Bagikan melalui


Keamanan di Azure Data Explorer

Artikel ini menyediakan pengenalan keamanan di Azure Data Explorer untuk membantu Anda melindungi data dan sumber daya Anda di cloud dan memenuhi kebutuhan keamanan bisnis Anda. Penting untuk menjaga kluster Anda tetap aman. Mengamankan kluster Anda mencakup satu atau beberapa fitur Azure yang mencakup akses dan penyimpanan yang aman. Artikel ini menyediakan informasi untuk membantu Anda menjaga keamanan kluster Anda.

Untuk sumber daya lainnya mengenai kepatuhan untuk bisnis atau organisasi Anda, lihat dokumentasi kepatuhan Azure.

Keamanan jaringan

Keamanan jaringan adalah persyaratan yang dibagikan oleh banyak pelanggan perusahaan kami yang sadar keamanan. Tujuannya adalah untuk mengisolasi lalu lintas jaringan dan membatasi permukaan serangan untuk Azure Data Explorer dan komunikasi yang sesuai. Oleh karena itu, Anda dapat memblokir lalu lintas yang berasal dari segmen jaringan non-Azure Data Explorer dan memastikan bahwa hanya lalu lintas dari sumber yang diketahui yang mencapai titik akhir Azure Data Explorer. Ini termasuk lalu lintas yang berasal dari lokal atau di luar Azure, dengan tujuan Azure dan sebaliknya. Azure Data Explorer mendukung fitur berikut untuk mencapai tujuan ini:

Kami sangat menyarankan penggunaan titik akhir privat untuk mengamankan akses jaringan ke kluster Anda. Opsi ini memiliki banyak keuntungan dibandingkan injeksi jaringan virtual yang menghasilkan overhead pemeliharaan yang lebih rendah, termasuk proses penyebaran yang lebih sederhana dan lebih kuat terhadap perubahan jaringan virtual.

Identitas dan kontrol akses

Kontrol akses berbasis peran

Gunakan kontrol akses berbasis peran (RBAC) untuk memisahkan tugas dan hanya memberikan akses yang diperlukan kepada pengguna kluster. Alih-alih memberi semua orang izin tidak terbatas pada kluster, Anda hanya dapat mengizinkan pengguna yang ditetapkan ke peran tertentu untuk melakukan tindakan tertentu. Anda dapat mengonfigurasi kontrol akses untuk database di portal Azure, menggunakan Azure CLI, atau Azure PowerShell.

Identitas yang dikelola untuk sumber daya Azure

Tantangan umum saat membangun aplikasi cloud adalah manajemen kredensial dalam kode Anda untuk mengautentikasi ke layanan cloud. Menjaga kredensial tetap aman adalah tugas penting. Informasi masuk tidak boleh disimpan di workstation pengembang atau diperiksa ke kontrol sumber. Azure Key Vault menyediakan cara untuk menyimpan info masuk, rahasia, kunci lainnya dengan aman, tetapi kode Anda perlu melakukan autentikasi ke Key Vault untuk mengambilnya.

Fitur identitas terkelola Microsoft Entra untuk sumber daya Azure memecahkan masalah ini. Fitur ini menyediakan layanan Azure dengan identitas terkelola secara otomatis dalam ID Microsoft Entra. Anda dapat menggunakan identitas untuk mengautentikasi ke layanan apa pun yang mendukung autentikasi Microsoft Entra, termasuk Key Vault, tanpa kredensial apa pun dalam kode Anda. Untuk informasi selengkapnya tentang layanan ini, lihat identitas terkelola untuk halaman gambaran umum sumber daya Azure.

Perlindungan data

Azure Disk Encryption

Azure Disk Encryption membantu melindungi dan mengamankan data Anda untuk memenuhi komitmen keamanan dan kepatuhan organisasi Anda. Ini menyediakan enkripsi volume untuk OS dan disk data komputer virtual kluster Anda. Azure Disk Encryption juga terintegrasi dengan Azure Key Vault, yang memungkinkan kami mengontrol dan mengelola kunci dan rahasia enkripsi disk, dan memastikan semua data pada disk VM dienkripsi.

Kunci yang dikelola pelanggan dengan Azure Key Vault

Secara default, data dienkripsi dengan kunci yang dikelola Microsoft. Untuk kontrol tambahan atas kunci enkripsi, Anda dapat menyediakan kunci yang dikelola pelanggan untuk digunakan untuk enkripsi data. Anda dapat mengelola enkripsi data Anda di tingkat penyimpanan dengan kunci Anda sendiri. Kunci yang dikelola pelanggan digunakan untuk melindungi dan mengontrol akses ke kunci enkripsi akar, yang digunakan untuk mengenkripsi dan mendekripsi semua data. Kunci yang dikelola pelanggan menawarkan fleksibilitas yang lebih luas untuk membuat, memutar, menonaktifkan, dan mencabut kontrol akses. Anda juga dapat mengaudit kunci enkripsi yang digunakan untuk melindungi data Anda.

Gunakan Azure Key Vault untuk menyimpan kunci yang dikelola pelanggan Anda. Anda dapat membuat kunci Anda sendiri dan menyimpannya di brankas kunci, atau Anda dapat menggunakan AZURE Key Vault API untuk menghasilkan kunci. Kluster Azure Data Explorer dan Key Vault Azure harus berada di wilayah yang sama, tetapi dapat berada di langganan yang berbeda. Untuk informasi selengkapnya tentang Azure Key Vault, lihat Apa itu Azure Key Vault?. Untuk penjelasan terperinci tentang kunci yang dikelola pelanggan, lihat Kunci yang dikelola pelanggan dengan Azure Key Vault. Mengonfigurasi kunci yang dikelola pelanggan di kluster Azure Data Explorer Anda menggunakan Portal, C#, templat Azure Resource Manager, CLI, atau PowerShell

Catatan

Kunci yang dikelola pelanggan mengandalkan identitas terkelola untuk sumber daya Azure, fitur ID Microsoft Entra. Untuk mengonfigurasi kunci yang dikelola pelanggan di portal Azure, konfigurasikan identitas terkelola ke kluster Anda seperti yang dijelaskan dalam Mengonfigurasi identitas terkelola untuk kluster Azure Data Explorer Anda.

Simpann kunci yang dikelola pelanggan di Azure Key Vault

Untuk mengaktifkan kunci yang dikelola pelanggan pada kluster, gunakan azure Key Vault untuk menyimpan kunci Anda. Anda harus mengaktifkan Penghapusan Sementara dan Jangan Hapus Permanen properti pada brankas kunci. Brankas kunci harus terletak di wilayah yang sama dengan kluster. Azure Data Explorer menggunakan identitas terkelola untuk sumber daya Azure guna mengautentikasi ke brankas kunci untuk operasi enkripsi dan dekripsi. Identitas terkelola tidak mendukung skenario lintas direktori.

Memutar kunci yang dikelola pelanggan

Anda dapat memutar kunci yang dikelola pelanggan di Azure Key Vault sesuai dengan kebijakan kepatuhan Anda. Untuk memutar kunci, di Azure Key Vault, perbarui versi kunci atau buat kunci baru, lalu perbarui kluster untuk mengenkripsi data menggunakan URI kunci baru. Anda dapat melakukan langkah-langkah ini menggunakan Azure CLI atau di portal. Memutar kunci tidak memicu enkripsi ulang data yang ada di kluster.

Saat memutar kunci, biasanya Anda menentukan identitas yang sama dengan yang digunakan saat membuat kluster. Secara opsional, konfigurasikan identitas baru yang ditetapkan pengguna untuk akses kunci, atau aktifkan dan tentukan identitas yang ditetapkan sistem kluster.

Catatan

Pastikan izin Dapatkan, Buka Kunci, dan Kunci Bungkus yang diperlukan diatur untuk identitas yang Anda konfigurasi untuk akses kunci.

Perbarui versi kunci

Skenario umum adalah memperbarui versi kunci yang digunakan sebagai kunci yang dikelola pelanggan. Bergantung pada bagaimana enkripsi kluster dikonfigurasi, kunci yang dikelola pelanggan dalam kluster diperbarui secara otomatis, atau harus diperbarui secara manual.

Cabut akses ke kunci yang dikelola pelanggan

Untuk mencabut akses ke kunci yang dikelola pelanggan, gunakan PowerShell atau Azure CLI. Untuk informasi selengkapnya, lihat Azure Key Vault PowerShell atau Azure Key Vault CLI. Mencabut akses memblokir akses ke semua data di tingkat penyimpanan kluster, karena kunci enkripsi akibatnya tidak dapat diakses oleh Azure Data Explorer.

Catatan

Ketika Azure Data Explorer mengidentifikasi bahwa akses ke kunci yang dikelola pelanggan dicabut, secara otomatis akan menangguhkan kluster untuk menghapus data yang di-cache. Setelah akses ke kunci dikembalikan, kluster akan dilanjutkan secara otomatis.