Vue d’ensemble de la sécurité d’entreprise dans Azure HDInsight sur AKS
Important
Cette fonctionnalité est disponible actuellement en mode Aperçu. Les Conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure contiennent davantage de conditions légales qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou ne se trouvant pas encore en disponibilité générale. Pour plus d’informations sur cette préversion spécifique, consultez les Informations sur la préversion d’Azure HDInsight sur AKS. Pour toute question ou pour des suggestions à propos des fonctionnalités, veuillez envoyer vos requêtes et leurs détails sur AskHDInsight, et suivez-nous sur la Communauté Azure HDInsight pour plus de mises à jour.
Azure HDInsight sur AKS offre une sécurité par défaut, et plusieurs méthodes permettent de satisfaire les besoins de sécurité de votre entreprise.
Cet article traite de l’architecture globale de la sécurité et des solutions de sécurité en les divisant en quatre piliers de sécurité traditionnels : sécurité de périmètre, authentification, autorisation et chiffrement.
l’architecture de sécurité,
La préparation de l’entreprise pour tous les logiciels nécessite des contrôles de sécurité stricts pour prévenir et résoudre les menaces qui peuvent survenir. HDInsight sur AKS fournit un modèle de sécurité multicouche pour vous protéger sur plusieurs niveaux. L’architecture de sécurité utilise des méthodes d’autorisation modernes à l’aide de MSI. Tout l’accès au stockage est fait via MSI, et l’accès à la base de données est fait via le nom d’utilisateur/mot de passe. Le mot de passe est stocké dans Azure Key Vault, défini par le client. Cette fonctionnalité rend la configuration robuste et sécurisée par défaut.
Le diagramme ci-dessous illustre une architecture technique à haut niveau de sécurité dans HDInsight sur AKS.
Piliers de la sécurité d’entreprise
L’une des manières d’aborder la sécurité de l’entreprise consiste à diviser les solutions de sécurité en quatre groupes principaux en fonction du type de contrôle. Ces groupes sont également appelés piliers de sécurité et sont des types suivants : sécurité du périmètre, authentification, autorisation et chiffrement.
Sécurité du périmètre
La sécurité du périmètre dans HDInsight sur AKS est obtenue des réseaux virtuels. Un administrateur d’entreprise peut créer un cluster à l’intérieur d’un réseau virtuel (VNET) et utiliser des groupes de sécurité réseau (NSG) pour restreindre l’accès au réseau virtuel.
Authentification
HDInsight sur AKS fournit l’authentification basée sur Microsoft Entra ID pour la connexion au cluster et utilise des identités managées (MSI) pour sécuriser l’accès au cluster aux fichiers dans Azure Data Lake Storage Gen2. L’identité managée est une fonctionnalité de Microsoft Entra ID qui fournit aux services Azure un ensemble d'informations d'identification gérées automatiquement. Avec cette configuration, des employés de l’entreprise peuvent se connecter aux nœuds du cluster avec leurs informations d’identification de domaine. Une identité managée avec Microsoft Entra ID permet à votre application d’accéder facilement à d’autres ressources protégées par Microsoft Entra, telles qu’Azure Key Vault, Storage, SQL Server et Database. L’identité managée par la plateforme Azure ne nécessite d’approvisionnement ou de rotation de secrets. Cette solution est une clé pour sécuriser l’accès à votre HDInsight sur un cluster AKS et d’autres ressources dépendantes. Les identités managées rendent votre application plus sûre en éliminant les secrets de votre application, tels que les informations d’identification dans les chaînes de connexion.
Vous créez une identité managée affectée par l’utilisateur, qui est une ressource Azure autonome, dans le cadre du processus de création de cluster, qui gère l’accès à vos ressources dépendantes.
Autorisation
L’une des bonnes pratiques que la plupart des entreprises appliquent consiste à s’assurer que chaque employé ne dispose pas d’un accès complet à toutes les ressources de l’entreprise. Parallèlement, l’administrateur peut définir des stratégies de contrôle d’accès en fonction du rôle pour les ressources du cluster.
Les propriétaires de ressources peuvent configurer le contrôle d’accès en fonction du rôle (RBAC). La configuration de stratégies RBAC vous permet d’associer des autorisations à un rôle dans l’organisation. Cette couche d’abstraction permet de s’assurer plus facilement que les utilisateurs disposent uniquement des autorisations nécessaires pour effectuer leur travail. Autorisation managée par les rôles ARM pour la gestion des clusters (plan de contrôle) et l’accès aux données de cluster (plan de données) gérés par la gestion des accès au cluster.
