Gambaran umum keamanan perusahaan di Azure HDInsight di AKS
Penting
Fitur ini masih dalam mode pratinjau. Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure mencakup lebih banyak persyaratan hukum yang berlaku untuk fitur Azure yang dalam versi beta, dalam pratinjau, atau belum dirilis ke ketersediaan umum. Untuk informasi tentang pratinjau khusus ini, lihat Azure HDInsight pada informasi pratinjau AKS. Untuk pertanyaan atau saran fitur, kirimkan permintaan di AskHDInsight dengan detail dan ikuti kami untuk pembaruan lebih lanjut di Komunitas Azure HDInsight.
Azure HDInsight di AKS menawarkan keamanan secara default, dan ada beberapa metode untuk memenuhi kebutuhan keamanan perusahaan Anda.
Artikel ini membahas arsitektur keamanan keseluruhan, dan solusi keamanan dengan membandingkannya menjadi empat pilar keamanan tradisional: keamanan perimeter, autentikasi, otorisasi, dan enkripsi.
Arsitektur keamanan
Kesiapan perusahaan untuk perangkat lunak apa pun memerlukan pemeriksaan keamanan yang ketat untuk mencegah dan mengatasi ancaman yang mungkin muncul. HDInsight di AKS menyediakan model keamanan berlapis untuk melindungi Anda pada beberapa lapisan. Arsitektur keamanan menggunakan metode otorisasi modern menggunakan MSI. Semua akses penyimpanan adalah melalui MSI, dan akses database melalui nama pengguna/kata sandi. Kata sandi disimpan di Azure Key Vault, yang ditentukan oleh pelanggan. Fitur ini membuat penyiapan menjadi kuat dan aman secara default.
Diagram di bawah ini mengilustrasikan arsitektur teknis keamanan tingkat tinggi di HDInsight pada AKS.
Pilar keamanan perusahaan
Salah satu cara untuk melihat keamanan perusahaan adalah membagi solusi keamanan menjadi empat grup utama berdasarkan jenis kontrol. Grup ini juga disebut pilar keamanan dan merupakan jenis berikut: keamanan perimeter, autentikasi, otorisasi, dan enkripsi.
Keamanan perimeter
Keamanan perimeter di HDInsight pada AKS dicapai melalui jaringan virtual. Admin perusahaan dapat membuat kluster di dalam jaringan virtual (VNET) dan menggunakan kelompok keamanan jaringan (NSG) untuk membatasi akses ke jaringan virtual.
Autentikasi
HDInsight di AKS menyediakan autentikasi berbasis ID Microsoft Entra untuk masuk kluster dan menggunakan identitas terkelola (MSI) untuk mengamankan akses kluster ke file di Azure Data Lake Storage Gen2. Identitas terkelola adalah fitur ID Microsoft Entra yang menyediakan layanan Azure dengan serangkaian kredensial yang dikelola secara otomatis. Dengan penyiapan ini, karyawan perusahaan dapat masuk ke node kluster dengan menggunakan kredensial domain mereka. Identitas terkelola dari MICROSOFT Entra ID memungkinkan aplikasi Anda untuk dengan mudah mengakses sumber daya yang dilindungi Microsoft Entra lainnya seperti Azure Key Vault, Storage, SQL Server, dan Database. Identitas yang dikelola oleh platform Azure dan tidak mengharuskan Anda untuk menyediakan atau memutar rahasia apa pun. Solusi ini adalah kunci untuk mengamankan akses ke HDInsight Anda pada kluster AKS dan sumber daya dependen lainnya. Identitas terkelola membuat aplikasi Anda lebih aman dengan menghilangkan rahasia dari aplikasi Anda, misalnya info masuk dalam string koneksi.
Anda membuat identitas terkelola yang ditetapkan pengguna, yang merupakan sumber daya Azure mandiri, sebagai bagian dari proses pembuatan kluster, yang mengelola akses ke sumber daya dependen Anda.
Authorization
Praktik terbaik yang diikuti sebagian besar perusahaan adalah memastikan bahwa tidak setiap karyawan memiliki akses penuh ke semua sumber daya perusahaan. Demikian juga, admin dapat menentukan kebijakan kontrol akses berbasis peran untuk sumber daya kluster.
Pemilik sumber daya dapat mengonfigurasi kontrol akses berbasis peran (RBAC). Mengkonfigurasi kebijakan RBAC memungkinkan Anda untuk mengaitkan izin dengan peran dalam organisasi. Lapisan abstraksi ini memudahkan untuk memastikan orang hanya memiliki izin yang diperlukan untuk melakukan tanggung jawab kerja mereka. Otorisasi yang dikelola oleh peran ARM untuk manajemen kluster (sarana kontrol) dan akses data kluster (data plane) yang dikelola oleh manajemen akses kluster.
