Solr / Ranger: защита от злонамеренных администраторов Ambari и соблюдение GDPR, особенно в отношении аудита Ranger

Question

Установка Hortonworks Hadoop обычно выполняется через Ambari, в которой есть код, который использует su для олицетворения других (технических) пользователей, то есть Ambari также должен получить права на su практически для всех остальных пользователей. Это означает, что администратор Ambari также может просматривать обычные журналы и журналы аудита всех этих систем со своими данными. Кроме того, использование su сложно контролировать в системах SIEM, особенно сложнее, чем использование sudo. Это приводит к 2 проблемам:

1. Как защититься от злонамеренных администраторов Ambari, то есть запретить им просматривать сильно ограниченные данные или даже манипулировать ими, и как запретить администраторам Ambari и / или Ranger читать / изменять хранилище аудита Apache Ranger?
2. Такое хранилище аудита обычно содержит идентификаторы пользователей системы, которые должны быть защищены в соответствии с законами о защите данных и необходимым принципом GDPR. Вместо этого только аудитор Ranger должен иметь возможность видеть такие данные, например, защищен системой управления привилегированными учетными записями (PAM).

Я пытаюсь настроить минимальную защищенную установку SolrCloud / HDP Search . Большим решением, вероятно, было бы использование маскировки Apache Atlas с аудитами Ranger на основе HDFS (зашифрованный, ограниченный доступ пользователей). Интересно, существует ли меньшее / быстрое / менее дорогое решение для этого.

Будет ли это хорошо работать, если я отключу аудит Ranger в Solr и HDFS и вместо этого буду только регистрировать события Ranger с помощью конфигурации log4j, отправляя все журналы немедленно в удаленный защищенный системный журнал (поэтому он не может быть изменен злонамеренными администраторами)

Существует ли простой способ идентифицировать все относящиеся к аудиту события журнала, когда все записи журнала (также не относящиеся к аудиту) находятся в плоском формате журнала (создавая точные сценарии использования SIEM)?

Гарантируется ли, что каждое событие, относящееся к аудиту, все еще регистрируется, если аудит Ranger для Solr и HDFS отключен?