Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit une introduction à la sécurité dans Azure Data Explorer qui vous aide à protéger vos données et ressources dans le cloud et à répondre aux besoins de sécurité de votre entreprise. Il est important de sécuriser vos clusters. La sécurisation de vos clusters inclut une ou plusieurs fonctionnalités Azure qui fournissent un accès et un stockage sécurisés. Cet article fournit des informations pour vous aider à sécuriser vos clusters.
Pour plus d’informations sur la conformité pour votre entreprise ou votre organisation, consultez la documentation de conformité Azure.
Sécurité du réseau
La sécurité réseau est une exigence partagée par de nombreux clients d’entreprise conscients de la sécurité. L’objectif est d’isoler le trafic réseau, et de limiter la surface d’attaque d’Azure Data Explorer et des communications correspondantes. Vous pouvez bloquer le trafic provenant de segments réseau non-Azure Data Explorer et garantir que seul le trafic provenant de sources connues atteint les points de terminaison Azure Data Explorer. Cette protection inclut le trafic provenant d’un site local ou en dehors d’Azure, avec une destination Azure et inversement.
Azure Data Explorer prend en charge les points de terminaison privés pour assurer l’isolation et la sécurité réseau. Les points de terminaison privés offrent un moyen sécurisé de se connecter à votre cluster Azure Data Explorer à l’aide d’une adresse IP privée à partir de votre réseau virtuel, ce qui permet d’intégrer efficacement le service dans votre réseau virtuel. Cette configuration garantit que le trafic entre votre réseau virtuel et le service transite sur le réseau principal Microsoft, éliminant ainsi l’exposition de l’Internet public.
Pour plus d’informations sur la configuration des points de terminaison privés pour votre cluster, consultez Point de terminaison privé.
Contrôle des accès et des identités
Contrôle d’accès basé sur les rôles
Utilisez le contrôle d’accès en fonction du rôle (RBAC) pour séparer les tâches et accorder aux utilisateurs du cluster uniquement les accès nécessaires. Au lieu de donner à tout le monde des autorisations illimitées sur le cluster, autorisez uniquement les utilisateurs affectés à des rôles spécifiques à effectuer certaines actions. Vous pouvez configurer le contrôle d’accès pour les bases de données dans le portail Azure, à l’aide d’Azure CLI ou d’Azure PowerShell.
Identités managées pour les ressources Azure
La gestion des informations d’identification dans votre code pour s’authentifier auprès des services cloud constitue un défi courant lors de la génération d’applications cloud. La sécurisation de ces informations d’identification est une tâche importante. Vous ne devez pas stocker les informations d’identification sur les stations de travail des développeurs ni les vérifier dans le contrôle de code source. Azure Key Vault permet de stocker en toute sécurité des informations d’identification, secrets, et autres clés, mais votre code doit s’authentifier sur Key Vault pour les récupérer.
La fonctionnalité Microsoft Entra identités managées pour les ressources Azure résout ce problème. La fonctionnalité fournit aux services Azure une identité automatiquement managée dans Microsoft Entra ID. Vous pouvez utiliser l’identité pour vous authentifier sur n’importe quel service prenant en charge l’authentification Microsoft Entra, y compris Key Vault, sans avoir d’informations d’identification dans votre code. Pour plus d’informations sur ce service, consultez la page vue d’ensemble des identités managées pour les ressources Azure .
Protection des données
Azure Chiffrement de Disque
Azure Disk Encryption permet de protéger et de protéger vos données afin que vous puissiez respecter vos engagements en matière de sécurité et de conformité de votre organisation. Il fournit un chiffrement de volume pour le système d’exploitation et les disques de données des machines virtuelles de votre cluster. Azure Disk Encryption s’intègre également à Azure Key Vault, que vous pouvez utiliser pour contrôler et gérer les clés et secrets de chiffrement de disque, et vérifier que toutes les données sur les disques de machine virtuelle sont chiffrées.
