Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek obsahuje úvod do zabezpečení v Azure Data Exploreru, který vám pomůže chránit vaše data a prostředky v cloudu a splňovat požadavky vaší firmy na zabezpečení. Je důležité zajistit zabezpečení clusterů. Zabezpečení clusterů zahrnuje jednu nebo více funkcí Azure, které poskytují zabezpečený přístup a úložiště. Tento článek obsahuje informace, které vám pomůžou zajistit zabezpečení clusteru.
Další zdroje informací o dodržování předpisů pro vaši firmu nebo organizaci najdete v dokumentaci k dodržování předpisů Azure.
Zabezpečení sítě
Zabezpečení sítě je požadavek sdílený mnoha podnikovými zákazníky s vědomím zabezpečení. Cílem je izolovat síťový provoz a omezit prostor pro útoky pro Azure Data Explorer a odpovídající komunikaci. Můžete blokovat provoz pocházející ze síťových segmentů mimo Azure Data Explorer a zajistit, aby se do koncových bodů Azure Data Exploreru dostal pouze provoz ze známých zdrojů. Tato ochrana zahrnuje provoz pocházející z místního prostředí nebo mimo Azure, směrovaný do Azure a naopak směrovaný zpět.
Azure Data Explorer podporuje privátní koncové body pro zajištění izolace a zabezpečení sítě. Privátní koncové body poskytují bezpečný způsob, jak se připojit ke clusteru Azure Data Exploreru pomocí privátní IP adresy z vaší virtuální sítě a efektivně tak službu převést do vaší virtuální sítě. Tato konfigurace zajišťuje, že provoz mezi vaší virtuální sítí a službou prochází přes páteřní síť Microsoftu a eliminuje riziko ohrožení z veřejného internetu.
Další informace o konfiguraci privátních koncových bodů pro váš cluster najdete v tématu Privátní koncový bod.
Identita a řízení přístupu
Řízení přístupu na základě role
Pomocí řízení přístupu na základě role (RBAC) oddělte povinnosti a udělte pouze požadovaný přístup uživatelům clusteru. Místo udělení neomezených oprávnění všem v clusteru povolte provádění určitých akcí jenom uživatelům přiřazeným ke konkrétním rolím. Řízení přístupu pro databáze můžete nakonfigurovat na webu Azure Portal pomocí Azure CLI nebo Azure PowerShellu.
Spravované identity pro prostředky Azure
Běžným problémem při vytváření cloudových aplikací je správa přihlašovacích údajů v kódu pro ověřování v cloudových službách. Zajištění zabezpečení těchto přihlašovacích údajů je důležitý úkol. Přihlašovací údaje byste neměli ukládat na pracovní stanice vývojářů ani je zkontrolovat ve správě zdrojového kódu. Azure Key Vault nabízí možnost bezpečného ukládání přihlašovacích údajů, tajných kódů a dalších klíčů, ale váš kód se musí ověřit ve službě Key Vault, aby je mohl načíst.
Tento problém řeší funkce spravovaných identit Microsoft Entra pro prostředky Azure. Tato funkce poskytuje službám Azure automaticky spravovanou identitu v Microsoft Entra ID. Identitu můžete použít k ověření ve všech službách, které podporují ověřování Microsoft Entra, včetně služby Key Vault, bez jakýchkoli přihlašovacích údajů ve vašem kódu. Další informace o této službě najdete na stránce přehledu spravovaných identit pro prostředky Azure .
Ochrana dat
Šifrování disků Azure
Azure Disk Encryption pomáhá chránit a chránit vaše data, abyste mohli splnit závazky organizace týkající se zabezpečení a dodržování předpisů. Poskytuje šifrování svazků pro disky s operačním systémem a daty virtuálních počítačů vašeho clusteru. Azure Disk Encryption se také integruje se službou Azure Key Vault, kterou můžete použít k řízení a správě šifrovacích klíčů a tajných kódů disků a k zajištění šifrování všech dat na discích virtuálního počítače.
