Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk bemutatja az Azure Data Explorer biztonsági funkcióit, amelyek segítenek a felhőben tárolt adatok és erőforrások védelmében, valamint a vállalat biztonsági igényeinek kielégítésében. Fontos, hogy a klaszterek biztonságban legyenek. A fürtök biztonságának biztosítása az Azure-ban elérhető egy vagy több funkció használatával történhet, amelyek biztonságos hozzáférést és tárolást biztosítanak. Ez a cikk információkat nyújt, amelyek segítenek biztonságban tartani a fürtöt.
A vállalat vagy szervezet megfelelőségével kapcsolatos további forrásokért tekintse meg az Azure megfelelőségi dokumentációját.
Hálózati biztonság
A hálózati biztonság számos, biztonságtudatos vállalati ügyfél által közös követelmény. A szándék az, hogy elkülönítse a hálózati forgalmat, és korlátozza az Azure Data Explorer támadási felületét és a kapcsolódó kommunikációt. Letilthatja a nem Azure Data Explorer hálózati szegmensekből származó forgalmat, és biztosíthatja, hogy csak az ismert forrásokból érkező forgalom érje el az Azure Data Explorer-végpontokat. Ez a védelem magában foglalja a helyszínen keletkező vagy Azure-on kívüli forgalmat, amelynek célpontja Azure, és az ellenkező irányba.
Az Azure Data Explorer támogatja a privát végpontokat a hálózatelkülönítés és a biztonság érdekében. A privát végpontok biztonságos módot biztosítanak az Azure Data Explorer-fürthöz való csatlakozáshoz egy privát IP-cím használatával a virtuális hálózatról, amely hatékonyan hozza be a szolgáltatást a virtuális hálózatba. Ez a konfiguráció biztosítja, hogy a virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft gerinchálózatán haladjon át, kiküszöbölve a nyilvános internetről való kitettséget.
A privát végpontok fürthöz való konfigurálásáról további információt a Privát végpont című témakörben talál.
Identitás- és hozzáférés-vezérlés
Szerepköralapú hozzáférés-vezérlés
Szerepköralapú hozzáférés-vezérlés (RBAC) használatával elkülönítheti a feladatokat, és csak a szükséges hozzáférést biztosíthatja a klaszter-felhasználók számára. Ahelyett, hogy mindenki számára korlátlan engedélyeket adnának a fürtön, csak az adott szerepkörökhöz rendelt felhasználók hajthassanak végre bizonyos műveleteket. Az Azure Portaladatbázisainak hozzáférés-vezérlését az Azure CLI vagy az Azure PowerShell használatával konfigurálhatja.
Menedzselt identitások Azure erőforrásokhoz
A felhőalkalmazások létrehozásakor gyakori kihívás a kód hitelesítő adatainak kezelése a felhőszolgáltatásokhoz való hitelesítéshez. A hitelesítő adatok biztonságának megőrzése fontos feladat. Ne tárolja a hitelesítő adatokat a fejlesztői munkaállomásokon, és ne ellenőrizze őket a forráskövetésben. Az Azure Key Vault módot kínál a hitelesítő adatok, titkos kódok és egyéb kulcsok biztonságos tárolására, azonban a kódnak hitelesítenie kell magát a Key Vaultban az adatok lekéréséhez.
Az Azure-erőforrásokhoz készült Microsoft Entra felügyelt identitások funkció megoldja ezt a problémát. A szolgáltatás automatikusan felügyelt identitást biztosít az Azure-szolgáltatásoknak a Microsoft Entra-azonosítóban. Az identitással hitelesítést végezhet bármely olyan szolgáltatásban, amely támogatja a Microsoft Entra-hitelesítést, beleértve a Key Vaultot is, anélkül, hogy a kódban hitelesítő adatok szerepelnek. A szolgáltatással kapcsolatos további információkért tekintse meg az Azure-erőforrások felügyelt identitásainak áttekintési oldalát.
Adatvédelem
Azure-lemeztitkosítás
Az Azure Disk Encryption segít megvédeni és biztosítani az adatait, hogy teljesíthesse a szervezeti biztonsági és megfelelőségi kötelezettségeit. Kötettitkosítást biztosít a fürt virtuális gépeinek operációs rendszereinek és adatlemezeinek. Az Azure Disk Encryption integrálható az Azure Key Vaulttal is, amellyel szabályozhatja és kezelheti a lemeztitkosítási kulcsokat és titkos kulcsokat, és biztosíthatja, hogy a virtuálisgép-lemezeken lévő összes adat titkosítva legyen.
Felhasználó által kezelt kulcsok az Azure Key Vaulttal
Alapértelmezés szerint a Microsoft által felügyelt kulcsok titkosítják az adatokat. A titkosítási kulcsok további szabályozásához adja meg az ügyfél által felügyelt kulcsokat az adattitkosításhoz. Az adatok titkosítását saját kulcsokkal kezelheti a tárterület szintjén. Az ügyfél által felügyelt kulcs védi és szabályozza a gyökértitkosítási kulcshoz való hozzáférést, amely minden adatot titkosít és visszafejt. Az ügyfél által kezelt kulcsok nagyobb rugalmasságot biztosítanak a hozzáférési vezérlők létrehozásához, elforgatásához, letiltásához és visszavonásához. Az adatokat védő titkosítási kulcsokat is naplózhatja.
Az Azure Key Vault használatával tárolhatja az ügyfél által kezelt kulcsokat. Létrehozhat saját kulcsokat, és tárolhatja őket egy kulcstartóban, vagy használhat egy Azure Key Vault API-t a kulcsok létrehozásához. Az Azure Data Explorer-fürtnek és az Azure Key Vaultnak ugyanabban a régióban kell lennie, de különböző előfizetésekben lehetnek. További információ az Azure Key Vaultról: Mi az Az Azure Key Vault?. Az ügyfél által felügyelt kulcsokkal kapcsolatos részletes magyarázatért lásd: Ügyfél által felügyelt kulcsok az Azure Key Vaulttal. Konfigurálja az ügyfél által felügyelt kulcsokat az Azure Data Explorer-fürtben a Portál, a C#, az Azure Resource Manager sablon, a parancssori felület vagy a PowerShell használatával.
Megjegyzés:
Az ügyfél által felügyelt kulcsok az Azure-erőforrások felügyelt identitásaira támaszkodnak, amely a Microsoft Entra ID egyik funkciója. Ha ügyfél által felügyelt kulcsokat szeretne konfigurálni az Azure Portalon, konfiguráljon egy felügyelt identitást a fürthöz az Azure Data Explorer-fürt felügyelt identitásainak konfigurálása című cikkben leírtak szerint.
Ügyfél által felügyelt kulcsok tárolása az Azure Key Vaultban
Az ügyfél által felügyelt kulcsok csomóponton való engedélyezéséhez az Azure Key Vault-ot használva tárolja a kulcsait. Engedélyeznie kell a Helyreállítható törlés és a Törlés tiltása tulajdonságokat a kulcstárban. A kulcstartónak ugyanabban a régióban kell lennie, mint a fürtnek. Az Azure Data Explorer felügyelt identitásokat használ az Azure-erőforrásokhoz a kulcstartóban való hitelesítéshez titkosítási és visszafejtési műveletekhez. A felügyelt identitások nem támogatják a címtárközi forgatókönyveket.
Ügyfél által felügyelt kulcsok elforgatása
Az ügyfél által felügyelt kulcsokat a megfelelőségi szabályzatoknak megfelelően elforgathatja az Azure Key Vaultban. Kulcsrotáláshoz frissítse a kulcs verzióját, vagy hozzon létre egy új kulcsot az Azure Key Vaultban, majd frissítse a fürtöt az új kulcs URI-val az adatok titkosításához. Ezeket a lépéseket az Azure CLI-vel vagy a portálon teheti meg. A kulcs elforgatása nem aktiválja a fürtben lévő meglévő adatok újratitkosítását.
Kulcs elforgatásakor általában ugyanazt az identitást adja meg, amelyet a fürt létrehozásakor használ. Igény szerint állítson be egy új, felhasználó által megadott identitást a kulcsok elérésére, vagy engedélyezze és határozza meg a fürt rendszer által hozzárendelt identitást.
Megjegyzés:
Győződjön meg arról, hogy a kulcshozzáféréshez konfigurált identitáshoz be van állítva a szükséges lekérési, kulcsbontási és kulcsbecsomagolási engedélyek.
Kulcsverzió frissítése
Gyakori forgatókönyv az ügyfél által felügyelt kulcsként használt kulcs verziójának frissítése. A fürttitkosítás konfigurálásának módjától függően az ügyfél által kezelt kulcs a fürtben automatikusan frissül, vagy manuálisan kell frissítenie.
Az ügyfél által felügyelt kulcsokhoz való hozzáférés visszavonása
Az ügyfél által felügyelt kulcsokhoz való hozzáférés visszavonásához használja a PowerShellt vagy az Azure CLI-t. További információ: Azure Key Vault PowerShell vagy Azure Key Vault CLI. A hozzáférés visszavonása blokkolja a fürt tárolási szintjén lévő összes adathoz való hozzáférést, mivel a titkosítási kulcsot ezért az Azure Data Explorer nem éri el.
Megjegyzés:
Amikor az Azure Data Explorer megállapítja, hogy az ügyfél által felügyelt kulcshoz való hozzáférés visszavonásra kerül, automatikusan felfüggeszti a fürtöt a gyorsítótárazott adatok törlésének érdekében. A kulcshoz való hozzáférés visszaadása után a fürt automatikusan újraindul.