Přehled podnikového zabezpečení ve službě Azure HDInsight
Azure HDInsight nabízí řadu metod pro řešení potřeb podnikového zabezpečení. Většina těchto řešení není ve výchozím nastavení aktivovaná. Tato flexibilita umožňuje zvolit funkce zabezpečení, které jsou pro vás nejdůležitější, a pomáhá vám vyhnout se placení za funkce, které nechcete. Tato flexibilita také znamená, že je vaší zodpovědností zajistit, aby byla pro vaše nastavení a prostředí povolená správná řešení.
Tento článek se zabývá řešeními zabezpečení rozdělením řešení zabezpečení do čtyř tradičních pilířů zabezpečení: hraniční zabezpečení, ověřování, autorizace a šifrování.
Tento článek také představuje balíček zabezpečení Azure HDInsight Enterprise Security Package (ESP), který poskytuje ověřování založené na službě Active Directory, podporu více uživatelů a řízení přístupu na základě role pro clustery HDInsight.
Pilíře podnikového zabezpečení
Jedním ze způsobů, jak se podívat na podnikové zabezpečení, rozděluje řešení zabezpečení do čtyř hlavních skupin na základě typu řízení. Tyto skupiny se také nazývají pilíře zabezpečení a jsou to následující typy: hraniční zabezpečení, ověřování, autorizace a šifrování.
Zabezpečení hraniční sítě
Hraniční zabezpečení ve službě HDInsight se dosahuje prostřednictvím virtuálních sítí. Podnikový správce může vytvořit cluster uvnitř virtuální sítě a pomocí skupin zabezpečení sítě (NSG) omezit přístup k virtuální síti. S clusterem HDInsight můžou komunikovat jenom povolené IP adresy v příchozích pravidlech NSG. Tato konfigurace poskytuje zabezpečení hraniční sítě.
Všechny clustery nasazené ve virtuální síti budou mít také privátní koncový bod. Koncový bod se přeloží na privátní IP adresu uvnitř virtuální sítě pro privátní přístup HTTP k branám clusteru.
Authentication
Balíček zabezpečení organizace ze služby HDInsight poskytuje ověřování založené na službě Active Directory, podporu více uživatelů a řízení přístupu na základě role. Integrace služby Active Directory se dosahuje pomocí azure Active Directory Domain Services. Díky těmto možnostem můžete vytvořit cluster HDInsight připojený k doméně služby Active Directory. Potom nakonfigurujte seznam zaměstnanců z podniku, kteří se můžou ověřit v clusteru.
S tímto nastavením se podnikoví zaměstnanci můžou přihlásit k uzlům clusteru pomocí přihlašovacích údajů k doméně. Můžou také použít přihlašovací údaje k doméně k ověření s jinými schválenými koncovými body. Podobně jako zobrazení Apache Ambari, ODBC, JDBC, PowerShell a rozhraní REST API pro interakci s clusterem
Autorizace
Osvědčeným postupem pro většinu podniků je zajistit, aby každý zaměstnanec neměl úplný přístup ke všem podnikovým prostředkům. Správce může také definovat zásady řízení přístupu na základě role pro prostředky clusteru. Tato akce je dostupná pouze v clusterech ESP.
Správce Hadoopu může nakonfigurovat řízení přístupu na základě role (RBAC). Konfigurace zajišťují Apache Hive, HBase a Kafka pomocí modulů plug-in Apache Ranger. Konfigurace zásad RBAC umožňuje přidružit oprávnění k roli v organizaci. Tato vrstva abstrakce usnadňuje zajištění, aby lidé měli jenom oprávnění potřebná k provedení svých pracovních povinností. Ranger také umožňuje auditovat přístup k datům zaměstnanců a všechny změny provedené v zásadách řízení přístupu.
Správce může například nakonfigurovat Apache Ranger, aby nastavil zásady řízení přístupu pro Hive. Tato funkce zajišťuje filtrování na úrovni řádků a sloupců (maskování dat). A filtruje citlivá data od neoprávněných uživatelů.
Auditování
Auditování přístupu k prostředkům clusteru je nezbytné ke sledování neoprávněného nebo neúmyslného přístupu k prostředkům. Je stejně důležité jako ochrana prostředků clusteru před neoprávněným přístupem.
Správce může zobrazit a nahlásit veškerý přístup k prostředkům a datům clusteru HDInsight. Správce může zobrazit a nahlásit změny zásad řízení přístupu.
Pokud chcete získat přístup k protokolům auditu Apache Ranger a Ambari a protokolům přístupu ssh, povolte Azure Monitor a zobrazte tabulky, které poskytují záznamy auditování.
Šifrování
Ochrana dat je důležitá pro splnění požadavků organizace na zabezpečení a dodržování předpisů. Kromě omezení přístupu k datům od neoprávněných zaměstnanců byste je měli zašifrovat.
HDInsight podporuje šifrování neaktivních uložených dat s využitím spravovaných klíčů platformy i klíčů spravovaných zákazníkem. Šifrování přenášených dat se zpracovává pomocí protokolu TLS i IPSec. Další informace najdete v tématu Šifrování při přenosu pro Azure HDInsight .
Dodržování předpisů
Nabídky dodržování předpisů Azure jsou založené na různých typech záruk, včetně formálních certifikací. Také ověření identity, ověření a autorizace. Posouzení vytvořená nezávislými auditorskými firmami třetích stran. Smluvní změny, sebehodnocení a dokumenty s pokyny pro zákazníky vytvořené Společností Microsoft. Informace o dodržování předpisů HDInsight najdete v Centru zabezpečení Microsoftu a přehled dodržování předpisů Microsoft Azure.
Model sdílené odpovědnosti
Následující obrázek shrnuje hlavní oblasti zabezpečení systému a řešení zabezpečení, která jsou pro vás k dispozici v každém z nich. Také zdůrazňuje, které oblasti zabezpečení jsou vaší odpovědností za zákazníka. A které oblasti jsou zodpovědní za HDInsight jako poskytovatele služeb.
Následující tabulka obsahuje odkazy na prostředky pro každý typ řešení zabezpečení.
| Oblast zabezpečení | Dostupná řešení | Zodpovědná strana |
|---|---|---|
| Zabezpečení přístupu k datům | Konfigurace seznamů ACL řízení přístupu pro Azure Data Lake Storage Gen1 a Gen2 | Zákazník |
| U účtů úložiště povolte vlastnost Zabezpečený přenos . | Zákazník | |
| Konfigurace bran firewall služby Azure Storage a virtuálních sítí | Zákazník | |
| Konfigurace koncových bodů služby virtuální sítě Azure pro službu Azure Cosmos DB a Azure SQL DB | Zákazník | |
| Ujistěte se, že je funkce Šifrování při přenosu povolená pro komunikaci v rámci clusteru pomocí protokolu TLS a IPSec. | Zákazník | |
| Konfigurace klíčů spravovaných zákazníkem pro šifrování služby Azure Storage | Zákazník | |
| Řízení přístupu k datům podpora Azure pomocí customer lockboxu | Zákazník | |
| Zabezpečení aplikací a middlewarů | Integrace s AAD-DS a konfigurací ESP nebo použití HIB pro ověřování OAuth | Zákazník |
| Konfigurace zásad autorizace Apache Ranger | Zákazník | |
| Použití protokolů služby Azure Monitor | Zákazník | |
| Zabezpečení operačního systému | Vytváření clusterů s nejnovější zabezpečenou základní imagí | Zákazník |
| Zajištění oprav operačního systému v pravidelných intervalech | Zákazník | |
| Zajištění šifrování disků CMK pro virtuální počítače | Zákazník | |
| Zabezpečení sítě | Konfigurace virtuální sítě | |
| Konfigurace pravidel skupiny zabezpečení sítě (NSG) příchozích přenosů nebo privátního propojení | Zákazník | |
| Konfigurace omezení odchozího provozu pomocí brány firewall | Zákazník | |
| Konfigurace šifrování IPSec při přenosu mezi uzly clusteru | Zákazník | |
| Virtualizovaná infrastruktura | – | HDInsight (poskytovatel cloudu) |
| Zabezpečení fyzické infrastruktury | – | HDInsight (poskytovatel cloudu) |