Klíče spravované zákazníkem s využitím Azure Key Vaultu
Klíče spravované Microsoftem ve výchozím nastavení šifrují data. Pokud chcete mít větší kontrolu nad šifrovacími klíči, poskytněte klíče spravované zákazníkem pro šifrování dat. Šifrování dat můžete spravovat na úrovni úložiště pomocí vlastních klíčů. Klíč spravovaný zákazníkem chrání a řídí přístup ke kořenovému šifrovacímu klíči, který šifruje a dešifruje všechna data. Klíče spravované zákazníkem poskytují větší flexibilitu při vytváření, obměně, zákazu a odvolávání řízení přístupu. Můžete také auditovat šifrovací klíče, které chrání vaše data.
K ukládání klíčů spravovaných zákazníkem použijte Azure Key Vault. Můžete vytvořit vlastní klíče a uložit je do trezoru klíčů nebo můžete použít rozhraní API služby Azure Key Vault ke generování klíčů. Cluster Azure Data Exploreru a Azure Key Vault musí být ve stejné oblasti, ale můžou být v různých předplatných. Další informace o službě Azure Key Vault najdete v tématu Co je Azure Key Vault? Podrobné vysvětlení klíčů spravovaných zákazníkem najdete v tématu Klíče spravované zákazníkem pomocí služby Azure Key Vault. Nakonfigurujte klíče spravované zákazníkem v clusteru Azure Data Exploreru pomocí portálu, C#, šablony Azure Resource Manageru, rozhraní příkazového řádku nebo PowerShellu.
Poznámka:
Klíče spravované zákazníkem spoléhají na spravované identity pro prostředky Azure, což je funkce Microsoft Entra ID. Pokud chcete nakonfigurovat klíče spravované zákazníkem na webu Azure Portal, nakonfigurujte spravovanou identitu pro váš cluster, jak je popsáno v tématu Konfigurace spravovaných identit pro cluster Azure Data Exploreru.
Ukládání klíčů spravovaných zákazníkem ve službě Azure Key Vault
Pokud chcete povolit klíče spravované zákazníkem v clusteru, uložte klíče pomocí služby Azure Key Vault. V trezoru klíčů musíte povolit vlastnosti Měkké odstranění a Nepurge. Trezor klíčů musí být ve stejné oblasti jako cluster. Azure Data Explorer používá spravované identity pro prostředky Azure k ověření v trezoru klíčů pro operace šifrování a dešifrování. Spravované identity nepodporují scénáře napříč adresáři.
Rotace klíčů spravovaných zákazníkem
Klíč spravovaný zákazníkem můžete ve službě Azure Key Vault otočit podle zásad dodržování předpisů. Pokud chcete klíč otočit, aktualizujte verzi klíče nebo vytvořte nový klíč ve službě Azure Key Vault a pak cluster aktualizujte tak, aby šifruje data pomocí nového identifikátoru URI klíče. Tyto kroky můžete provést pomocí Azure CLI nebo na portálu. Otočení klíčem neaktivuje nové zašifrování existujících dat v clusteru.
Když otáčíte klíčem, obvykle určíte stejnou identitu, která se používá při vytváření clusteru. Volitelně můžete nakonfigurovat novou identitu přiřazenou uživatelem pro přístup ke klíči nebo povolit a zadat identitu přiřazenou systémem clusteru.
Poznámka:
Ujistěte se, že jsou požadovaná oprávnění Get, Unwrap Key a Wrap Key nastavená pro identitu, kterou nakonfigurujete pro přístup ke klíči.
Aktualizace verze klíče
Běžným scénářem je aktualizace verze klíče používaného jako klíč spravovaný zákazníkem. V závislosti na konfiguraci šifrování clusteru se klíč spravovaný zákazníkem v clusteru automaticky aktualizuje nebo ho musíte aktualizovat ručně.
Odvolání přístupu ke klíčům spravovaným zákazníkem
Pokud chcete odvolat přístup ke klíčům spravovaným zákazníkem, použijte PowerShell nebo Azure CLI. Další informace najdete v PowerShellu služby Azure Key Vault nebo v rozhraní příkazového řádku služby Azure Key Vault. Odvolání přístupu blokuje přístup ke všem datům na úrovni úložiště clusteru, protože šifrovací klíč je v důsledku toho nepřístupný Azure Data Explorerem.
Poznámka:
Když Azure Data Explorer zjistí, že přístup k klíči spravovanému zákazníkem je odvolán, cluster automaticky pozastaví a odstraní všechna data uložená v mezipaměti. Jakmile se vrátí přístup ke klíči, cluster se automaticky obnoví.