Sdílet prostřednictvím


Zabezpečení v Azure Data Explorer

Tento článek obsahuje úvod do zabezpečení v Azure Data Explorer, který vám pomůže ochránit vaše data a prostředky v cloudu a splnit potřeby zabezpečení vaší firmy. Je důležité udržovat clustery zabezpečené. Zabezpečení clusterů zahrnuje jednu nebo více funkcí Azure, které zahrnují zabezpečený přístup a úložiště. Tento článek obsahuje informace, které vám pomůžou zajistit zabezpečení clusteru.

Další zdroje týkající se dodržování předpisů pro vaši firmu nebo organizaci najdete v dokumentaci k dodržování předpisů v Azure.

Zabezpečení sítě

Zabezpečení sítě je požadavek, který sdílí mnoho našich podnikových zákazníků, kteří dbá na zabezpečení. Záměrem je izolovat síťový provoz a omezit prostor pro útok na Data Explorer Azure a odpovídající komunikaci. Můžete proto blokovat provoz pocházející z Data Explorer síťových segmentů mimo Azure a zajistit, aby se ke koncovým bodům Azure Data Explorer dostal pouze provoz ze známých zdrojů. To zahrnuje provoz pocházející z místního prostředí nebo mimo Azure, s cílem Azure a naopak. Azure Data Explorer k dosažení tohoto cíle podporuje následující funkce:

K zabezpečení síťového přístupu ke clusteru důrazně doporučujeme používat privátní koncové body. Tato možnost má oproti injektáži virtuální sítě řadu výhod, které mají za následek nižší režii na údržbu, včetně jednoduššího procesu nasazení a robustnějšího přístupu ke změnám virtuální sítě.

Identita a řízení přístupu

Řízení přístupu na základě role

Pomocí řízení přístupu na základě role (RBAC) oddělte povinnosti a udělte uživatelům clusteru jenom požadovaný přístup. Místo toho, abyste všem udělili neomezená oprávnění ke clusteru, můžete povolit provádění určitých akcí jenom uživatelům přiřazeným k určitým rolím. Řízení přístupu pro databáze v Azure Portal můžete nakonfigurovat pomocí Azure CLI nebo Azure PowerShell.

Spravované identity pro prostředky Azure

Běžnou výzvou při sestavování cloudových aplikací je správa přihlašovacích údajů v kódu pro ověřování v cloudových službách. Zajištění zabezpečení těchto přihlašovacích údajů je důležitý úkol. Přihlašovací údaje by neměly být uložené na vývojářských pracovních stanicích ani se změnami ve správě zdrojového kódu. Azure Key Vault nabízí možnost bezpečného ukládání přihlašovacích údajů, tajných kódů a dalších klíčů, ale váš kód se musí ověřit ve službě Key Vault, aby je mohl načíst.

Tento problém řeší funkce Microsoft Entra spravovaných identit pro prostředky Azure. Tato funkce poskytuje službám Azure automaticky spravovanou identitu ve Microsoft Entra ID. Identitu můžete použít k ověření u jakékoli služby, která podporuje ověřování Microsoft Entra, včetně Key Vault, bez přihlašovacích údajů v kódu. Další informace o této službě najdete na stránce s přehledem spravovaných identit pro prostředky Azure .

Ochrana dat

Azure Disk Encryption

Azure Disk Encryption pomáhá chránit a chránit vaše data, aby se splnily závazky organizace v oblasti zabezpečení a dodržování předpisů. Poskytuje šifrování svazků pro disky s operačním systémem a datové disky virtuálních počítačů vašeho clusteru. Azure Disk Encryption se také integruje s Azure Key Vault, což nám umožňuje řídit a spravovat šifrovací klíče a tajné kódy disků a zajistit šifrování všech dat na discích virtuálních počítačů.

Klíče spravované zákazníkem s využitím Azure Key Vaultu

Ve výchozím nastavení se data šifrují pomocí klíčů spravovaných Microsoftem. Pokud chcete získat další kontrolu nad šifrovacími klíči, můžete zadat klíče spravované zákazníkem, které se použijí k šifrování dat. Šifrování dat můžete spravovat na úrovni úložiště pomocí vlastních klíčů. Klíč spravovaný zákazníkem slouží k ochraně a řízení přístupu ke kořenovému šifrovacímu klíči, který slouží k šifrování a dešifrování všech dat. Klíče spravované zákazníkem nabízejí větší flexibilitu při vytváření, obměně, zakazovávání a odvolávání řízení přístupu. Šifrovací klíče sloužící k ochraně vašich dat můžete také auditovat.

