Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este artículo sirve de introducción a la seguridad en Azure Data Explorer para ayudar a proteger sus datos y recursos en la nube, así como a satisfacer las necesidades de seguridad de su negocio. Es importante proteger la seguridad de los clústeres. La protección de los clústeres incluye una o varias características de Azure que proporcionan acceso seguro y almacenamiento. En este artículo se proporciona información para ayudarle a proteger la seguridad del clúster.
Para más recursos relacionados con el cumplimiento de su empresa u organización, consulte la documentación de cumplimiento de Azure.
Seguridad de las redes
La seguridad de red es un requisito compartido por muchos clientes empresariales conscientes de la seguridad. El objetivo es aislar el tráfico de red y limitar la superficie expuesta a ataques de Azure Data Explorer y las comunicaciones correspondientes. Puede bloquear el tráfico procedente de segmentos de red que no son de Azure Data Explorer y asegurarse de que solo el tráfico de orígenes conocidos alcanza los puntos de conexión de Azure Data Explorer. Esta protección incluye el tráfico que se origina en el entorno local o fuera de Azure, con un destino de Azure y viceversa.
Azure Data Explorer admite puntos de conexión privados para lograr el aislamiento y la seguridad de la red. Los puntos de conexión privados proporcionan una manera segura de conectarse al clúster de Azure Data Explorer mediante una dirección IP privada de la red virtual, lo que aporta eficazmente el servicio a la red virtual. Esta configuración garantiza que el tráfico entre la red virtual y el servicio se desplaza a través de la red troncal de Microsoft, lo que elimina la exposición de la red pública de Internet.
Para más información sobre cómo configurar puntos de conexión privados para el clúster, consulte Punto de conexión privado.
Control de identidades y acceso
Control de acceso basado en rol
Utilice el control de acceso basado en rol (RBAC) para repartir las tareas y conceder solo el acceso necesario a los usuarios del clúster. En lugar de conceder a todos los usuarios permisos sin restricciones en el clúster, permita que solo los usuarios asignados a roles específicos realicen determinadas acciones. Puede configurar el control de acceso para las bases de datos en Azure Portal mediante la CLI de Azure o Azure PowerShell.
Identidades administradas de recursos de Azure
Un desafío común al compilar aplicaciones en la nube es la administración de las credenciales del código para autenticar los servicios en la nube. Proteger las credenciales es una tarea esencial. No debe almacenar las credenciales en las estaciones de trabajo de desarrollador ni comprobarlas en el control de código fuente. Azure Key Vault proporciona una manera segura de almacenar credenciales, secretos y otras claves pero el código tiene que autenticarse en Key Vault para recuperarlos.
La característica Identidades administradas de Microsoft Entra para recursos de Azure resuelve este problema. Esta característica proporciona a los servicios de Azure una identidad administrada automáticamente en Microsoft Entra ID. Puede usar esta identidad para autenticarse en cualquier servicio que admita la autenticación de Microsoft Entra, incluido Key Vault, sin necesidad de credenciales en el código. Para más información sobre este servicio, consulte la página de información general sobre identidades administradas para recursos de Azure .
Protección de los datos
Cifrado de disco de Azure
Azure Disk Encryption ayuda a proteger y salvaguardar sus datos para que pueda cumplir con los compromisos de seguridad y cumplimiento de la organización. Proporciona cifrado de volúmenes tanto para los discos de datos como para los del sistema operativo de las máquinas virtuales del clúster. Azure Disk Encryption también se integra con Azure Key Vault, que puede usar para controlar y administrar las claves y secretos de cifrado de disco, y asegurarse de que todos los datos de los discos de máquina virtual están cifrados.
Claves administradas por el cliente con Azure Key Vault
De forma predeterminada, las claves administradas por Microsoft cifran los datos. Para un control adicional sobre las claves de cifrado, proporcione claves administradas por el cliente para el cifrado de datos. Puede administrar el cifrado de los datos en el nivel de almacenamiento mediante sus propias claves. Una clave administrada por el cliente protege y controla el acceso a la clave de cifrado raíz, que cifra y descifra todos los datos. Las claves administradas por el cliente proporcionan mayor flexibilidad para crear, rotar, deshabilitar y revocar controles de acceso. También puede auditar las claves de cifrado que protegen los datos.
Utilice Azure Key Vault para almacenar las claves administradas por el cliente. Puede crear sus propias claves y almacenarlas en un almacén de claves, o puede usar una API de Azure Key Vault para generarlas. El clúster de Azure Data Explorer y Azure Key Vault deben estar en la misma región, pero pueden estar en distintas suscripciones. Para más información sobre Azure Key Vault, vea ¿Qué es Azure Key Vault?. Para obtener una explicación detallada sobre las claves administradas por el cliente, consulte Claves administradas por el cliente con Azure Key Vault. Configure las claves administradas por el cliente en el clúster de Azure Data Explorer mediante el Portal, C#, la plantilla de Azure Resource Manager, la CLI o PowerShell.
Nota:
Las claves administradas por el cliente dependen de identidades administradas para los recursos de Azure, una característica de Microsoft Entra ID. Para configurar las claves administradas por el cliente en Azure Portal, debe configurar una identidad administrada en el clúster, tal y como se describe en Configuración de identidades administradas para el clúster de Azure Data Explorer.
Almacenamiento de claves administradas por el cliente en Azure Key Vault
Para habilitar las claves administradas por el cliente en un clúster, utilice una instancia de Azure Key Vault para almacenar las claves. Debe habilitar las propiedades Eliminación temporal y No purgar en el almacén de claves. El almacén de claves debe estar en la misma región que el clúster. Azure Data Explorer usa identidades administradas para que los recursos de Azure se autentiquen en el almacén de claves para las operaciones de cifrado y descifrado. Las identidades administradas no admiten escenarios entre directorios.
Rotación de claves administradas por el cliente
Las claves administradas por el cliente se pueden rotar en Azure Key Vault según las directivas de cumplimiento. Para rotar una clave, actualice la versión de la clave o cree una nueva clave en Azure Key Vault y, a continuación, actualice el clúster para cifrar los datos mediante el nuevo URI de clave. Puede realizar estos pasos mediante la CLI de Azure o en el portal. La rotación de la clave no desencadena un nuevo cifrado de los datos existentes en el clúster.
Al girar una clave, normalmente se especifica la misma identidad que se usa al crear el clúster. Opcionalmente, configure una nueva identidad asignada por el usuario para el acceso a la clave o habilite y especifique la identidad asignada por el sistema del clúster.
Nota:
Asegúrese de que se han establecido los permisos necesarios Get, Unwrap Keyy Wrap Key para la identidad que se configura para el acceso a la clave.
Actualización de la versión de la clave
Un escenario común es actualizar la versión de la clave usada como clave administrada por el cliente. En función de cómo configure el cifrado del clúster, la clave administrada por el cliente en el clúster se actualiza automáticamente o debe actualizarla manualmente.
Revocación del acceso a las claves administradas por el cliente
Para revocar el acceso a las claves administradas por el cliente, use PowerShell o la CLI de Azure. Para obtener más información, consulte Azure Key Vault PowerShell o Azure Key Vault CLI. La revocación del acceso bloquea el acceso a todos los datos en el nivel de almacenamiento del clúster, ya que Azure Data Explorer no puede acceder a la clave de cifrado.
Nota:
Cuando Azure Data Explorer identifica que se revoca el acceso a una clave administrada por el cliente, suspende automáticamente el clúster para eliminar los datos almacenados en caché. Una vez que se devuelve el acceso a la clave, el clúster se reanuda automáticamente.