为深度学习构建的 VAST 数据平台用户指南

该平台的核心是利用安全增强型 Linux (SELinux) 的多类别安全 (MCS) 来分配类别 file包含敏感的非结构化数据（如文档、图像和视频）。只有经过授权的
与这些类别相关的用户和流程可以访问数据，从而防止未经授权的访问。安全租赁功能为不同组创建了独立的逻辑或物理环境，并对资源分配、网络和访问权限进行了精细控制。

该平台实现了强大的身份验证和授权机制，包括与 Active Directory、LDAP、NIS、本地用户管理、基于角色的访问控制 (RBAC) 和基于属性的访问控制 (ABAC) 的集成。它支持单点登录 (SSO)、协议访问控制列表 (ACL) 和 SELinux 标签 file通过 NFS、SMB 和 S3 协议访问的文件和目录。

通过使用 FIPS 140-3 验证密码对静态数据进行加密、外部密钥管理、基于证书的身份验证和加密擦除功能，数据保护得到加强。全面审计记录所有数据访问事件，这些事件可存储在平台数据库中以供分析。

该平台的安全软件供应链整合了 NIST 安全软件开发框架、软件组成分析、自动安全测试、漏洞扫描和整个开发生命周期的严格访问控制。通过结合先进的 MCS、安全租赁、加密、访问控制、审计和安全开发实践，VAST 数据平台提供了针对非结构化数据上的 AI/ML 和企业工作负载量身定制的强大安全解决方案。

数据加密和密钥管理
VAST 数据平台采用 AES-XTS-256 加密静态数据，采用 TLS 1.3 加密传输数据。它支持 Thales CipherTrust 和 Fornetix VaultCore 等外部密钥管理解决方案。

NIST 控制：SC-12（加密密钥建立和管理）、SC-13（加密保护）

管理指南参考：章节：“数据加密” [p. 128]

此功能可确保数据在静止和传输过程中均被加密，防止未经授权的访问并确保符合加密标准。使用外部密钥管理可通过集中和保护密钥管理流程进一步增强安全性。

访问控制和授权
特点：平台集成基于角色的访问控制（RBAC）和基于属性的访问控制（ABAC），提供动态、细粒度的访问控制。

NIST 控制：AC-2（帐户管理）、AC-3（访问执行）、AC-5（职责分离）、AC-6（最小特权）
管理指南参考：章节：“基于属性的访问控制 (ABAC)” [p. 269]

RBAC 和 ABAC 确保根据用户角色和属性授予对资源的访问权限，从而执行最小权限原则并确保用户只能访问其角色所需的资源。这最大限度地降低了未经授权的访问和潜在数据泄露的风险。

审计与问责

特征： 全面的审计功能，包括协议和管理审计日志。

NIST 控制： AU-2（审计事件）、AU-3（审计记录内容）、AU-6（审计报告）view、分析和报告）
管理指南参考： 章节：协议审计 [p. 243]

审计功能提供所有访问和管理操作的详细日志，确保所有活动都可以被跟踪和重新view这对于检测和应对未经授权的访问尝试以及确保遵守监管要求至关重要。

VAST 集群架构

独立于性能扩展容量

数据流和分段

特征： 虚拟局域网 tag和绑定、网络分段以及协议访问的控制。
NIST 控制： SC-7（边界保护）、SC-8（传输机密性和完整性）

管理指南参考： 部分： ”Tag使用 VLAN 连接虚拟 IP 池” [第 147 页]

通过 VLAN 对网络进行分段并控制数据流 tag通过数据隔离和绑定，平台可确保数据被隔离，并防止未经授权的访问。这种隔离有助于在数据通过网络传输时保持其机密性和完整性。

数据共享和复制

特征： 全局访问允许您使集群命名空间的子集可供其他集群的客户端读写。这可以在保持访问控制的同时实现安全的数据共享。

NIST 控制： AC-4（信息流执行）、SC-7（边界保护）
管理指南参考： 章节：“全球访问” [第 413 页]

此功能提供细粒度的目录级访问控制、可配置的访问租约到期时间以及访问事件审计，确保集群之间安全、可控的数据共享。

异步复制

特征： 异步复制允许将集群数据的子集复制到远程对等集群，以实现灾难恢复或数据分发目的。
NIST 控制： CP-9（信息系统备份）、SC-8（传输机密性和完整性）

管理指南参考： 章节：“VAST 异步复制” [p. 381]

此功能可确保通过 WAN 进行安全加密复制、在目录级别进行细粒度复制、在复制目标进行只读访问以及对复制状态的监控，从而提供强大的数据保护和灾难恢复功能。

备份到 S3

特征： 您可以将数据从 VAST 集群备份到符合 S3 的对象存储，从而实现对该数据的共享访问。

NIST 控制： CP-9（信息系统备份）、MP-5（媒体传输保护）
管理指南参考： 章节：“备份至 S3” [第 376 页]

该功能可确保安全传输到外部 S3 目标、目录级别的细粒度备份、S3 目标的数据不变性以及备份状态的监控，提供安全可靠的数据备份和共享功能。

全局快照克隆

特征：从远程对等集群创建快照的读/写克隆，实现对时间点数据副本的共享访问。
NIST 控制： CP-9（信息系统备份）、SC-8（传输机密性和完整性）

管理指南参考： 章节：“全局和本地快照克隆” [p. 425]

该功能提供安全加密传输、快照级别的细粒度克隆、更改的后台同步以及访问事件的审计，确保安全且受控的数据共享和恢复。

零信任架构（ZTA）实施

特征： 自动数据标记、异常检测和不可破坏的快照。
NIST 控制： CA-7（持续监控）、SI-4（信息系统监控）
管理指南参考：章节: “零信任数据支柱” [第 269 页]

这些功能支持持续监控和异常检测，这是零信任架构的关键组成部分。自动数据标记可确保数据得到适当分类和保护，而不可破坏的快照则提供可靠的数据恢复和完整性验证方法。

结论

VAST Data 平台集成了符合 NIST 零信任架构 (ZTA) 原则的高级安全功能和合规措施，处于行业领先地位。通过实施强大的数据加密、访问控制、审计和数据流分段，该平台可确保对非结构化数据工作负载进行全面保护。这些功能不仅满足而且超出了 NIST 规定的严格要求，使 VAST Data 成为安全数据管理解决方案的领导者。

该平台对零信任原则的坚持体现在其对持续监控、自动数据标记和异常检测的精心实施。这些功能可确保数据得到持续保护，并迅速识别和缓解任何潜在威胁。使用安全增强型 Linux (SELinux) 的多类别安全 (MCS) 为 file包含敏感数据进一步体现了 VAST Data 对零信任原则的承诺，确保只有授权用户和流程才能访问关键信息。

作为业内首家提供如此全面的安全功能套件的公司，VAST Data 专门针对非结构化数据的 AI/ML 和企业工作负载，为数据保护树立了新标准。通过利用这些高级功能，组织可以放心地管理和保护其数据，满足严格的监管要求并防范不断演变的网络威胁。VAST Data 平台不仅引领行业创新，还为实施零信任架构提供了坚实的基础，确保数据在日益复杂的数字环境中保持安全。

常问问题

什么是零信任架构（ZTA）？
- 零信任架构是一种安全模型，基于维护严格访问控制且默认不信任任何实体（无论是在网络边界内还是外部）的原则。
VAST数据平台如何增强数据安全性？
- VAST 数据平台提供高级安全功能，例如静态加密、强大的访问控制、全面审计以及与安全身份验证机制的集成，以保护数据的机密性和完整性。

文件/资源

为深度学习构建的VAST数据平台 [pdf] 用户指南
为深度学习构建的数据平台、数据、为深度学习构建的平台、为深度学习构建、深度学习、学习

参考

用户手册

为深度学习构建的VAST数据平台

规格

介绍