Sécurité dans Azure Data Explorer
Cet article fournit une introduction à la sécurité dans Azure Data Explorer qui vous aide à protéger vos données et ressources dans le cloud et à répondre aux besoins de sécurité de votre entreprise. Il est important de sécuriser vos clusters. La sécurisation de vos clusters inclut une ou plusieurs fonctionnalités Azure qui comprennent un accès et un stockage sécurisés. Cet article fournit des informations pour vous aider à sécuriser vos clusters.
Pour plus d’informations sur la conformité de votre entreprise ou de votre organization, consultez la documentation sur la conformité Azure.
Sécurité du réseau
La sécurité réseau est une exigence partagée par un grand nombre de nos clients professionnels soucieux de la sécurité. L’objectif est d’isoler le trafic réseau, et de limiter la surface d’attaque d’Azure Data Explorer et des communications correspondantes. Vous pouvez donc bloquer le trafic provenant de segments réseau hors Azure Data Explorer et faire en sorte que seul le trafic de sources connues atteignent les points de terminaison Azure Data Explorer. Il s’agit notamment du trafic du site local ou hors Azure à destination d’Azure et vice versa. Azure Data Explorer prend en charge les fonctionnalités suivantes pour atteindre cet objectif :
Nous vous recommandons vivement d’utiliser des points de terminaison privés pour sécuriser l’accès réseau à votre cluster. Cette option présente de nombreux avantages par rapport à l’injection sur réseau virtuel car elle réduit la surcharge de maintenance, avec notamment un processus de déploiement plus simple et une plus grande robustesse aux changements de réseau virtuel.
Contrôle des accès et des identités
Contrôle d’accès en fonction du rôle
Utilisez le contrôle d’accès en fonction du rôle (RBAC) pour séparer les tâches et accorder aux utilisateurs du cluster uniquement les accès nécessaires. Au lieu de donner à tous des autorisations illimitées sur le cluster, vous pouvez permettre à seulement certains utilisateurs attribués à des rôles spécifiques d’effectuer certaines actions. Vous pouvez configurer le contrôle d’accès pour les bases de données dans le Portail Azure, à l’aide d’Azure CLI ou d’Azure PowerShell.
Identités gérées pour les ressources Azure
La gestion des informations d’identification dans votre code pour s’authentifier auprès des services cloud constitue un défi courant lors de la génération d’applications cloud. La sécurisation de ces informations d’identification est une tâche importante. Les informations d’identification ne doivent pas être stockées dans les stations de travail des développeurs ni être archivées dans le contrôle de code source. Azure Key Vault permet de stocker en toute sécurité des informations d’identification, secrets, et autres clés, mais votre code doit s’authentifier sur Key Vault pour les récupérer.
La fonctionnalité Microsoft Entra identités managées pour les ressources Azure résout ce problème. La fonctionnalité fournit aux services Azure une identité managée automatiquement dans Microsoft Entra ID. Vous pouvez utiliser l’identité pour vous authentifier auprès de n’importe quel service qui prend en charge l’authentification Microsoft Entra, y compris Key Vault, sans informations d’identification dans votre code. Pour plus d’informations sur ce service, consultez la page de vue d’ensemble des identités managées pour les ressources Azure.
Protection de données
Azure Disk Encryption
Azure Disk Encryption vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise en matière de sécurité et de conformité. Il fournit un chiffrement de volume pour le système d’exploitation et les disques de données des machines virtuelles de votre cluster. Azure Disk Encryption est également intégré à Azure Key Vault, ce qui vous permet de contrôler et de gérer les secrets et les clés de chiffrement de disque et de garantir que toutes les données figurant sur les disques des machines virtuelles sont chiffrées.
