Keamanan di Azure Data Lake Storage Gen1
Banyak perusahaan memanfaatkan analitik big data untuk wawasan bisnis untuk membantu mereka membuat keputusan cerdas. Organisasi mungkin memiliki lingkungan yang kompleks dan teratur, dengan semakin banyak pengguna yang beragam. Sangat penting bagi perusahaan untuk memastikan bahwa data bisnis penting disimpan lebih aman, dengan tingkat akses yang benar diberikan kepada pengguna individu. Azure Data Lake Storage Gen1 dirancang untuk membantu memenuhi persyaratan keamanan ini. Dalam artikel ini, pelajari tentang kemampuan keamanan Data Lake Storage Gen1, termasuk:
- Autentikasi
- Authorization
- Isolasi jaringan
- Perlindungan data
- Audit
Manajemen autentikasi dan identitas
Autentikasi adalah proses di mana identitas pengguna diverifikasi ketika pengguna berinteraksi dengan Data Lake Storage Gen1 atau dengan layanan apa pun yang terhubung ke Data Lake Storage Gen1. Untuk manajemen dan autentikasi identitas, Data Lake Storage Gen1 menggunakan Microsoft Entra ID, solusi cloud manajemen identitas dan akses komprehensif yang menyederhanakan manajemen pengguna dan grup.
Setiap langganan Azure dapat dikaitkan dengan instans Microsoft Entra ID. Hanya pengguna dan identitas layanan yang ditentukan dalam layanan Microsoft Entra Anda yang dapat mengakses akun Data Lake Storage Gen1 Anda, dengan menggunakan portal Azure, alat baris perintah, atau melalui aplikasi klien yang dibangun organisasi Anda dengan menggunakan SDK Data Lake Storage Gen1. Keuntungan utama menggunakan Microsoft Entra ID sebagai mekanisme kontrol akses terpusat adalah:
- Manajemen siklus hidup identitas yang disederhanakan. Identitas pengguna atau layanan (identitas utama layanan) dapat dengan cepat dibuat dan dengan cepat dicabut hanya dengan menghapus atau menonaktifkan akun di direktori.
- Autentikasi multifaktor. Autentikasi multifaktor menyediakan lapisan keamanan tambahan untuk login dan transaksi pengguna.
- Autentikasi dari klien mana pun melalui protokol terbuka standar, seperti OAuth atau OpenID.
- Federasi dengan layanan direktori perusahaan dan penyedia identitas cloud.
Otorisasi dan kontrol akses
Setelah Microsoft Entra mengautentikasi pengguna sehingga pengguna dapat mengakses Data Lake Storage Gen1, otorisasi mengontrol izin akses untuk Data Lake Storage Gen1. Data Lake Storage Gen1 memisahkan otorisasi untuk aktivitas terkait akun dan terkait data dengan cara berikut:
- Kontrol akses berbasis peran Azure (Azure RBAC) untuk manajemen akun
- POSIX ACL untuk mengakses data di penyimpanan
Azure RBAC untuk manajemen akun
Empat peran dasar didefinisikan untuk Data Lake Storage Gen1 secara default. Peran ini mengizinkan berbagai operasi pada akun Data Lake Storage Gen1 melalui portal Microsoft Azure, cmdlet PowerShell, dan API REST. Peran Pemilik dan Kontributor dapat melakukan berbagai fungsi administrasi pada akun. Anda dapat menetapkan peran Pembaca kepada pengguna yang hanya menampilkan data manajemen akun.
Perhatikan bahwa meskipun peran ditetapkan untuk manajemen akun, beberapa peran memengaruhi akses ke data. Anda perlu menggunakan ACL untuk mengontrol akses ke operasi yang dapat dilakukan pengguna pada sistem file. Tabel berikut ini memperlihatkan ringkasan hak manajemen dan hak akses data untuk peran default.
| Peran | Hak manajemen | Hak akses data | Penjelasan |
|---|---|---|---|
| Tidak ada peran yang ditetapkan | Tidak ada | Diatur oleh ACL | Pengguna tidak dapat menggunakan portal Microsoft Azure atau cmdlet Azure PowerShell untuk menelusuri Data Lake Storage Gen1. Pengguna hanya dapat menggunakan alat baris perintah. |
| Pemilik | Semua | Semua | Peran Pemilik adalah superuser. Peran ini dapat mengelola semuanya dan memiliki akses penuh ke data. |
| Pembaca | Baca-saja | Diatur oleh ACL | Peran Pembaca dapat melihat segala sesuatu mengenai manajemen akun seperti pengguna mana yang ditetapkan untuk peran mana. Peran Pembaca tidak dapat membuat perubahan apa pun. |
| Kontributor | Semua kecuali tambahkan dan hapus peran | Diatur oleh ACL | Peran Kontributor dapat mengelola beberapa aspek akun, seperti penyebaran dan membuat serta mengelola peringatan. Peran Kontributor tidak dapat menambahkan atau menghapus peran. |
| Administrator Akses Pengguna | Menambahkan dan menghapus peran | Diatur oleh ACL | Peran Administrator Akses Pengguna bisa mengelola akses pengguna ke akun. |
Untuk mengetahui petunjuknya, lihat Menetapkan pengguna atau grup keamanan ke akun Data Lake Storage Gen1.
Menggunakan ACL untuk operasi pada sistem file
Data Lake Storage Gen1 adalah sistem file hierarkis seperti Hadoop Distributed File System (HDFS), dan mendukung POSIX ACL. ACL mengontrol izin membaca (r), menulis (w), dan menjalankan (x) ke sumber daya untuk peran Pemilik, untuk grup Pemilik, dan untuk pengguna dan grup lain. ACL dapat diaktifkan pada folder root, pada subfolder, dan pada file individual di Data Lake Storage Gen1. Untuk informasi selengkapnya tentang cara kerja ACL dalam konteks Data Lake Storage Gen1, lihat Kontrol akses di Data Lake Storage Gen1.
Kami menyarankan agar Anda menentukan ACL untuk beberapa pengguna dengan menggunakan grup keamanan. Tambahkan pengguna ke grup keamanan, lalu tetapkan ACL untuk file atau folder ke grup keamanan tersebut. Ini berguna ketika Anda ingin memberikan izin yang ditetapkan, karena Anda terbatas pada maksimal 28 entri untuk izin yang ditetapkan. Untuk informasi selengkapnya tentang cara mengamankan data yang disimpan dengan lebih baik di Data Lake Storage Gen1 dengan menggunakan grup keamanan Microsoft Entra, lihat Menetapkan pengguna atau grup keamanan sebagai ACL ke sistem file Data Lake Storage Gen1.
Isolasi jaringan
Gunakan Data Lake Storage Gen1 untuk membantu mengontrol akses ke penyimpanan data Anda di tingkat jaringan. Anda dapat membuat firewall dan menentukan rentang alamat IP untuk klien tepercaya Anda. Dengan rentang alamat IP, hanya klien yang memiliki alamat IP dalam rentang yang ditentukan yang dapat terhubung ke Data Lake Storage Gen1.
Tag layanan dukungan jaringan virtual Azure (VNet) untuk Data Lake Gen 1. Tag layanan mewakili kelompok awalan alamat IP dari layanan Azure tertentu. Microsoft mengelola awalan alamat yang dicakup oleh tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah. Untuk informasi selengkapnya, lihat Gambaran umum tag layanan Azure.
Perlindungan data
Data Lake Storage Gen1 melindungi data Anda sepanjang siklus hidupnya. Untuk data dalam transit, Data Lake Storage Gen1 menggunakan protokol standar industri, Transport Layer Security (TLS 1.2), untuk mengamankan data melalui jaringan.
Data Lake Storage Gen1 juga menyediakan enkripsi untuk data yang disimpan di akun. Anda dapat memilih untuk mengenkripsi data Anda atau memilih untuk tidak ada enkripsi. Jika Anda ikut serta dalam enkripsi, data yang disimpan di Data Lake Storage Gen1 dienkripsi sebelum menyimpannya di media persisten. Dalam kasus semacam itu, Data Lake Storage Gen1 secara otomatis mengenkripsi data sebelumnya secara terus-menerus dan mendekripsi data sebelum pengambilan, sehingga data sepenuhnya transparan bagi klien yang mengakses data. Tidak ada perubahan kode yang diperlukan di sisi klien untuk mengenkripsi/mendekripsi data.
Untuk manajemen kunci, Data Lake Storage Gen1 menyediakan dua mode untuk mengelola kunci enkripsi master (MEKs), yang diperlukan untuk mendekripsi data apa pun yang disimpan di Data Lake Storage Gen1. Anda dapat mengizinkan Data Lake Storage Gen1 mengelola MEK untuk Anda, atau memilih untuk mempertahankan kepemilikan MEK menggunakan akun Azure Key Vault Anda. Anda menentukan mode manajemen kunci saat membuat akun Data Lake Storage Gen1. Untuk informasi lebih lanjut tentang cara menyediakan konfigurasi terkait enkripsi, lihat Mulai menggunakan Azure Data Lake Storage Gen1 dengan portal Microsoft Azure.
Log aktivitas dan diagnostik
Anda dapat menggunakan log aktivitas atau diagnostik, tergantung pada apakah Anda mencari log untuk aktivitas terkait manajemen akun atau aktivitas terkait data.
- Aktivitas terkait manajemen akun menggunakan API Azure Resource Manager dan muncul di portal Microsoft Azure melalui log aktivitas.
- Aktivitas terkait data menggunakan API WEBHDFS REST muncul di portal Microsoft Azure melalui log diagnostik.
Log aktivitas
Untuk mematuhi peraturan, organisasi memerlukan jejak audit yang memadai dari aktivitas manajemen akun jika perlu menggali insiden tertentu. Data Lake Storage Gen1 memiliki pemantauan bawaan dan mencatat semua aktivitas manajemen akun.
Untuk jejak audit manajemen akun, tampilkan dan pilih kolom yang ingin Anda catat. Anda juga dapat mengekspor log aktivitas ke Azure Storage.
Untuk informasi selengkapnya tentang menggunakan log aktivitas di Azure, lihat Menampilkan log aktivitas untuk mengaudit tindakan pada sumber daya.
Log diagnostik
Anda dapat mengaktifkan audit akses data dan pembuatan log diagnostik di portal Microsoft Azure dan mengirim log ke akun penyimpanan Azure Blob, hub peristiwa, atau log Azure Monitor.
Untuk informasi selengkapnya tentang bekerja dengan log diagnostik dengan Data Lake Storage Gen1, lihat Mengakses log diagnostik untuk Data Lake Storage Gen1.
Ringkasan
Pelanggan perusahaan menuntut platform cloud analitik data yang aman dan mudah digunakan. Data Lake Storage Gen1 dirancang untuk membantu mengatasi persyaratan ini melalui manajemen identitas dan autentikasi melalui integrasi Microsoft Entra, otorisasi berbasis ACL, isolasi jaringan, enkripsi data saat transit dan saat tidak aktif, dan audit.
Jika Anda ingin melihat fitur baru di Data Lake Storage Gen1, kirimkan umpan balik Anda kepada kami di forum UserVoice Data Lake Storage Gen1.