Rôles de gestion de cluster (plan de contrôle / rôles ARM)
| Action | HDInsight sur l’administrateur du pool de clusters AKS | HDInsight sur l’administrateur de cluster AKS |
|---|---|---|
| Créer / supprimer un pool de clusters | ✅ | |
| Attribuer des autorisations et des rôles sur le pool de clusters | ✅ | |
| Créer/supprimer un cluster | ✅ | ✅ |
| Gérer un cluster | ✅ | |
| Gestion de la configuration | ✅ | |
| Actions de script | ✅ | |
| Gestion des bibliothèques | ✅ | |
| Surveillance | ✅ | |
| Actions de mise à l’échelle | ✅ |
Les rôles ci-dessus relèvent du point de vue des opérations ARM. Pour plus d’informations, consultez Accorder un accès utilisateur aux ressources Azure à l’aide du portail Azure - Azure RBAC.
Accès au cluster (plan de données)
Vous pouvez autoriser les utilisateurs, les principaux de service, l’identité managée à accéder au cluster via le portail ou depuis ARM.
Cet accès vous permet de
- Voir les clusters et gérer les travaux.
- Effectuer toutes les opérations de surveillance et de gestion.
- Effectuer des opérations de mise à l’échelle automatique et mettre à jour le nombre de nœuds.
Obtenir un accès non prévu
- Suppression de cluster
Important
Tout utilisateur récemment ajouté nécessite un rôle supplémentaire « Lecteur RBAC Azure Kubernetes Service » pour afficher l’intégrité du service.
Audit
L’audit de l’accès aux ressources de cluster est nécessaire pour effectuer le suivi des accès non autorisés ou non intentionnels des ressources. Il est tout aussi important que la protection des ressources du cluster contre tout accès non autorisé.
L’administrateur du groupe de ressources peut afficher et signaler tous les accès à HDInsight sur les ressources de cluster AKS et les données à l’aide du journal d’activité. L’administrateur peut afficher et signaler les modifications des stratégies de contrôle d’accès.
Chiffrement
La protection des données est essentielle pour se conformer aux exigences de l’organisation en matière de conformité et de sécurité. Parallèlement à la restriction de l’accès aux données des employés non autorisés, vous devez procéder à leur chiffrement. Le stockage et les disques (disque de système d’exploitation et disque de données persistants) utilisés par les nœuds et conteneurs du cluster sont chiffrés. Les données dans Stockage Azure sont chiffrées et déchiffrées en toute transparence à l’aide du chiffrement AES 256 bits, un des chiffrements par blocs les plus puissants actuellement disponibles, et sont conformes à la norme FIPS 140-2. Le chiffrement Stockage Azure est activé pour tous les comptes de stockage, ce qui sécurise les données par défaut, vous n’avez donc pas besoin de modifier votre code ou vos applications pour tirer parti du chiffrement Stockage Azure. Le chiffrement des données en transit est géré avec TLS 1.2.
Conformité
Les offres de conformité Azure reposent sur différents types de garanties, notamment des certifications formelles, des attestations, des validations et des autorisations, des évaluations produites par des sociétés d’audit tierces indépendantes, des amendements contractuels, des auto-évaluations et des documents d’aide à la clientèle produits par Microsoft. Pour plus d'informations sur la conformité de HDInsight sur AKS, reportez-vous au Centre de gestion de la confidentialité Microsoft et à la Présentation de la conformité Microsoft Azure.
Modèle de responsabilité partagée
L’image suivante résume les principales zones de sécurité du système et les solutions de sécurité disponibles. Elle met également en évidence les zones de sécurité qui relèvent de votre responsabilité en tant que client et celles qui relèvent de la responsabilité de HDInsight sur AKS en tant que fournisseur de services.
Le tableau suivant fournit des liens vers des ressources pour chaque type de solution de sécurité.
| Zone de sécurité | Solutions disponibles | Partie responsable |
|---|---|---|
| Sécurité de l’accès aux données | Configurer des listes de contrôle d’accès (ACL) pour Azure Data Lake Storage Gen2 | Client |
| Activer la propriété Transfert sécurisé requis sur le stockage | Client | |
| Configurer des pare-feu Stockage Azure et des réseaux virtuels | Client | |
| Sécurité du système d’exploitation | Créer des clusters avec HDInsight les plus récents sur les versions d’AKS | Client |
| Sécurité du réseau | Configurer un réseau virtuel | |
| Configurer le trafic en utilisant des règles de pare-feu | Client | |
| Configurer le trafic sortant nécessaire | Client |
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour