Sicherheit in Azure Data Explorer
Dieser Artikel enthält eine Einführung in die Sicherheit in Azure Data Explorer, um Sie beim Schutz Ihrer Daten und Ressourcen in der Cloud sowie bei der Erfüllung der Sicherheitsanforderungen Ihres Unternehmens zu unterstützen. Clusterschutz ist wichtig. Für den Schutz Ihrer Cluster stehen unter anderem Azure-Features für sicheren Zugriff und Speicher zur Verfügung. Dieser Artikel enthält hilfreiche Informationen zum Schutz Ihres Clusters.
Weitere Ressourcen zur Compliance für Ihr Unternehmen oder organization finden Sie in der Dokumentation zur Azure-Compliance.
Netzwerksicherheit
Netzwerksicherheit ist eine Anforderung, die von vielen unserer sicherheitsbewussten Unternehmenskunden geteilt wird. Die Absicht besteht darin, den Netzwerkdatenverkehr zu isolieren und die Angriffsfläche für Azure Data Explorer und die entsprechende Kommunikation zu reduzieren. Daher können Sie Datenverkehr aus Azure Data Explorer-fremden Netzwerksegmenten blockieren und sicherstellen, dass nur Datenverkehr aus bekannten Quellen Azure Data Explorer-Endpunkte erreicht. Dies beinhaltet auch den Datenverkehr aus einer lokalen Umgebung oder einer Umgebung außerhalb von Azure mit einem Azure-Ziel und umgekehrt. Azure Data Explorer unterstützt die folgenden Features, um dieses Ziel zu erreichen:
Es wird dringend empfohlen, private Endpunkte zu verwenden, um den Netzwerkzugriff auf Ihren Cluster zu schützen. Diese Option hat viele Vorteile gegenüber der Einbindung in ein virtuelles Netzwerk, die insgesamt zur Verringerung des Wartungsaufwands beitragen. Zu diesen Vorteilen zählen unter anderem ein einfacherer Bereitstellungsprozess und eine höhere Stabilität bei VNet-Änderungen.
Identität und Zugriffssteuerung
Rollenbasierte Zugriffssteuerung
Verwenden Sie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), um Aufgaben zu verteilen und den Zugriff von Clusterbenutzern auf das Nötigste zu beschränken. Sie haben die Möglichkeit, nur Benutzern, denen spezifische Rollen zugewiesen sind, die Ausführung bestimmter Aktionen zu erlauben, anstatt allen Benutzern uneingeschränkten Zugriff auf den Cluster zu gewähren. Sie können die Zugriffssteuerung für die Datenbanken über das Azure-Portal, mithilfe der Azure-Befehlszeilenschnittstelle oder mit Azure PowerShell konfigurieren.
Verwaltete Identitäten für Azure-Ressourcen
Eine gängige Herausforderung beim Erstellen von Cloudanwendungen ist die Verwaltung der Anmeldeinformationen im Code, die für die Authentifizierung bei Clouddiensten erforderlich sind. Der Schutz dieser Anmeldeinformationen ist eine wichtige Aufgabe. Die Anmeldeinformationen sollten nicht auf Entwicklerarbeitsstationen gespeichert oder in die Quellcodeverwaltung eingecheckt werden. Azure Key Vault bietet eine Möglichkeit zum sicheren Speichern von Anmeldeinformationen, Geheimnissen und anderen Schlüsseln. Um diese abrufen zu können, muss sich Ihr Code jedoch bei Key Vault authentifizieren.
Das Feature Microsoft Entra verwaltete Identitäten für Azure-Ressourcen löst dieses Problem. Das Feature bietet Azure-Diensten eine automatisch verwaltete Identität in Microsoft Entra ID. Sie können die Identität verwenden, um sich ohne Anmeldeinformationen im Code bei jedem Dienst zu authentifizieren, der Microsoft Entra Authentifizierung unterstützt, einschließlich Key Vault. Weitere Informationen zu diesem Dienst finden Sie auf der Übersichtsseite zu verwalteten Identitäten für Azure-Ressourcen.
Datenschutz
Azure Disk Encryption
Azure Disk Encryption unterstützt Sie beim Schutz Ihrer Daten gemäß den Sicherheits- und Complianceanforderungen Ihrer Organisation. Der Dienst bietet Volumeverschlüsselung für den Betriebssystemdatenträger und die regulären Datenträger der virtuellen Computer Ihres Clusters. Azure Disk Encryption ist außerdem mit Azure Key Vault verknüpft, um die Schlüssel und Geheimnisse für die Datenträgerverschlüsselung steuern und verwalten zu können. So wird sichergestellt, dass alle Daten auf den Datenträgern von virtuellen Computern verschlüsselt sind.
Von Kunden verwaltete Schlüssel mit Azure Key Vault
Standardmäßig werden Daten mit von Microsoft verwalteten Schlüsseln verschlüsselt. Für zusätzliche Kontrolle über die Verschlüsselungsschlüssel können Sie kundenseitig verwaltete Schlüssel für die Datenverschlüsselung bereitstellen. Sie können die Verschlüsselung Ihrer Daten auf der Speicherebene mit Ihren eigenen Schlüsseln verwalten. Ein kundenseitig verwalteter Schlüssel wird verwendet, um den Zugriff auf den Stammverschlüsselungsschlüssel zu schützen, der wiederum zur Ver- und Entschlüsselung sämtlicher Daten verwendet wird. Vom Kunden verwaltete Schlüssel bieten größere Flexibilität beim Erstellen, Rotieren, Deaktivieren und Widerrufen von Zugriffssteuerungen. Außerdem können Sie die zum Schutz Ihrer Daten verwendeten Verschlüsselungsschlüssel überwachen.
