Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Einführung in die Sicherheit in Azure Data Explorer, um Sie beim Schutz Ihrer Daten und Ressourcen in der Cloud sowie bei der Erfüllung der Sicherheitsanforderungen Ihres Unternehmens zu unterstützen. Es ist wichtig, Ihre Cluster sicher zu halten. Das Sichern Ihrer Cluster umfasst eine oder mehrere Azure-Features, die sicheren Zugriff und Speicher bieten. Dieser Artikel enthält hilfreiche Informationen zum Schutz Ihres Clusters.
Weitere Ressourcen zur Compliance für Ihr Unternehmen oder Ihre Organisation finden Sie in der Dokumentation zur Azure-Compliance.
Netzwerksicherheit
Die Netzwerksicherheit ist eine Anforderung, die von vielen sicherheitsbewussten Unternehmenskunden gemeinsam genutzt wird. Die Absicht besteht darin, den Netzwerkdatenverkehr zu isolieren und die Angriffsfläche für Azure Data Explorer und die entsprechende Kommunikation zu reduzieren. Sie können den Datenverkehr blockieren, der von Nicht-Azure Data Explorer-Netzwerksegmenten stammt, und sicherstellen, dass nur Datenverkehr aus bekannten Quellen Azure Data Explorer-Endpunkte erreicht. Dieser Schutz umfasst Datenverkehr, der lokal oder außerhalb von Azure stammt, mit einem Azure-Ziel und umgekehrt.
Azure Data Explorer unterstützt private Endpunkte, um Netzwerkisolation und Sicherheit zu erreichen. Private Endpunkte bieten eine sichere Möglichkeit, eine Verbindung mit Ihrem Azure Data Explorer-Cluster mithilfe einer privaten IP-Adresse aus Ihrem virtuellen Netzwerk herzustellen und den Dienst effektiv in Ihr VNet zu integrieren. Diese Konfiguration stellt sicher, dass der Datenverkehr zwischen Ihrem VNet und dem Dienst über das Microsoft-Backbone-Netzwerk wechselt, wodurch die Gefährdung durch das öffentliche Internet eliminiert wird.
Weitere Informationen zum Konfigurieren privater Endpunkte für Ihren Cluster finden Sie unter "Privater Endpunkt".
Identität und Zugriffssteuerung
Rollenbasierte Zugriffssteuerung
Verwenden Sie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), um Aufgaben zu verteilen und den Zugriff von Clusterbenutzern auf das Nötigste zu beschränken. Statt allen uneingeschränkten Berechtigungen für den Cluster zu gewähren, dürfen nur Benutzer, die bestimmten Rollen zugewiesen sind, bestimmte Aktionen ausführen. Sie können die Zugriffssteuerung für die Datenbanken im Azure-Portal mithilfe der Azure CLI oder Azure PowerShell konfigurieren.
Verwaltete Identitäten für Azure-Ressourcen
Eine gängige Herausforderung beim Erstellen von Cloudanwendungen ist die Verwaltung der Anmeldeinformationen im Code, die für die Authentifizierung bei Clouddiensten erforderlich sind. Der Schutz dieser Anmeldeinformationen ist eine wichtige Aufgabe. Sie sollten die Anmeldeinformationen nicht auf Entwicklerarbeitsstationen speichern oder in die Quellcodeverwaltung einchecken. Azure Key Vault bietet eine Möglichkeit zum sicheren Speichern von Anmeldeinformationen, Geheimnissen und anderen Schlüsseln. Um diese abrufen zu können, muss sich Ihr Code jedoch bei Key Vault authentifizieren.
Das Microsoft Entra Feature für verwaltete Identitäten für Azure-Ressourcen löst dieses Problem. Die Funktion stellt automatisch verwaltete Identitäten für Azure-Dienste in Microsoft Entra ID bereit. Sie können sich mit der Identität bei jedem Dienst authentifizieren, der die Microsoft Entra-Authentifizierung, einschließlich Key Vault, ohne Anmeldeinformationen in Ihrem Code unterstützt. Weitere Informationen zu diesem Dienst finden Sie auf der Übersichtsseite für verwaltete Identitäten für Azure-Ressourcen .
Datenschutz
Azure Disk Encryption
Azure Disk Encryption trägt dazu bei, Ihre Daten zu schützen, damit Sie die Sicherheits- und Complianceverpflichtungen Ihrer Organisation erfüllen können. Der Dienst bietet Volumeverschlüsselung für die Betriebssystem- und Datenträger der virtuellen Computer Ihres Clusters. Azure Disk Encryption ist auch in Azure Key Vault integriert, mit dem Sie die Verschlüsselungsschlüssel und geheimen Schlüssel des Datenträgers steuern und verwalten können, und stellen Sie sicher, dass alle Daten auf den VM-Datenträgern verschlüsselt sind.
Von Kunden verwaltete Schlüssel mit Azure Key Vault
Standardmäßig verschlüsseln von Microsoft verwaltete Schlüssel Daten. Um zusätzliche Kontrolle über Verschlüsselungsschlüssel zu erhalten, stellen Sie vom Kunden verwaltete Schlüssel für die Datenverschlüsselung bereit. Sie können die Verschlüsselung Ihrer Daten auf Speicherebene mithilfe ihrer eigenen Schlüssel verwalten. Ein vom Kunden verwalteter Schlüssel schützt und steuert den Zugriff auf den Stammverschlüsselungsschlüssel, der alle Daten verschlüsselt und entschlüsselt. Vom Kunden verwaltete Schlüssel bieten Ihnen mehr Flexibilität beim Erstellen, Drehen, Deaktivieren und Widerrufen von Zugriffssteuerungen. Sie können auch die Verschlüsselungsschlüssel überwachen, die Ihre Daten schützen.
