de Ranger para Hive modificando hive-site.xml:

<property>
  <name>hive.security.authorization.enabled</name>
  <value>true</value>
</property>
<property>
  <name>hive.security.authorization.manager</name>
  <value>org.apache.ranger.authorization.hive.authorizer.RangerHiveAuthorizerFactory</value>
</property>

1. Configure los ajustes de auditoría de Ranger en ranger-hive-audit.xml:

<property>
  <name>xasecure.audit.is.enabled</name>
  <value>true</value>
</property>
<property>
  <name>xasecure.audit.destination.db</name>
  <value>true</value>
</property>
<property>
  <name>xasecure.audit.destination.db.jdbc.driver</name>
  <value>org.postgresql.Driver</value>
</property>
<property>
  <name>xasecure.audit.destination.db.jdbc.url</name>
  <value>jdbc:postgresql://ranger-db:5432/ranger</value>
</property>

Limitaciones de la auditoría nativa

Si bien estos mecanismos de auditoría nativos ofrecen funcionalidades básicas, tienen varias limitaciones:

1. Datos de auditoría fragmentados: La información de auditoría se dispersa en múltiples archivos de registro y sistemas.
2. Configuración compleja: Configurar una auditoría completa requiere la configuración de múltiples componentes.
3. Herramientas de monitoreo limitadas: Los registros de auditoría nativos carecen de interfaces amigables para su análisis.
4. Informes de cumplimiento manuales: Generar informes de cumplimiento requiere de scripts personalizados o extracción manual.
5. Uso intensivo de recursos: Una auditoría extensa puede impactar el rendimiento en entornos de alto volumen.

Cómo auditar Apache Hive de manera eficiente con DataSunrise

Para las organizaciones que requieren soluciones de auditoría más completas, DataSunrise ofrece capacidades avanzadas que abordan las limitaciones de la auditoría nativa de Hive. Exploremos cómo configurar DataSunrise para auditar Apache Hive:

Paso 1: Desplegar DataSunrise

Comience desplegando DataSunrise en su entorno. DataSunrise ofrece opciones de despliegue flexibles que incluyen configuraciones locales, en la nube e híbridas.

Paso 2: Conectar a Apache Hive

Una vez que DataSunrise esté desplegado, conéctelo a su entorno de Apache Hive:

1. Navegue a la consola de administración de DataSunrise.
2. Vaya a “Bases de datos” y seleccione “Agregar base de datos”.
3. Seleccione “Apache Hive” como el tipo de base de datos.
4. Ingrese los detalles de conexión para su instancia de Hive, incluyendo el host, el puerto y las credenciales de autenticación.
5. Pruebe la conexión para asegurarse de que esté correctamente configurada.

Paso 3: Configurar las reglas de auditoría

Configure las reglas de auditoría para definir qué actividades deben ser monitoreadas:

1. Vaya a “Reglas” y seleccione “Agregar regla”.
2. Elija “Auditoría” como el tipo de regla.
3. Configure los parámetros de la regla, incluyendo:
   • Nombre y descripción de la regla
   • Objetos objetivo (bases de datos, tablas, vistas)
   • Usuarios y roles a monitorear
   • Tipos de operaciones a auditar (SELECT, INSERT, UPDATE, DELETE, etc.)
   • Condiciones basadas en el tiempo (si es necesario)
4. Guarde y active la regla.

Paso 4: Probar y validar la auditoría

Realice diversas operaciones en Hive para validar que DataSunrise esté auditando adecuadamente las actividades:

1. Ejecute las mismas consultas de prueba utilizadas anteriormente para validar la auditoría nativa.
2. Navegue a la sección “Registro de auditoría” en DataSunrise para ver los eventos de auditoría capturados.
3. Verifique que todas las operaciones se registren correctamente con información detallada, que incluya:
   • Identidad del usuario
   • Marca de tiempo
   • Consulta SQL
   • Tipo de operación
   • Objetos afectados
   • Dirección IP de origen

Conclusión

La auditoría efectiva de Apache Hive es esencial para mantener la seguridad, garantizar el cumplimiento y obtener visibilidad sobre los patrones de acceso a datos. Si bien las capacidades nativas de auditoría de Hive ofrecen funcionalidades básicas, las organizaciones con requerimientos avanzados se benefician de soluciones integrales como DataSunrise.

DataSunrise mejora la auditoría en Apache Hive con administración centralizada, rastros de auditoría detallados, alertas en tiempo real e informes de cumplimiento automatizados. Al implementar una solución robusta de auditoría, las organizaciones pueden proteger sus datos sensibles, mantener el cumplimiento normativo y responder rápidamente a incidentes de seguridad.

¿Listo para mejorar las capacidades de auditoría de su Apache Hive? Agende una demostración para ver cómo DataSunrise puede ayudarlo a implementar una auditoría integral en su entorno Hive.