الأمان في Azure Data Lake Storage Gen1
تستفيد العديد من المؤسسات من تحليلات البيانات الضخمة للحصول على رؤى الأعمال لمساعدتهم على اتخاذ قرارات ذكية. قد يكون لدى المؤسسة بيئة معقدة ومنظمة، مع عدد متزايد من المستخدمين المتنوعين. من الضروري للمؤسسة التأكد من تخزين بيانات الأعمال الهامة بشكل أكثر أمانا، مع منح المستوى الصحيح من الوصول للمستخدمين الفرديين. تم تصميم Azure Data Lake Storage Gen1 للمساعدة في تلبية متطلبات الأمان هذه. في هذه المقالة، تعرف على القدرات الأمنية Data Lake Storage Gen1، بما في ذلك:
- المصادقة
- التخويل
- عزل الشبكة
- حماية البيانات
- التدقيق
المصادقة وإدارة الهوية
المصادقة هي العملية التي يتم من خلالها التحقق من هوية المستخدم عندما يتفاعل المستخدم مع Data Lake Storage Gen1 أو مع أي خدمة تتصل Data Lake Storage Gen1. لإدارة الهوية والمصادقة، يستخدم Data Lake Storage Gen1 Microsoft Entra ID، وهو حل سحابي شامل لإدارة الهوية والوصول يبسط إدارة المستخدمين والمجموعات.
يمكن إقران كل اشتراك Azure بمثيل Microsoft Entra ID. يمكن فقط للمستخدمين وهويات الخدمة المحددة في خدمة Microsoft Entra الوصول إلى حساب Data Lake Storage Gen1 الخاص بك، باستخدام مدخل Microsoft Azure أو أدوات سطر الأوامر أو من خلال تطبيقات العميل التي تنشئها مؤسستك باستخدام Data Lake Storage Gen1 SDK. المزايا الرئيسية لاستخدام Microsoft Entra ID كآلية مركزية للتحكم في الوصول هي:
- إدارة دورة حياة الهوية المبسطة. يمكن إنشاء هوية مستخدم أو خدمة (هوية كيان الخدمة) بسرعة وإبطالها بسرعة عن طريق حذف الحساب أو تعطيله في الدليل.
- مصادقة متعددة العوامل. توفر المصادقة متعددة العوامل طبقة إضافية من الأمان لتسجيل دخول المستخدم والمعاملات.
- المصادقة من أي عميل من خلال بروتوكول مفتوح قياسي، مثل OAuth أو OpenID.
- الاتحاد مع خدمات دليل المؤسسة وموفري الهوية السحابية.
التفويض والتحكم في الوصول
بعد Microsoft Entra مصادقة مستخدم حتى يتمكن المستخدم من الوصول إلى Data Lake Storage Gen1، يتحكم التخويل في أذونات الوصول Data Lake Storage Gen1. يفصل Data Lake Storage Gen1 التخويل للأنشطة المتعلقة بالحساب والأنشطة المتعلقة بالبيانات بالطريقة التالية:
- التحكم في الوصول استنادا إلى الدور في Azure (Azure RBAC) لإدارة الحساب
- POSIX ACL للوصول إلى البيانات في المتجر
Azure RBAC لإدارة الحساب
يتم تعريف أربعة أدوار أساسية Data Lake Storage Gen1 بشكل افتراضي. تسمح الأدوار بعمليات مختلفة على حساب Data Lake Storage Gen1 عبر مدخل Microsoft Azure وPowerShell cmdlets وواجهات برمجة تطبيقات REST. يمكن لأدوار المالك والمساهم تنفيذ مجموعة متنوعة من وظائف الإدارة على الحساب. يمكنك تعيين دور القارئ للمستخدمين الذين يعرضون بيانات إدارة الحساب فقط.
