Zabezpečení v Azure Data Lake Storage Gen1
Mnoho podniků využívá analýzy velkých objemů dat pro obchodní přehledy, které jim pomůžou při inteligentních rozhodnutích. Organizace může mít složité a regulované prostředí s rostoucím počtem různorodých uživatelů. Pro podnik je důležité zajistit, aby se důležitá obchodní data ukládaly bezpečněji a měli správnou úroveň přístupu udělenou jednotlivým uživatelům. Azure Data Lake Storage Gen1 je navržena tak, aby těmto požadavkům na zabezpečení pomohla. V tomto článku se dozvíte o možnostech zabezpečení Data Lake Storage Gen1, mezi které patří:
- Authentication
- Autorizace
- Izolace sítě
- Ochrana dat
- Auditování
Ověřování a správa identit
Ověřování je proces, kterým se ověřuje identita uživatele při interakci s Data Lake Storage Gen1 nebo s jakoukoli službou, která se připojuje k Data Lake Storage Gen1. Pro správu identit a ověřování Data Lake Storage Gen1 používá Microsoft Entra ID, komplexní cloudové řešení správy identit a přístupu, které zjednodušuje správu uživatelů a skupin.
Každé předplatné Azure je možné přidružit k instanci Microsoft Entra ID. K vašemu účtu Data Lake Storage Gen1 mají přístup jenom uživatelé a identity služeb definované ve službě Microsoft Entra, a to pomocí Azure Portal, nástrojů příkazového řádku nebo klientských aplikací, které vaše organizace sestavuje pomocí sady DATA LAKE STORAGE GEN1 SDK. Hlavní výhody použití Microsoft Entra ID jako centralizovaného mechanismu řízení přístupu jsou:
- Zjednodušená správa životního cyklu identit. Identitu uživatele nebo služby (identitu instančního objektu) je možné rychle vytvořit a odvolat jednoduše odstraněním nebo zakázáním účtu v adresáři.
- Vícefaktorové ověřování. Vícefaktorové ověřování poskytuje další vrstvu zabezpečení pro přihlašování a transakce uživatelů.
- Ověřování z libovolného klienta prostřednictvím standardního otevřeného protokolu, například OAuth nebo OpenID.
- Federace s podnikovými adresářovými službami a poskytovateli cloudových identit
Autorizace a řízení přístupu
Jakmile Microsoft Entra ověří uživatele, aby mohl přistupovat k Data Lake Storage Gen1, autorizace řídí přístupová oprávnění pro Data Lake Storage Gen1. Data Lake Storage Gen1 odděluje autorizaci pro aktivity související s účtem a daty následujícím způsobem:
- Řízení přístupu na základě role v Azure (Azure RBAC) pro správu účtů
- Seznam ACL POSIX pro přístup k datům v úložišti
Azure RBAC pro správu účtů
Ve výchozím nastavení jsou pro Data Lake Storage Gen1 definovány čtyři základní role. Role umožňují různé operace s účtem Data Lake Storage Gen1 prostřednictvím Azure Portal, rutin PowerShellu a rozhraní REST API. Role Vlastník a Přispěvatel můžou na účtu provádět různé funkce správy. Roli Čtenář můžete přiřadit uživatelům, kteří jenom zobrazují data správy účtů.
Všimněte si, že i když jsou role přiřazené pro správu účtů, některé role mají vliv na přístup k datům. Pomocí seznamů ACL musíte řídit přístup k operacím, které může uživatel v systému souborů provádět. Následující tabulka obsahuje souhrn práv správy a přístupových práv k datům pro výchozí role.
| Role | Práva správy | Přístupová práva k datům | Vysvětlení |
|---|---|---|---|
| Nepřiřazená žádná role | Žádné | Řídí se seznamem ACL | Uživatel nemůže k procházení Data Lake Storage Gen1 použít rutiny Azure Portal nebo Azure PowerShell. Uživatel může používat jenom nástroje příkazového řádku. |
| Vlastník | Vše | Vše | Role Vlastník je superuživatel. Tato role může spravovat všechno a má úplný přístup k datům. |
| Čtenář | Jen pro čtení | Řídí se seznamem ACL | Role Čtenář může zobrazit vše, co se týká správy účtů, například který uživatel je přiřazen ke které roli. Role Čtenář nemůže provádět žádné změny. |
| Přispěvatel | Vše kromě přidávání a odebírání rolí | Řídí se seznamem ACL | Role Přispěvatel může spravovat některé aspekty účtu, například nasazení a vytváření a správu upozornění. Role Přispěvatel nemůže přidávat ani odebírat role. |
| Správce uživatelských přístupů | Přidání a odebrání rolí | Řídí se seznamem ACL | Role Správce uživatelských přístupů může spravovat přístup uživatelů k účtům. |
Pokyny najdete v tématu Přiřazení uživatelů nebo skupin zabezpečení k účtům Data Lake Storage Gen1.
Použití seznamů ACL pro operace v systémech souborů
Data Lake Storage Gen1 je hierarchický systém souborů, jako je HDFS (Hadoop Distributed File System), a podporuje seznamy ACL POSIX. Řídí oprávnění ke čtení (r), zápisu (w) a spouštění (x) k prostředkům pro roli Vlastník, pro skupinu Vlastníci a pro ostatní uživatele a skupiny. V Data Lake Storage Gen1 je možné seznamy ACL povolit v kořenové složce, v podsložkách a v jednotlivých souborech. Další informace o tom, jak seznamy ACL fungují v kontextu Data Lake Storage Gen1, najdete v tématu Řízení přístupu v Data Lake Storage Gen1.
Doporučujeme definovat seznamy ACL pro více uživatelů pomocí skupin zabezpečení. Přidejte uživatele do skupiny zabezpečení a pak přiřaďte seznamy ACL pro soubor nebo složku této skupině zabezpečení. To je užitečné v případě, že chcete poskytnout přiřazená oprávnění, protože pro přiřazená oprávnění jste omezeni na maximálně 28 položek. Další informace o lepším zabezpečení dat uložených v Data Lake Storage Gen1 pomocí Microsoft Entra skupin zabezpečení najdete v tématu Přiřazení uživatelů nebo skupin zabezpečení jako seznamů ACL k systému souborů Data Lake Storage Gen1.
Izolace sítě
Pomocí Data Lake Storage Gen1 můžete řídit přístup k úložišti dat na úrovni sítě. Můžete vytvořit brány firewall a definovat rozsah IP adres pro důvěryhodné klienty. U rozsahu IP adres se k Data Lake Storage Gen1 můžou připojit jenom klienti, kteří mají IP adresu v definovaném rozsahu.
Virtuální sítě Azure podporují značky služeb pro Data Lake Gen1. Značka služby představuje skupinu předpon IP adres z dané služby Azure. Microsoft spravuje předpony adres, které zahrnuje značka služby, a automaticky aktualizuje značku služby při změně adres. Další informace najdete v tématu Přehled značek služeb Azure.
Ochrana dat
Data Lake Storage Gen1 chrání vaše data po celý životní cyklus. Pro přenášená data používá Data Lake Storage Gen1 k zabezpečení dat přes síť standardní protokol TLS (Transport Layer Security).
Data Lake Storage Gen1 také poskytuje šifrování dat uložených v účtu. Můžete zvolit, aby se vaše data šifrovala, nebo zvolit možnost bez šifrování. Pokud se rozhodnete pro šifrování, data uložená v Data Lake Storage Gen1 se před uložením na trvalé médium zašifrují. V takovém případě Data Lake Storage Gen1 automaticky šifruje data před uložením a dešifruje data před načtením, takže je zcela transparentní pro klienta, který k datům přistupuje. Na straně klienta není nutná žádná změna kódu k šifrování nebo dešifrování dat.
Pro správu klíčů poskytuje Data Lake Storage Gen1 dva režimy pro správu hlavních šifrovacích klíčů (MEK), které se vyžadují k dešifrování všech dat uložených v Data Lake Storage Gen1. Můžete buď nechat Data Lake Storage Gen1 spravovat sady MEK za vás, nebo se rozhodnout zachovat vlastnictví sad MEK pomocí účtu Azure Key Vault. Režim správy klíčů zadáte při vytváření účtu Data Lake Storage Gen1. Další informace o tom, jak poskytnout konfiguraci související s šifrováním, najdete v tématu Začínáme s Azure Data Lake Storage Gen1 pomocí webu Azure Portal.
Protokoly aktivit a diagnostické protokoly
Protokoly aktivit nebo diagnostiky můžete použít v závislosti na tom, jestli hledáte protokoly pro aktivity související se správou účtů nebo aktivity související s daty.
- Aktivity související se správou účtů používají rozhraní API azure Resource Manager a zobrazují se v Azure Portal prostřednictvím protokolů aktivit.
- Aktivity související s daty používají rozhraní REST API WebHDFS a zobrazují se v Azure Portal prostřednictvím diagnostických protokolů.
Protokol aktivit
V souladu s předpisy může organizace vyžadovat odpovídající záznamy auditu aktivit správy účtů, pokud potřebuje prozkoumat konkrétní incidenty. Data Lake Storage Gen1 má integrované monitorování a protokoluje všechny aktivity správy účtů.
V případě protokolů auditu správy účtů zobrazte a zvolte sloupce, které chcete protokolovat. Protokoly aktivit můžete také exportovat do Služby Azure Storage.
Další informace o práci s protokoly aktivit najdete v tématu Zobrazení protokolů aktivit pro audit akcí u prostředků.
Protokoly diagnostiky
V Azure Portal můžete povolit audit přístupu k datům a protokolování diagnostiky a odesílat protokoly do účtu služby Azure Blob Storage, centra událostí nebo protokolů služby Azure Monitor.
Další informace o práci s diagnostickými protokoly s Data Lake Storage Gen1 najdete v tématu Přístup k diagnostickým protokolům pro Data Lake Storage Gen1.
Souhrn
Podnikoví zákazníci vyžadují cloudovou platformu pro analýzu dat, která je zabezpečená a snadno použitelná. Data Lake Storage Gen1 pomáhá řešit tyto požadavky prostřednictvím správy identit a ověřování prostřednictvím integrace Microsoft Entra, autorizace na základě seznamu ACL, izolace sítě, šifrování dat při přenosu a neaktivních uložených dat a auditování.
Pokud chcete vidět nové funkce v Data Lake Storage Gen1, pošlete nám svůj názor na fóru Data Lake Storage Gen1 UserVoice.