Verwenden Sie Azure Key Vault, um Ihre kundenseitig verwalteten Schlüssel zu speichern. Sie können Ihre eigenen Schlüssel erstellen und in einem Schlüsseltresor speichern oder eine Azure Key Vault-API verwenden, um Schlüssel zu generieren. Der Azure Data Explorer-Cluster und die Azure Key Vault-Instanz müssen sich in der gleichen Region befinden, können aber zu verschiedenen Abonnements gehören. Weitere Informationen zum Azure Key Vault finden Sie unter What is Azure Key Vault? (Was ist der Azure Key Vault?). Eine ausführliche Erläuterung zu vom Kunden verwalteten Schlüsseln finden Sie unter "Vom Kunden verwaltete Schlüssel" mit Azure Key Vault. Konfigurieren Sie vom Kunden verwaltete Schlüssel in Ihrem Azure Data Explorer-Cluster mithilfe der Vorlage "Portal", "C#", "Azure Resource Manager", "CLI" oder " PowerShell".
Hinweis
Kundenseitig verwaltete Schlüssel basieren auf den verwalteten Identitäten von Azure-Ressourcen, einem Feature von Microsoft Entra ID. Wenn Sie kundenseitig verwaltete Schlüssel im Azure-Portal konfigurieren möchten, konfigurieren Sie für Ihren Cluster eine verwaltete Identität, wie in Konfigurieren verwalteter Identitäten für Ihren Azure Data Explorer-Cluster beschrieben.
Speichern von kundenseitig verwalteten Schlüsseln in Azure Key Vault
Wenn Sie kundenseitig verwaltete Schlüssel für einen Cluster aktivieren möchten, speichern Sie Ihre Schlüssel in einer Azure Key Vault-Instanz. Sie müssen die Eigenschaften Vorläufiges Löschen und Nicht bereinigen im Schlüsseltresor aktivieren. Der Schlüsseltresor muss sich in derselben Region wie der Cluster befinden. Azure Data Explorer verwendet verwaltete Identitäten für Azure-Ressourcen, um sich beim Key Vault für Verschlüsselungs- und Entschlüsselungsvorgänge zu authentifizieren. Verwaltete Identitäten unterstützen keine verzeichnisübergreifenden Szenarien.
Rotation von kundenseitig verwalteten Schlüsseln
Sie können einen vom Kunden verwalteten Schlüssel in Azure Key Vault entsprechend Ihren Konformitätsrichtlinien rotieren. Um einen Schlüssel zu drehen, aktualisieren Sie die Schlüsselversion, oder erstellen Sie einen neuen Schlüssel in Azure Key Vault, und aktualisieren Sie dann den Cluster, um Daten mithilfe des neuen Schlüssel-URI zu verschlüsseln. Sie können diese Schritte mithilfe der Azure CLI oder im Portal ausführen. Durch Rotieren des Schlüssels werden die vorhandenen Daten im Cluster nicht erneut verschlüsselt.
Wenn Sie einen Schlüssel drehen, geben Sie in der Regel dieselbe Identität an, die beim Erstellen des Clusters verwendet wird. Optional konfigurieren Sie eine neue benutzerseitig zugewiesene Identität für den Schlüsselzugriff, oder Sie aktivieren die systemseitig zugewiesene Identität des Clusters und geben diese an.
Hinweis
Vergewissern Sie sich, dass für die Identität, die Sie für den Schlüsselzugriff konfigurieren, die erforderlichen Berechtigungen Abrufen, Schlüssel entpacken und Schlüssel packen festgelegt sind.
Aktualisieren der Schlüsselversion
Ein verbreitetes Szenario ist das Aktualisieren der Version des Schlüssels, der als kundenseitig verwalteter Schlüssel verwendet wird. Je nachdem, wie Sie die Clusterverschlüsselung konfigurieren, wird der vom Kunden verwaltete Schlüssel im Cluster automatisch aktualisiert, oder Sie müssen ihn manuell aktualisieren.
Widerrufen des Zugriffs auf von Kunden verwaltete Schlüssel
Zum Widerrufen des Zugriffs auf von Kunden verwaltete Schlüssel können Sie PowerShell oder die Azure-Befehlszeilenschnittstelle verwenden. Weitere Informationen finden Sie unter Azure Key Vault – PowerShell oder Azure Key Vault – CLI. Durch Widerrufen des Zugriffs wird der Zugriff auf alle Daten auf der Speicherebene des Clusters blockiert, da Azure Data Explorer dann nicht mehr auf den Verschlüsselungsschlüssel zugreifen kann.
Hinweis
Wenn Azure Data Explorer identifiziert, dass der Zugriff auf einen vom Kunden verwalteten Schlüssel widerrufen wird, wird der Cluster automatisch angehalten, um zwischengespeicherte Daten zu löschen. Sobald der Zugriff auf den Schlüssel zurückgegeben wird, wird der Cluster automatisch fortgesetzt.