Clés gérées par le client avec Azure Key Vault
Par défaut, les données sont chiffrées avec des clés managées par Microsoft Pour plus de contrôle sur les clés de chiffrement, vous pouvez fournir des clés gérées par le client à utiliser pour le chiffrement des données. Vous pouvez gérer le chiffrement de vos données au niveau du stockage à l’aide de vos propres clés. Une clé gérée par le client est utilisée pour protéger et contrôler l’accès à la clé de chiffrement racine, laquelle est utilisée pour chiffrer et déchiffrer toutes les données. Les clés managées par le client offrent plus de flexibilité pour créer, permuter, désactiver et révoquer des contrôles d’accès. Vous pouvez également effectuer un audit sur les clés de chiffrement utilisées pour protéger vos données.
Utilisez Azure Key Vault pour stocker vos clés gérées par le client. Vous pouvez créer vos propres clés et les stocker dans un coffre de clés, ou utiliser une API d’Azure Key Vault pour générer des clés. Le cluster Azure Data Explorer et l’instance Azure Key Vault se trouver dans la même région, mais ils peuvent appartenir à des abonnements différents. Pour plus d’informations sur Azure Key Vault, consultez Qu’est-ce qu’Azure Key Vault ?. Pour obtenir une explication détaillée sur les clés gérées par le client, consultez Clés gérées par le client avec Azure Key Vault. Configurer des clés gérées par le client dans votre cluster Azure Data Explorer en utilisant le portail, C#, le modèle Azure Resource Manager, l’interface CLI ou PowerShell
Remarque
Les clés gérées par le client s’appuient sur des identités managées pour les ressources Azure, une fonctionnalité d’ID Microsoft Entra. Pour configurer les clés gérées par le client dans le portail Azure, configurez une identité managée sur votre cluster, comme indiqué dans Configurer des identités managées pour votre cluster Azure Data Explorer.
Stocker les clés gérées par le client dans Azure Key Vault
Pour activer les clés gérées par le client sur un cluster, utilisez une instance Azure Key Vault pour stocker vos clés. Vous devez activer les propriétés Suppression réversible et Ne pas vider sur le coffre de clés. Le coffre de clés doit se trouver dans la même région que le cluster. Azure Data Explorer utilise des identités managées afin que les ressources Azure s’authentifient auprès du coffre de clés pour les opérations de chiffrement et de déchiffrement. Les identités managées ne prennent pas en charge les scénarios sur plusieurs répertoires.
Permuter des clés gérées par le client
Vous pouvez permuter une clé gérée par le client dans Azure Key Vault en fonction de vos stratégies de conformité. Pour permuter une clé dans Azure Key Vault, mettez à jour la version de la clé ou créez une clé, puis mettez à jour le cluster pour chiffrer les données à l’aide de l’URI de la nouvelle clé. Vous pouvez effectuer ces étapes à l’aide d’Azure CLI ou dans le portail. La permutation de la clé ne déclenche pas le rechiffrement des données existantes dans le cluster.
Lorsque vous faites pivoter une clé, vous spécifiez généralement la même identité que celle utilisée lors de la création du cluster. Si vous le souhaitez, configurez une nouvelle identité affectée par l’utilisateur pour l’accès à la clé, ou activez et spécifiez l’identité affectée par le système du cluster.
Remarque
Vérifiez que les autorisations Obtenir, Ne pas inclure la clé et Inclure la clé requises sont définies pour l’identité que vous configurez pour l’accès à la clé.
Mettre à jour la version de la clé
Un scénario courant consiste à mettre à jour la version de la clé utilisée comme clé gérée par le client. En fonction de la configuration du chiffrement du cluster, la clé gérée par le client dans le cluster est mise à jour automatiquement ou doit l’être manuellement.
Révoquer l’accès aux clés gérées par le client
Pour révoquer l’accès aux clés gérées par le client, utilisez PowerShell ou Azure CLI. Pour plus d’informations, consultez Azure Key Vault PowerShell ou Interface de ligne de commande Azure Key Vault. La révocation de l’accès bloque l’accès à toutes les données situées au niveau de stockage du cluster, car la clé de chiffrement est donc inaccessible à Azure Data Explorer.
Remarque
Quand Azure Data Explorer identifie que l’accès à une clé gérée par le client est révoqué, il suspend automatiquement le cluster pour supprimer toutes les données mises en cache. Une fois que l’accès à la clé est restauré, la reprise du cluster est automatique.