Clés gérées par le client avec Azure Key Vault
Par défaut, les clés gérées par Microsoft chiffrent les données. Pour un contrôle supplémentaire sur les clés de chiffrement, fournissez des clés gérées par le client pour le chiffrement des données. Vous pouvez gérer le chiffrement de vos données au niveau du stockage à l’aide de vos propres clés. Une clé gérée par le client protège et contrôle l’accès à la clé de chiffrement racine, qui chiffre et déchiffre toutes les données. Les clés gérées par le client vous offrent une plus grande flexibilité pour créer, faire pivoter, désactiver et révoquer des contrôles d’accès. Vous pouvez également auditer les clés de chiffrement qui protègent vos données.
Utilisez Azure Key Vault pour stocker vos clés gérées par le client. Vous pouvez créer vos propres clés et les stocker dans un coffre de clés, ou utiliser une API d’Azure Key Vault pour générer des clés. Le cluster Azure Data Explorer et l’instance Azure Key Vault se trouver dans la même région, mais ils peuvent appartenir à des abonnements différents. Pour plus d’informations sur Azure Key Vault, consultez Qu’est-ce qu’Azure Key Vault ?. Pour obtenir une explication détaillée sur les clés gérées par le client, consultez clés gérées par le client avec Azure Key Vault. Configurez des clés gérées par le client dans votre cluster Azure Data Explorer à l’aide du portail, C#, du modèle Azure Resource Manager, de l’interface CLI ou de PowerShell.
Remarque
Les clés gérées par le client s’appuient sur des identités managées pour les ressources Azure, une fonctionnalité de Microsoft Entra ID. Pour configurer les clés gérées par le client dans le portail Azure, configurez une identité managée sur votre cluster, comme indiqué dans Configurer des identités managées pour votre cluster Azure Data Explorer.
Stocker les clés gérées par le client dans Azure Key Vault
Pour activer les clés gérées par le client sur un cluster, utilisez une instance Azure Key Vault pour stocker vos clés. Vous devez activer les paramètres Suppression temporaire et Ne pas purger sur le coffre de clés. Le coffre de clés doit se trouver dans la même région que le cluster. Azure Data Explorer utilise des identités managées afin que les ressources Azure s’authentifient auprès du coffre de clés pour les opérations de chiffrement et de déchiffrement. Les identités managées ne prennent pas en charge les scénarios inter-répertoires.
Permuter des clés gérées par le client
Vous pouvez permuter une clé gérée par le client dans Azure Key Vault en fonction de vos stratégies de conformité. Pour faire pivoter une clé, mettez à jour la version de la clé ou créez une clé dans Azure Key Vault, puis mettez à jour le cluster pour chiffrer les données à l’aide de l’URI de la nouvelle clé. Vous pouvez effectuer ces étapes à l’aide d’Azure CLI ou dans le portail. La permutation de la clé ne déclenche pas le rechiffrement des données existantes dans le cluster.
Lorsque vous faites pivoter une clé, vous spécifiez généralement la même identité que celle utilisée lors de la création du cluster. Si vous le souhaitez, configurez une nouvelle identité gérée par l'utilisateur pour l'accès à la clé, ou activez et spécifiez l'identité gérée par le système du cluster.
Remarque
Vérifiez que les autorisations Obtenir, Déballer la clé et Emballer la clé requises sont définies pour l’identité que vous configurez pour l’accès à la clé.
Mettre à jour la version de la clé
Un scénario courant consiste à mettre à jour la version de la clé utilisée comme clé gérée par le client. Selon la façon dont vous configurez le chiffrement du cluster, la clé gérée par le client dans le cluster est automatiquement mise à jour ou vous devez la mettre à jour manuellement.
Révoquer l’accès aux clés gérées par le client
Pour révoquer l’accès aux clés gérées par le client, utilisez PowerShell ou Azure CLI. Pour plus d’informations, consultez Azure Key Vault PowerShell ou Interface de ligne de commande Azure Key Vault. La révocation de l’accès bloque l’accès à toutes les données situées au niveau de stockage du cluster, car la clé de chiffrement est donc inaccessible à Azure Data Explorer.
Remarque
Quand Azure Data Explorer identifie que l’accès à une clé gérée par le client est révoqué, il suspend automatiquement le cluster pour supprimer les données mises en cache. Une fois l’accès à la clé retourné, le cluster reprend automatiquement.