لاحظ أنه على الرغم من تعيين الأدوار لإدارة الحساب، فإن بعض الأدوار تؤثر على الوصول إلى البيانات. تحتاج إلى استخدام قوائم التحكم في الوصول للتحكم في الوصول إلى العمليات التي يمكن للمستخدم تنفيذها على نظام الملفات. يعرض الجدول التالي ملخصا لحقوق الإدارة وحقوق الوصول إلى البيانات للأدوار الافتراضية.
| الأدوار | حقوق الإدارة | حقوق الوصول إلى البيانات | التفسير |
|---|---|---|---|
| لم يتم تعيين أي دور | بلا | تحكمها قائمة التحكم بالوصول | لا يمكن للمستخدم استخدام مدخل Microsoft Azure أو Azure PowerShell cmdlets لاستعراض Data Lake Storage Gen1. يمكن للمستخدم استخدام أدوات سطر الأوامر فقط. |
| مالك | الكل | الكل | دور المالك هو مستخدم فائق. يمكن لهذا الدور إدارة كل شيء ولديه حق الوصول الكامل إلى البيانات. |
| القارئ | «Read-only» | تحكمها قائمة التحكم بالوصول | يمكن لدور القارئ عرض كل شيء يتعلق بإدارة الحساب، مثل المستخدم الذي تم تعيينه إلى أي دور. لا يمكن لدور القارئ إجراء أي تغييرات. |
| مساهم | الكل باستثناء إضافة الأدوار وإزالتها | تحكمها قائمة التحكم بالوصول | يمكن لدور المساهم إدارة بعض جوانب الحساب، مثل عمليات التوزيع وإنشاء التنبيهات وإدارتها. لا يمكن لدور المساهم إضافة أدوار أو إزالتها. |
| مسؤول وصول المستخدم | إضافة الأدوار وإزالتها | تحكمها قائمة التحكم بالوصول | يمكن لدور مسؤول وصول المستخدم إدارة وصول المستخدم إلى الحسابات. |
للحصول على الإرشادات، راجع تعيين مستخدمين أو مجموعات أمان لحسابات Data Lake Storage Gen1.
استخدام قوائم التحكم في الوصول للعمليات على أنظمة الملفات
Data Lake Storage Gen1 هو نظام ملفات هرمي مثل نظام الملفات الموزعة Hadoop (HDFS)، وهو يدعم قوائم التحكم في الوصول POSIX. يتحكم في أذونات القراءة (r) والكتابة (w) وتنفيذ (x) للموارد لدور المالك ومجموعة المالكين والمستخدمين والمجموعات الأخرى. في Data Lake Storage Gen1، يمكن تمكين قوائم التحكم في الوصول على المجلد الجذر، وعلى المجلدات الفرعية، وعلى الملفات الفردية. لمزيد من المعلومات حول كيفية عمل قوائم التحكم في الوصول في سياق Data Lake Storage Gen1، راجع التحكم في الوصول في Data Lake Storage Gen1.
نوصي بتعريف قوائم التحكم في الوصول لعدة مستخدمين باستخدام مجموعات الأمان. أضف مستخدمين إلى مجموعة أمان، ثم قم بتعيين قوائم التحكم في الوصول لملف أو مجلد إلى مجموعة الأمان هذه. يكون هذا مفيدا عندما تريد توفير أذونات معينة، لأنك تقتصر على 28 إدخالا كحد أقصى للأذونات المعينة. لمزيد من المعلومات حول كيفية تأمين البيانات المخزنة في Data Lake Storage Gen1 بشكل أفضل باستخدام مجموعات أمان Microsoft Entra، راجع تعيين مستخدمين أو مجموعة أمان كقوائم ACL لنظام ملفات Data Lake Storage Gen1.
عزل الشبكة
استخدم Data Lake Storage Gen1 للمساعدة في التحكم في الوصول إلى مخزن البيانات على مستوى الشبكة. يمكنك إنشاء جدران حماية وتحديد نطاق عنوان IP لعملائك الموثوق بهم. باستخدام نطاق عناوين IP، يمكن فقط للعملاء الذين لديهم عنوان IP ضمن النطاق المحدد الاتصال Data Lake Storage Gen1.
تدعم شبكات Azure الظاهرية (VNet) علامات الخدمة ل Data Lake Gen 1. تمثل علامة الخدمة مجموعة من بادئات عنوان IP من خدمة Azure معينة. تُدير Microsoft بادئات العناوين التي تشملها علامة الخدمة، كما تُحدّث علامة الخدمة تلقائيًا مع تغيير العناوين. لمزيد من المعلومات، راجع نظرة عامة على علامات خدمة Azure.