Verwenden Sie Azure Key Vault, um Ihre kundenseitig verwalteten Schlüssel zu speichern. Sie können Ihre eigenen Schlüssel erstellen und in einem Schlüsseltresor speichern oder eine Azure Key Vault-API verwenden, um Schlüssel zu generieren. Der Azure Data Explorer-Cluster und die Azure Key Vault-Instanz müssen sich in der gleichen Region befinden, können aber zu verschiedenen Abonnements gehören. Weitere Informationen zum Azure Key Vault finden Sie unter What is Azure Key Vault? (Was ist der Azure Key Vault?). Eine ausführliche Erläuterung zu kundenseitig verwalteten Schlüsseln finden Sie unter Azure Storage-Verschlüsselung für ruhende Daten. Konfigurieren von kundenseitig verwalteten Schlüsseln in Ihrem Azure Data Explorer-Cluster mithilfe des Portals, mit C#, einer Azure Resource Manager-Vorlage, der CLI oder PowerShell
Hinweis
Kundenseitig verwaltete Schlüssel basieren auf verwalteten Identitäten für Azure-Ressourcen, ein Feature von Microsoft Entra ID. Wenn Sie kundenseitig verwaltete Schlüssel im Azure-Portal konfigurieren möchten, konfigurieren Sie für Ihren Cluster eine verwaltete Identität, wie in Konfigurieren verwalteter Identitäten für Ihren Azure Data Explorer-Cluster beschrieben.
Speichern von kundenseitig verwalteten Schlüsseln in Azure Key Vault
Wenn Sie kundenseitig verwaltete Schlüssel für einen Cluster aktivieren möchten, speichern Sie Ihre Schlüssel in einer Azure Key Vault-Instanz. Sie müssen die Eigenschaften Vorläufiges Löschen und Do Not Purge (Nicht bereinigen) im Schlüsseltresor aktivieren. Der Schlüsseltresor muss sich in der gleichen Region befinden wie der Cluster. In Data Explorer werden verwaltete Identitäten für Azure-Ressourcen verwendet, um die Authentifizierung für den Schlüsseltresor für Verschlüsselungs- und Entschlüsselungsvorgänge durchzuführen. Verwaltete Identitäten unterstützen keine verzeichnisübergreifenden Szenarien.
Rotieren von kundenseitig verwalteten Schlüsseln
Sie können einen vom Kunden verwalteten Schlüssel in Azure Key Vault entsprechend Ihren Konformitätsrichtlinien rotieren. Aktualisieren Sie zum Rotieren eines Schlüssels in Azure Key Vault die Schlüsselversion, oder erstellen Sie einen neuen Schlüssel, und aktualisieren Sie dann den Cluster, damit Daten mithilfe des neuen Schlüssel-URI verschlüsselt werden. Sie können diese Schritte mit der Azure CLI oder im Portal ausführen. Durch Rotieren des Schlüssels werden die vorhandenen Daten im Cluster nicht erneut verschlüsselt.
Beim Rotieren eines Schlüssels geben Sie in der Regel dieselbe Identität an, die beim Erstellen des Clusters verwendet wurde. Optional konfigurieren Sie eine neue benutzerseitig zugewiesene Identität für den Schlüsselzugriff, oder Sie aktivieren die systemseitig zugewiesene Identität des Clusters und geben diese an.
Hinweis
Vergewissern Sie sich, dass für die Identität, die Sie für den Schlüsselzugriff konfigurieren, die erforderlichen Berechtigungen Abrufen, Schlüssel entpacken und Schlüssel packen festgelegt sind.
Aktualisieren der Schlüsselversion
Ein verbreitetes Szenario ist das Aktualisieren der Version des Schlüssels, der als kundenseitig verwalteter Schlüssel verwendet wird. Je nach Konfiguration der Clusterverschlüsselung wird der kundenseitig verwaltete Schlüssel im Cluster automatisch aktualisiert oder muss manuell aktualisiert werden.
Widerrufen des Zugriffs auf von Kunden verwaltete Schlüssel
Zum Widerrufen des Zugriffs auf von Kunden verwaltete Schlüssel können Sie PowerShell oder die Azure-Befehlszeilenschnittstelle verwenden. Weitere Informationen finden Sie unter Azure Key Vault – PowerShell oder Azure Key Vault – CLI. Durch Widerrufen des Zugriffs wird der Zugriff auf alle Daten auf der Speicherebene des Clusters blockiert, da Azure Data Explorer dann nicht mehr auf den Verschlüsselungsschlüssel zugreifen kann.
Hinweis
Wenn Azure Data Explorer den Widerruf des Zugriffs auf einen kundenseitig verwalteten Schlüssel erkennt, wird der Cluster automatisch angehalten, um alle zwischengespeicherten Daten zu löschen. Nach Wiederherstellung des Zugriffs auf den Schlüssel wird der Cluster automatisch fortgesetzt.
Verwandte Inhalte
- Azure-Sicherheitsbaseline für Azure Data Explorer
- Schützen von Clustern mithilfe von Disk Encryption durch Aktivieren der Verschlüsselung ruhender Daten
- Konfigurieren von verwalteten Identitäten für Ihren Cluster
- Konfigurieren von kundenseitig verwalteten Schlüsseln
- Dokumentation zur Azure-Compliance