Peran manajemen kluster (Sarana Kontrol / Peran ARM)
| Perbuatan | HDInsight pada Admin Kumpulan Kluster AKS | HDInsight pada Admin Kluster AKS |
|---|---|---|
| Membuat / Menghapus kumpulan kluster | ✅ | |
| Menetapkan izin dan peran pada kumpulan kluster | ✅ | |
| Membuat/menghapus kluster | ✅ | ✅ |
| Kelola Kluster | ✅ | |
| Pengelolaan Konfigurasi | ✅ | |
| Tindakan skrip | ✅ | |
| Manajemen Pustaka | ✅ | |
| Pemantauan | ✅ | |
| Menskalakan tindakan | ✅ |
Peran di atas berasal dari perspektif operasi ARM. Untuk informasi selengkapnya, lihat Memberikan akses pengguna ke sumber daya Azure menggunakan portal Azure - Azure RBAC.
Akses kluster (Data Plane)
Anda dapat mengizinkan pengguna, perwakilan layanan, identitas terkelola untuk mengakses kluster melalui portal atau menggunakan ARM.
Akses ini memungkinkan
- Lihat kluster, dan kelola pekerjaan.
- Lakukan semua operasi pemantauan dan manajemen.
- Lakukan operasi skala otomatis dan perbarui jumlah simpul.
Akses yang tidak disediakan untuk
- Penghapusan kluster
Penting
Setiap pengguna yang baru ditambahkan akan memerlukan peran tambahan dari "Pembaca RBAC Azure Kubernetes Service" untuk melihat kesehatan layanan.
Audit
Mengaudit akses sumber daya kluster diperlukan untuk melacak akses sumber daya yang tidak berwenang atau tidak disengaja. Hal ini sama pentingnya dengan melindungi sumber daya kluster dari akses yang tidak berwenang.
Admin grup sumber daya dapat melihat dan melaporkan semua akses ke HDInsight pada sumber daya dan data kluster AKS menggunakan log aktivitas. Admin dapat melihat dan melaporkan perubahan pada kebijakan kontrol akses.
Enkripsi
Melindungi data juga penting untuk memenuhi persyaratan keamanan dan kepatuhan organisasi. Seiring dengan pembatasan akses ke data dari karyawan yang tidak berwenang, Anda juga harus mengenkripsinya. Penyimpanan dan disk (disk OS dan disk data persisten) yang digunakan oleh node kluster dan kontainer dienkripsi. Data di Azure Storage dienkripsi dan didekripsi secara transparan menggunakan enkripsi AES 256-bit, salah satu cipher blok terkuat yang tersedia, dan sesuai dengan FIPS 140-2. Enkripsi Azure Storage diaktifkan untuk semua akun penyimpanan, yang membuat data aman secara default, Anda tidak perlu mengubah kode atau aplikasi Anda untuk memanfaatkan enkripsi Azure Storage. Enkripsi data saat transit ditangani dengan TLS 1.2.
Kepatuhan
Penawaran kepatuhan Azure didasarkan pada berbagai jenis jaminan, termasuk sertifikasi formal. Juga, pengesahan, validasi, dan otorisasi. Penilaian dihasilkan oleh perusahaan audit pihak ketiga yang independen. Amandemen kontraktual, penilaian mandiri, dan dokumen panduan pelanggan dibuat oleh Microsoft. Untuk HDInsight tentang informasi kepatuhan AKS, lihat Pusat Kepercayaan Microsoft dan Gambaran Umum kepatuhan Microsoft Azure.
Model tanggung jawab bersama
Gambar berikut merangkum area keamanan sistem utama dan solusi keamanan yang tersedia untuk Anda. Ini juga menyoroti area keamanan mana yang menjadi tanggung jawab Anda sebagai pelanggan dan area yang menjadi tanggung jawab HDInsight pada AKS sebagai penyedia layanan.
Tabel berikut ini menyediakan tautan ke sumber daya untuk tiap-tiap tipe solusi keamanan.
| Area keamanan | Solusi tersedia | Pihak yang bertanggung jawab |
|---|---|---|
| Keamanan Akses Data | Mengonfigurasi ACL daftar kontrol akses untuk Azure Data Lake Storage Gen2 | Pelanggan |
| Aktifkan properti Transfer aman yang diperlukan pada penyimpanan | Pelanggan | |
| Konfigurasikan firewall Azure Storage dan jaringan virtual | Pelanggan | |
| Keamanan sistem operasi | Membuat kluster dengan HDInsight terbaru pada versi AKS | Pelanggan |
| Keamanan jaringan | Konfigurasikan jaringan virtual | |
| Mengonfigurasi Lalu Lintas menggunakan aturan Firewall | Pelanggan | |
| Mengonfigurasi lalu lintas keluar yang diperlukan | Pelanggan |
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk