A Batch biztonsági és megfelelőségi ajánlott eljárásai

Ez a cikk útmutatást és ajánlott eljárásokat tartalmaz a biztonság növeléséhez az Azure Batch használatakor.

Alapértelmezés szerint az Azure Batch-fiókok nyilvános végponttal rendelkeznek, és nyilvánosan elérhetők. Az Azure Batch-készlet létrehozásakor a készlet egy Azure-beli virtuális hálózat megadott alhálózatán lesz kiépítve. A Batch-készletben lévő virtuális gépek a Batch által létrehozott nyilvános IP-címeken keresztül érhetők el. A készlet számítási csomópontjai szükség esetén kommunikálhatnak egymással, például többpéldányos feladatok futtatásához, de a készlet csomópontjai nem tudnak kommunikálni a készleten kívüli virtuális gépekkel.

Diagram showing a typical Batch environment.

Számos funkció érhető el, amelyekkel biztonságosabb Azure Batch-környezet hozható létre. Korlátozhatja a csomópontokhoz való hozzáférést, és csökkentheti a csomópontok felderítését az internetről, ha nyilvános IP-címek nélkül építi ki a készletet. A számítási csomópontok biztonságosan kommunikálhatnak más virtuális gépekkel vagy egy helyszíni hálózattal , ha a készletet egy Azure-beli virtuális hálózat alhálózatán helyezik üzembe. Emellett engedélyezheti a privát hozzáférést a virtuális hálózatokról egy Azure Private Link által működtetett szolgáltatásból.

Diagram showing a more secure Batch environment.

Készletkonfiguráció

Számos biztonsági funkció csak a virtuálisgép-konfigurációval konfigurált készletekhez érhető el, a Cloud Services-konfigurációval rendelkező készletekhez nem. Javasoljuk, hogy a virtuálisgép-konfigurációs készleteket használja, amelyek lehetőség szerint virtuálisgép-méretezési csoportokat használnak.

Batch-fiók hitelesítése

A Batch-fiók hozzáférése két hitelesítési módszert támogat: a megosztott kulcsot és az Azure Active Directoryt (Azure AD).

Határozottan javasoljuk az Azure AD használatát a Batch-fiók hitelesítéséhez. Egyes Batch-képességekhez szükség van erre a hitelesítési módszerre, beleértve az itt tárgyalt számos, biztonsággal kapcsolatos funkciót. A Batch-fiókok szolgáltatás API-hitelesítési mechanizmusa csak az Azure AD-ra korlátozható az allowedAuthenticationModes tulajdonság használatával. Ha ez a tulajdonság be van állítva, a megosztott kulcsos hitelesítést használó API-hívások el lesznek utasítva.

Batch-fiók készletfoglalási módja

Batch-fiók létrehozásakor két készletfoglalási mód közül választhat:

  • Batch szolgáltatás: Az alapértelmezett beállítás, amelyben a készletcsomópontok lefoglalásához és kezeléséhez használt mögöttes felhőszolgáltatás vagy virtuálisgép-méretezési csoport erőforrásai belső előfizetésekben jönnek létre, és nem láthatók közvetlenül az Azure Portalon. Csak a Batch-készletek és -csomópontok láthatók.
  • Felhasználói előfizetés: A mögöttes felhőszolgáltatás vagy virtuálisgép-méretezési csoport erőforrásai ugyanabban az előfizetésben jönnek létre, mint a Batch-fiók. Ezek az erőforrások így a megfelelő Batch-erőforrások mellett az előfizetésben is láthatók.

Felhasználói előfizetési módban a Batch virtuális gépek és más erőforrások közvetlenül az előfizetésben jönnek létre a készlet létrehozásakor. Felhasználói előfizetési módra van szükség, ha Batch-készleteket szeretne létrehozni az Azure Reserved VM Instances használatával, az Azure Policyt szeretné használni a virtuálisgép-méretezési csoport erőforrásain, és/vagy kezelni szeretné az előfizetés magkvótáit (az előfizetés összes Batch-fiókjában megosztva). Ha felhasználói előfizetési módban szeretne létrehozni Batch-fiókot, az előfizetését az Azure Batchben is regisztrálnia kell, és egy Azure Key Vaulttal is társítania kell.

Hálózati végpont hozzáférésének korlátozása

Batch hálózati végpontok

Vegye figyelembe, hogy alapértelmezés szerint a nyilvános IP-címmel rendelkező végpontok a Batch-fiókokkal, a Batch-készletekkel és a készletcsomópontokkal való kommunikációra szolgálnak.

Batch-fiók API

Batch-fiók létrehozásakor létrejön egy nyilvános végpont, amely a fiók legtöbb műveletének REST API-val történő meghívására szolgál. A fiókvégpont formátuma alap URL-cím.https://{account-name}.{region-id}.batch.azure.com A Batch-fiókhoz való hozzáférés biztonságos, a fiókvégponttal való kommunikáció HTTPS-titkosítással történik, és minden kérés megosztott kulccsal vagy Azure Active Directory- (Azure AD-) hitelesítéssel van hitelesítve.

Azure Resource Manager

A Batch-fiókra jellemző műveletek mellett a felügyeleti műveletek egyetlen és több Batch-fiókra is vonatkoznak. Ezek a felügyeleti műveletek az Azure Resource Manageren keresztül érhetők el.

Az Azure Resource Manageren keresztüli kötegelt felügyeleti műveletek HTTPS használatával vannak titkosítva, és minden kérés hitelesítése Azure AD-hitelesítéssel történik.

Batch-készlet csomópontjai

A Batch szolgáltatás kommunikál egy Batch-csomópontügynökkel, amely a készlet minden csomópontján fut. A szolgáltatás például arra utasítja a csomópontügynököt, hogy futtasson egy feladatot, állítsa le a feladatot, vagy kérje le a feladat fájljait. A csomópontügynökkel folytatott kommunikációt egy vagy több terheléselosztó engedélyezi, amelyek száma a készletben lévő csomópontok számától függ. A terheléselosztó továbbítja a kommunikációt a kívánt csomópontnak, és minden csomóponthoz egyedi portszám tartozik. Alapértelmezés szerint a terheléselosztókhoz nyilvános IP-címek vannak társítva. A készletcsomópontok RDP-n vagy SSH-n keresztül is elérhetők távolról (ez a hozzáférés alapértelmezés szerint engedélyezve van, terheléselosztókon keresztüli kommunikációval).

A Batch-végpontokhoz való hozzáférés korlátozása

Számos képesség áll rendelkezésre a különböző Batch-végpontokhoz való hozzáférés korlátozására, különösen akkor, ha a megoldás virtuális hálózatot használ.

Privát végpontok használata

Az Azure Private Link lehetővé teszi az Azure PaaS-szolgáltatásokhoz és az Azure-ban üzemeltetett ügyfél-/partnerszolgáltatásokhoz való hozzáférést a virtuális hálózat privát végpontján keresztül. A Private Link használatával korlátozhatja a Batch-fiókhoz való hozzáférést a virtuális hálózaton belülről vagy bármely társított virtuális hálózatból. A Private Linkre leképezett erőforrások a helyszínen is elérhetők vpn-en vagy Azure ExpressRoute-on keresztüli privát társviszony-létesítésen keresztül.

Privát végpontok használatához a Batch-fiókot a létrehozáskor megfelelően kell konfigurálni; a nyilvános hálózati hozzáférés konfigurációját le kell tiltani. A létrehozás után privát végpontok hozhatók létre és társíthatók a Batch-fiókhoz. További információ: Privát végpontok használata Azure Batch-fiókokkal.

Készletek létrehozása virtuális hálózatokban

A Batch-készlet számítási csomópontjai virtuális hálózat (VNET) nélkül kommunikálhatnak egymással, például többpéldányos feladatok futtatásához. Alapértelmezés szerint azonban a készletben lévő csomópontok nem tudnak kommunikálni a virtuális hálózaton a készleten kívüli virtuális gépekkel, és magánhálózati IP-címekkel, például licenckiszolgálókkal vagy fájlkiszolgálókkal rendelkeznek.

Ahhoz, hogy a számítási csomópontok biztonságosan kommunikálhassanak más virtuális gépekkel vagy egy helyszíni hálózattal, konfigurálhat egy készletet úgy, hogy egy Azure-beli virtuális hálózat alhálózatán legyen.

Ha a készletek nyilvános IP-végpontokkal rendelkeznek, az alhálózatnak engedélyeznie kell a Batch szolgáltatás bejövő kommunikációját, hogy képes legyen feladatokat ütemezni és más műveleteket végrehajtani a számítási csomópontokon, valamint kimenő kommunikációt az Azure Storage-ral vagy más erőforrásokkal való kommunikációhoz a számítási feladat igényeinek megfelelően. A virtuálisgép-konfigurációban lévő készletek esetében a Batch hálózati biztonsági csoportokat (NSG-ket) ad hozzá a számítási csomópontokhoz csatolt hálózati adapter szintjén. Ezek az NSG-k a következők engedélyezésére vonatkozó szabályokkal rendelkeznek:

  • Bejövő TCP-forgalom a Batch-szolgáltatás IP-címéről
  • Bejövő TCP-forgalom a táveléréshez
  • A virtuális hálózat bármely portján kimenő forgalom (alhálózati szintű NSG-szabályok szerint módosítható)
  • Kimenő forgalom bármely internetes porton (alhálózati szintű NSG-szabályok szerint módosítható)

Nem kell NSG-ket megadnia a virtuális hálózat alhálózati szintjén, mert a Batch saját NSG-ket konfigurál. Ha rendelkezik egy NSG-vel azzal az alhálózattal, ahol a Batch számítási csomópontok üzembe vannak helyezve, vagy ha egyéni NSG-szabályokat szeretne alkalmazni az alapértelmezett értékek felülbírálásához, akkor ezt az NSG-t legalább a bejövő és kimenő biztonsági szabályokkal kell konfigurálnia, hogy a Batch szolgáltatás kommunikálhasson a készletcsomópontok és a készletcsomópont Azure Storage-beli kommunikációjával.

További információ: Azure Batch-készlet létrehozása virtuális hálózaton.

Statikus nyilvános IP-címmel rendelkező készletek létrehozása

Alapértelmezés szerint a készletekhez társított nyilvános IP-címek dinamikusak; a készletek létrehozásakor jönnek létre, és ip-címek adhatók hozzá vagy távolíthatók el a készlet átméretezésekor. Ha a készletcsomópontokon futó feladatalkalmazásoknak külső szolgáltatásokhoz kell hozzáférnie, előfordulhat, hogy a szolgáltatásokhoz való hozzáférést adott IP-címekre kell korlátozni. Ebben az esetben a dinamikus IP-címek nem kezelhetők.

A készlet létrehozása előtt statikus nyilvános IP-cím-erőforrásokat hozhat létre ugyanabban az előfizetésben, mint a Batch-fiók. Ezután a készlet létrehozásakor megadhatja ezeket a címeket.

További információ: Azure Batch-készlet létrehozása megadott nyilvános IP-címekkel.

Nyilvános IP-cím nélküli készletek létrehozása

Alapértelmezés szerint egy Azure Batch virtuálisgép-konfigurációs készlet összes számítási csomópontja egy vagy több nyilvános IP-címhez van hozzárendelve. Ezeket a végpontokat a Batch szolgáltatás a tevékenységek ütemezésére és a számítási csomópontokkal való kommunikációra használja, beleértve az internethez való kimenő hozzáférést is.

A csomópontokhoz való hozzáférés korlátozásához és a csomópontok internetről való felderíthetőségének csökkentéséhez nyilvános IP-címek nélkül is kiépítheti a készletet.

További információ: Készlet létrehozása nyilvános IP-címek nélkül.

Készletcsomópontok távelérésének korlátozása

Alapértelmezés szerint a Batch lehetővé teszi, hogy a hálózati kapcsolattal rendelkező csomópont felhasználói RDP vagy SSH használatával külsőleg csatlakozzanak a Batch-készlet számítási csomópontjaihoz.

A csomópontokhoz való távoli hozzáférés korlátozásához használja az alábbi módszerek egyikét:

  • Konfigurálja a PoolEndpointConfiguration parancsot a hozzáférés megtagadására. A készlethez a megfelelő hálózati biztonsági csoport (NSG) lesz társítva.
  • Hozza létre a készletet nyilvános IP-címek nélkül. Alapértelmezés szerint ezek a készletek nem érhetők el a virtuális hálózaton kívül.
  • Társítsa az NSG-t a virtuális hálózathoz, hogy megtagadja az RDP- vagy SSH-portokhoz való hozzáférést.
  • Ne hozzon létre felhasználókat a csomóponton. Csomópontfelhasználók nélkül a távelérés nem lehetséges.

Adatok titkosítása

Az átvitel alatt lévő adatok titkosítása

A Batch-fiók végpontja felé (vagy az Azure Resource Manageren keresztül) folytatott kommunikációnak HTTPS-t kell használnia. A Batch-szolgáltatáshoz való csatlakozáshoz az API-kban megadott Batch-fiók URL-címeit kell használnia https:// .

A Batch szolgáltatással kommunikáló ügyfeleket a Transport Layer Security (TLS) 1.2 használatára kell konfigurálni.

Batch-adatok titkosítása inaktív állapotban

A Batch API-kban megadott információk némelyike, például a fióktanúsítványok, a feladat- és feladat-metaadatok, valamint a feladat parancssorai automatikusan titkosítva lesznek a Batch szolgáltatás által tárolt adatok esetén. Alapértelmezés szerint ezek az adatok az Egyes Batch-fiókokhoz egyedi, Azure Batch platform által felügyelt kulcsokkal lesznek titkosítva.

Ezeket az adatokat ügyfél által felügyelt kulcsokkal is titkosíthatja. Az Azure Key Vault a Batch-fiókban regisztrált kulcsazonosítóval rendelkező kulcs létrehozásához és tárolásához használható.

Számítási csomópont lemezeinek titkosítása

A Batch számítási csomópontok alapértelmezés szerint két lemezzel rendelkeznek: egy operációsrendszer-lemezzel és a helyi ideiglenes SSD-vel. A Batch által kezelt fájlok és könyvtárak az ideiglenes SSD-n találhatók, amely a fájlok, például a feladatkimeneti fájlok alapértelmezett helye. A Batch-feladatalkalmazások használhatják az SSD vagy az operációsrendszer-lemez alapértelmezett helyét.

A fokozott biztonság érdekében titkosítsa ezeket a lemezeket az Alábbi Azure-lemeztitkosítási képességek egyikével:

Szolgáltatások biztonságos elérése számítási csomópontokról

A Batch-csomópontok biztonságosan hozzáférhetnek az Azure Key Vaultban tárolt hitelesítő adatokhoz, amelyeket a feladatalkalmazások más szolgáltatások eléréséhez használhatnak. A rendszer tanúsítvány használatával biztosít hozzáférést a készletcsomópontoknak a Key Vaulthoz. Ha engedélyezi az automatikus tanúsítványrotációt a Batch-készletben, a hitelesítő adatok automatikusan megújulnak. Ez az ajánlott lehetőség, hogy a Batch-csomópontok hozzáférjenek az Azure Key Vaultban tárolt hitelesítő adatokhoz, de a Batch-csomópontokat úgy is beállíthatja, hogy biztonságosan elérhessék a hitelesítő adatokat és titkos kulcsokat egy tanúsítvánnyal , automatikus tanúsítványrotáció nélkül.

Cégirányítás és megfelelőség

Megfelelőség

Annak érdekében, hogy az ügyfelek világszerte eleget tegyenek saját megfelelőségi kötelezettségeiknek a szabályozott iparágakban és piacokon, az Azure számos megfelelőségi ajánlattal rendelkezik.

Ezek az ajánlatok különböző típusú biztosítékokon alapulnak, beleértve a független külső auditáló cégek által készített hivatalos tanúsítványokat, igazolásokat, igazolásokat, hitelesítéseket és értékeléseket, valamint a Microsoft által készített szerződésmódosításokat, önértékeléseket és ügyfél-útmutató dokumentumokat. Tekintse át a megfelelőségi ajánlatok átfogó áttekintését, és állapítsa meg, hogy mely megoldások lehetnek relevánsak a Batch-megoldásokhoz.

Azure Policy

Az Azure Policy segít a szervezeti szabványok betartatásában és a megfelelőség nagy léptékű értékelésében. Az Azure Policy gyakori használati esetei közé tartozik az erőforrás-konzisztencia szabályozásának, a jogszabályi megfelelőségnek, a biztonságnak, a költségeknek és a felügyeletnek a megvalósítása.

A készletfoglalási módtól és az erőforrásoktól függően, amelyekre a szabályzatnak vonatkoznia kell, használja az Azure Policyt a Batch szolgáltatással az alábbi módok egyikével:

  • Közvetlenül a Microsoft.Batch/batchAccounts erőforrás használatával. A Batch-fiók tulajdonságainak egy részhalmaza használható. A szabályzat például tartalmazhat érvényes Batch-fiókterületeket, engedélyezett készletfoglalási módot, valamint azt, hogy engedélyezve van-e nyilvános hálózat a fiókokhoz.
  • Közvetett módon használja a Microsoft.Compute/virtualMachineScaleSets erőforrást. A felhasználói előfizetési készlet foglalási módjával rendelkező Batch-fiókok házirendet állíthatnak be a Batch-fiók előfizetésében létrehozott virtuálisgép-méretezési csoport erőforrásain. Például engedélyezett virtuálisgép-méretek, és győződjön meg arról, hogy bizonyos bővítmények futnak az egyes készletcsomópontokon.

Következő lépések