حماية البيانات
تحمي Data Lake Storage Gen1 بياناتك طوال دورة حياتها. بالنسبة للبيانات أثناء النقل، يستخدم Data Lake Storage Gen1 بروتوكول أمان طبقة النقل (TLS 1.2) القياسي في الصناعة لتأمين البيانات عبر الشبكة.
يوفر Data Lake Storage Gen1 تشفير البيانات المخزنة في الحساب. يمكنك اختيار تشفير بياناتك أو اختيار عدم وجود تشفير. إذا اخترت التشفير، يتم تشفير البيانات المخزنة في Data Lake Storage Gen1 قبل التخزين على الوسائط المستمرة. في مثل هذه الحالة، يقوم Data Lake Storage Gen1 تلقائيا بتشفير البيانات قبل استمرار البيانات وفك تشفيرها قبل الاسترداد، لذلك فهي شفافة تماما للعميل الذي يصل إلى البيانات. لا يوجد تغيير في التعليمات البرمجية مطلوب من جانب العميل لتشفير/فك تشفير البيانات.
لإدارة المفاتيح، يوفر Data Lake Storage Gen1 وضعين لإدارة مفاتيح التشفير الرئيسية (MEKs)، وهما مطلوبان لفك تشفير أي بيانات مخزنة في Data Lake Storage Gen1. يمكنك إما السماح Data Lake Storage Gen1 بإدارة MEKs نيابة عنك، أو اختيار الاحتفاظ بملكية MEKs باستخدام حساب Azure Key Vault الخاص بك. يمكنك تحديد وضع إدارة المفاتيح أثناء إنشاء حساب Data Lake Storage Gen1. لمزيد من المعلومات حول كيفية توفير التكوين المتعلق بالتشفير، راجع بدء استخدام Azure Data Lake Storage Gen1 باستخدام مدخل Microsoft Azure.
سجلات النشاط والتشخيص
يمكنك استخدام سجلات النشاط أو التشخيص، اعتمادا على ما إذا كنت تبحث عن سجلات للأنشطة المتعلقة بإدارة الحساب أو الأنشطة المتعلقة بالبيانات.
- تستخدم الأنشطة المتعلقة بإدارة الحساب واجهات برمجة تطبيقات Azure Resource Manager ويتم عرضها في مدخل Microsoft Azure عبر سجلات النشاط.
- تستخدم الأنشطة المتعلقة بالبيانات واجهات برمجة تطبيقات WebHDFS REST ويتم عرضها في مدخل Microsoft Azure عبر سجلات التشخيص.
سجل النشاط
للامتثال للوائح، قد تحتاج المؤسسة إلى سجلات تدقيق كافية لأنشطة إدارة الحساب إذا كانت بحاجة إلى البحث في حوادث محددة. يحتوي Data Lake Storage Gen1 على مراقبة مضمنة ويسجل جميع أنشطة إدارة الحساب.
بالنسبة إلى مسارات تدقيق إدارة الحساب، اعرض الأعمدة التي تريد تسجيلها واخترها. يمكنك أيضا تصدير سجلات النشاط إلى Azure Storage.
لمزيد من المعلومات حول العمل مع سجلات النشاط، راجع عرض سجلات النشاط لتدقيق الإجراءات على الموارد.
سجلات التشخيص
يمكنك تمكين تدقيق الوصول إلى البيانات وتسجيل التشخيص في مدخل Microsoft Azure وإرسال السجلات إلى حساب تخزين Azure Blob أو مركز أحداث أو سجلات Azure Monitor.
سجلات سجلات
لمزيد من المعلومات حول العمل مع سجلات التشخيص مع Data Lake Storage Gen1، راجع الوصول إلى سجلات التشخيص Data Lake Storage Gen1.
الملخص
يطلب عملاء المؤسسات نظاما أساسيا سحابيا لتحليل البيانات آمن وسهل الاستخدام. تم تصميم Data Lake Storage Gen1 للمساعدة في تلبية هذه المتطلبات من خلال إدارة الهوية والمصادقة من خلال تكامل Microsoft Entra والتخويل المستند إلى قائمة التحكم بالوصول وعزل الشبكة وتشفير البيانات أثناء النقل والثبات والتدقيق.
إذا كنت تريد رؤية ميزات جديدة في Data Lake Storage Gen1، أرسل إلينا ملاحظاتك في منتدى Data Lake Storage Gen1 UserVoice.