K uložení klíčů spravovaných zákazníkem použijte Azure Key Vault. Můžete vytvořit vlastní klíče a uložit je do trezoru klíčů, nebo můžete k vygenerování klíčů použít azure Key Vault API. Cluster Azure Data Explorer a azure Key Vault musí být ve stejné oblasti, ale můžou být v různých předplatných. Další informace o Azure Key Vault najdete v tématu Co je Azure Key Vault?. Podrobné vysvětlení klíčů spravovaných zákazníkem najdete v tématu Klíče spravované zákazníkem pomocí Azure Key Vault. Konfigurace klíčů spravovaných zákazníkem v clusteru Azure Data Explorer pomocí portálu, jazyka C#, šablony Azure Resource Manager, rozhraní příkazového řádku nebo PowerShellu

Poznámka

Klíče spravované zákazníkem spoléhají na spravované identity pro prostředky Azure, funkci id Microsoft Entra. Pokud chcete nakonfigurovat klíče spravované zákazníkem v Azure Portal, nakonfigurujte spravovanou identitu pro váš cluster podle popisu v tématu Konfigurace spravovaných identit pro cluster Azure Data Explorer.

Uložení klíčů spravovaných zákazníkem v Azure Key Vault

Pokud chcete povolit klíče spravované zákazníkem v clusteru, použijte k uložení klíčů Key Vault Azure. V trezoru klíčů musíte povolit vlastnosti Obnovitelné odstranění i Nevyprázdnit . Trezor klíčů musí být umístěný ve stejné oblasti jako cluster. Azure Data Explorer používá spravované identity pro prostředky Azure k ověřování v trezoru klíčů pro operace šifrování a dešifrování. Spravované identity nepodporují scénáře mezi adresáři.

Obměna klíčů spravovaných zákazníkem

Klíč spravovaný zákazníkem můžete v Azure Key Vault obměňovat podle zásad dodržování předpisů. Pokud chcete klíč obměňovat, v Azure Key Vault aktualizujte verzi klíče nebo vytvořte nový klíč a pak aktualizujte cluster tak, aby šifruje data pomocí nového identifikátoru URI klíče. Tyto kroky můžete provést pomocí Azure CLI nebo na portálu. Obměně klíče neaktivuje opětovné šifrování existujících dat v clusteru.

Při obměně klíče obvykle zadáte stejnou identitu, která se používá při vytváření clusteru. Volitelně můžete nakonfigurovat novou identitu přiřazenou uživatelem pro přístup ke klíči nebo povolit a zadat identitu přiřazenou systémem clusteru.

Poznámka

Ujistěte se, že jsou pro identitu, kterou konfigurujete pro přístup ke klíči, nastavená požadovaná oprávnění Získat, Rozbalit klíč a Zabalit klíč.

Aktualizace verze klíče

Běžným scénářem je aktualizace verze klíče, který se používá jako klíč spravovaný zákazníkem. V závislosti na konfiguraci šifrování clusteru se klíč spravovaný zákazníkem v clusteru aktualizuje automaticky nebo se musí aktualizovat ručně.

Odvolání přístupu ke klíčům spravovaným zákazníkem

Pokud chcete odvolat přístup ke klíčům spravovaným zákazníkem, použijte PowerShell nebo Azure CLI. Další informace najdete v tématu Azure Key Vault PowerShell nebo Azure Key Vault CLI. Odvolání přístupu zablokuje přístup ke všem datům na úrovni úložiště clusteru, protože šifrovací klíč je následně pro Azure Data Explorer nedostupný.

Poznámka

Když Azure Data Explorer zjistí, že došlo k odvolání přístupu ke klíči spravovanému zákazníkem, automaticky pozastaví cluster, aby se odstranila všechna data uložená v mezipaměti. Jakmile se vrátí přístup ke klíči, cluster se automaticky obnoví.