Zabezpečení sítě pro Azure Data Explorer
Clustery Azure Data Explorer jsou navržené tak, aby byly přístupné pomocí veřejných adres URL. Kdokoli s platnou identitou v clusteru k němu může přistupovat z libovolného místa. Zabezpečení dat jako organizace může být jedním z vašich úkolů s nejvyšší prioritou. Proto můžete chtít omezit a zabezpečit přístup ke clusteru nebo dokonce povolit přístup ke clusteru jenom prostřednictvím privátní virtuální sítě. K dosažení tohoto cíle můžete použít jednu z následujících možností:
- Privátní koncový bod (doporučeno)
- Injektáž virtuální sítě
Důrazně doporučujeme používat privátní koncové body k zabezpečení síťového přístupu ke clusteru. Tato možnost má oproti injektáži virtuální sítě řadu výhod, které mají za následek nižší režii na údržbu, včetně jednoduššího procesu nasazení a robustnějšího přístupu ke změnám virtuální sítě.
Následující část vysvětluje, jak zabezpečit cluster pomocí privátních koncových bodů a injektáže virtuální sítě.
Privátní koncový bod
Privátní koncový bod je síťové rozhraní, které používá privátní IP adresy z vaší virtuální sítě. Toto síťové rozhraní vás soukromě a bezpečně připojí ke clusteru využívajícímu Azure Private Link. Povolením privátního koncového bodu přenesete tu službu do své virtuální sítě.
K úspěšnému nasazení clusteru do privátního koncového bodu potřebujete jenom sadu privátních IP adres.
Poznámka
Privátní koncové body se nepodporují pro cluster vložený do virtuální sítě.
Injektáž virtuální sítě
Důležité
Zvažte řešení založené na privátním koncovém bodu Azure pro implementaci zabezpečení sítě pomocí Azure Data Explorer. Je méně náchylný k chybám a poskytuje paritu funkcí.
Injektáž virtuální sítě umožňuje přímo nasadit cluster do virtuální sítě. Ke clusteru je možné přistupovat soukromě z virtuální sítě a přes bránu VPN nebo azure ExpressRoute z místních sítí. Vložení clusteru do virtuální sítě umožňuje spravovat veškerý jeho provoz. To zahrnuje provoz pro přístup ke clusteru a veškerý příjem nebo export dat. Kromě toho zodpovídáte za to, že microsoftu povolíte přístup ke clusteru za účelem správy a monitorování stavu.
Pokud chcete úspěšně vložit cluster do virtuální sítě, musíte nakonfigurovat virtuální síť tak, aby splňovala následující požadavky:
- Pokud chcete službu povolit a definovat její předpoklady pro nasazení ve formě zásad záměru sítě, musíte podsíť delegovat na Microsoft.Kusto/clusters.
- Podsíť musí být dobře škálovaná, aby podporovala budoucí růst využití clusteru.
- Ke správě clusteru a zajištění, že je cluster v pořádku, jsou potřeba dvě veřejné IP adresy.
- Pokud k zabezpečení sítě používáte další zařízení brány firewall, musíte clusteru povolit připojení k sadě plně kvalifikovaných názvů domén pro odchozí provoz.
Privátní koncový bod vs. injektáž virtuální sítě
Injektáž virtuální sítě může vést k vysoké režii údržby v důsledku podrobností implementace, jako je údržba seznamů plně kvalifikovaných názvů domény v branách firewall nebo nasazení veřejných IP adres v omezeném prostředí. Proto doporučujeme pro připojení ke clusteru použít privátní koncový bod.
Následující tabulka ukazuje, jak je možné implementovat funkce související se zabezpečením sítě na základě clusteru vloženého do virtuální sítě nebo zabezpečeného pomocí privátního koncového bodu.
| Funkce | Privátní koncový bod | Injektáž virtuální sítě |
|---|---|---|
| Filtrování příchozích IP adres | Správa veřejného přístupu | Vytvoření příchozího pravidla skupiny zabezpečení sítě |
| Tranzitivní přístup k dalším službám (Storage, Event Hubs atd.) | Vytvoření spravovaného privátního koncového bodu | Vytvoření privátního koncového bodu pro prostředek |
| Omezení odchozího přístupu | Použití zásad popisku nebo seznamu AllowedFQDNList | Použití virtuálního zařízení k filtrování odchozího provozu podsítě |
Související obsah
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro