Bagikan melalui


Gambaran umum keamanan perusahaan di Azure HDInsight di AKS

Catatan

Kami akan menghentikan Azure HDInsight di AKS pada 31 Januari 2025. Sebelum 31 Januari 2025, Anda harus memigrasikan beban kerja anda ke Microsoft Fabric atau produk Azure yang setara untuk menghindari penghentian tiba-tiba beban kerja Anda. Kluster yang tersisa pada langganan Anda akan dihentikan dan dihapus dari host.

Hanya dukungan dasar yang akan tersedia hingga tanggal penghentian.

Penting

Fitur ini masih dalam mode pratinjau. Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure mencakup lebih banyak persyaratan hukum yang berlaku untuk fitur Azure yang dalam versi beta, dalam pratinjau, atau belum dirilis ke ketersediaan umum. Untuk informasi tentang pratinjau khusus ini, lihat Azure HDInsight pada informasi pratinjau AKS. Untuk pertanyaan atau saran fitur, kirimkan permintaan di AskHDInsight dengan detail dan ikuti kami untuk pembaruan lebih lanjut di Komunitas Azure HDInsight.

Azure HDInsight di AKS menawarkan keamanan secara default, dan ada beberapa metode untuk memenuhi kebutuhan keamanan perusahaan Anda.

Artikel ini membahas arsitektur keamanan keseluruhan, dan solusi keamanan dengan membandingkannya menjadi empat pilar keamanan tradisional: keamanan perimeter, autentikasi, otorisasi, dan enkripsi.

Arsitektur keamanan

Kesiapan perusahaan untuk perangkat lunak apa pun memerlukan pemeriksaan keamanan yang ketat untuk mencegah dan mengatasi ancaman yang mungkin muncul. HDInsight di AKS menyediakan model keamanan berlapis untuk melindungi Anda pada beberapa lapisan. Arsitektur keamanan menggunakan metode otorisasi modern menggunakan MSI. Semua akses penyimpanan adalah melalui MSI, dan akses database melalui nama pengguna/kata sandi. Kata sandi disimpan di Azure Key Vault, yang ditentukan oleh pelanggan. Fitur ini membuat penyiapan menjadi kuat dan aman secara default.

Diagram di bawah ini mengilustrasikan arsitektur teknis keamanan tingkat tinggi di HDInsight pada AKS.

Cuplikan layar memperlihatkan alur keamanan mengautentikasi kluster.

Pilar keamanan perusahaan

Salah satu cara untuk melihat keamanan perusahaan adalah membagi solusi keamanan menjadi empat grup utama berdasarkan jenis kontrol. Grup ini juga disebut pilar keamanan dan merupakan jenis berikut: keamanan perimeter, autentikasi, otorisasi, dan enkripsi.

Keamanan perimeter

Keamanan perimeter di HDInsight pada AKS dicapai melalui jaringan virtual. Admin perusahaan dapat membuat kluster di dalam jaringan virtual (VNET) dan menggunakan kelompok keamanan jaringan (NSG) untuk membatasi akses ke jaringan virtual.

Autentikasi

HDInsight di AKS menyediakan autentikasi berbasis ID Microsoft Entra untuk masuk kluster dan menggunakan identitas terkelola (MSI) untuk mengamankan akses kluster ke file di Azure Data Lake Storage Gen2. Identitas terkelola adalah fitur ID Microsoft Entra yang menyediakan layanan Azure dengan serangkaian kredensial yang dikelola secara otomatis. Dengan penyiapan ini, karyawan perusahaan dapat masuk ke node kluster dengan menggunakan kredensial domain mereka. Identitas terkelola dari MICROSOFT Entra ID memungkinkan aplikasi Anda untuk dengan mudah mengakses sumber daya yang dilindungi Microsoft Entra lainnya seperti Azure Key Vault, Storage, SQL Server, dan Database. Identitas yang dikelola oleh platform Azure dan tidak mengharuskan Anda untuk menyediakan atau memutar rahasia apa pun. Solusi ini adalah kunci untuk mengamankan akses ke HDInsight Anda pada kluster AKS dan sumber daya dependen lainnya. Identitas terkelola membuat aplikasi Anda lebih aman dengan menghilangkan rahasia dari aplikasi Anda, misalnya info masuk dalam string koneksi.

Anda membuat identitas terkelola yang ditetapkan pengguna, yang merupakan sumber daya Azure mandiri, sebagai bagian dari proses pembuatan kluster, yang mengelola akses ke sumber daya dependen Anda.

Authorization

Praktik terbaik yang diikuti sebagian besar perusahaan adalah memastikan bahwa tidak setiap karyawan memiliki akses penuh ke semua sumber daya perusahaan. Demikian juga, admin dapat menentukan kebijakan kontrol akses berbasis peran untuk sumber daya kluster.

Pemilik sumber daya dapat mengonfigurasi kontrol akses berbasis peran (RBAC). Mengkonfigurasi kebijakan RBAC memungkinkan Anda untuk mengaitkan izin dengan peran dalam organisasi. Lapisan abstraksi ini memudahkan untuk memastikan orang hanya memiliki izin yang diperlukan untuk melakukan tanggung jawab kerja mereka. Otorisasi yang dikelola oleh peran ARM untuk manajemen kluster (sarana kontrol) dan akses data kluster (data plane) yang dikelola oleh manajemen akses kluster.

Peran manajemen kluster (Sarana Kontrol / Peran ARM)

Perbuatan HDInsight pada Admin Kumpulan Kluster AKS HDInsight pada Admin Kluster AKS
Membuat / Menghapus kumpulan kluster
Menetapkan izin dan peran pada kumpulan kluster
Membuat/menghapus kluster
Kelola Kluster
Pengelolaan Konfigurasi
Tindakan skrip
Manajemen Pustaka
Pemantauan
Menskalakan tindakan

Peran di atas berasal dari perspektif operasi ARM. Untuk informasi selengkapnya, lihat Memberikan akses pengguna ke sumber daya Azure menggunakan portal Azure - Azure RBAC.

Akses kluster (Data Plane)

Anda dapat mengizinkan pengguna, perwakilan layanan, identitas terkelola untuk mengakses kluster melalui portal atau menggunakan ARM.

Akses ini memungkinkan

  • Lihat kluster, dan kelola pekerjaan.
  • Lakukan semua operasi pemantauan dan manajemen.
  • Lakukan operasi skala otomatis dan perbarui jumlah simpul.

Akses yang tidak disediakan untuk

  • Penghapusan kluster

Cuplikan layar memperlihatkan akses data kluster.

Penting

Setiap pengguna yang baru ditambahkan akan memerlukan peran tambahan dari "Pembaca RBAC Azure Kubernetes Service" untuk melihat kesehatan layanan.

Audit

Mengaudit akses sumber daya kluster diperlukan untuk melacak akses sumber daya yang tidak berwenang atau tidak disengaja. Hal ini sama pentingnya dengan melindungi sumber daya kluster dari akses yang tidak berwenang.

Admin grup sumber daya dapat melihat dan melaporkan semua akses ke HDInsight pada sumber daya dan data kluster AKS menggunakan log aktivitas. Admin dapat melihat dan melaporkan perubahan pada kebijakan kontrol akses.

Enkripsi

Melindungi data juga penting untuk memenuhi persyaratan keamanan dan kepatuhan organisasi. Seiring dengan pembatasan akses ke data dari karyawan yang tidak berwenang, Anda juga harus mengenkripsinya. Penyimpanan dan disk (disk OS dan disk data persisten) yang digunakan oleh node kluster dan kontainer dienkripsi. Data di Azure Storage dienkripsi dan didekripsi secara transparan menggunakan enkripsi AES 256-bit, salah satu cipher blok terkuat yang tersedia, dan sesuai dengan FIPS 140-2. Enkripsi Azure Storage diaktifkan untuk semua akun penyimpanan, yang membuat data aman secara default, Anda tidak perlu mengubah kode atau aplikasi Anda untuk memanfaatkan enkripsi Azure Storage. Enkripsi data saat transit ditangani dengan TLS 1.2.

Kepatuhan

Penawaran kepatuhan Azure didasarkan pada berbagai jenis jaminan, termasuk sertifikasi formal. Juga, pengesahan, validasi, dan otorisasi. Penilaian dihasilkan oleh perusahaan audit pihak ketiga yang independen. Amandemen kontraktual, penilaian mandiri, dan dokumen panduan pelanggan dibuat oleh Microsoft. Untuk HDInsight tentang informasi kepatuhan AKS, lihat Pusat Kepercayaan Microsoft dan Gambaran Umum kepatuhan Microsoft Azure.

Model tanggung jawab bersama

Gambar berikut merangkum area keamanan sistem utama dan solusi keamanan yang tersedia untuk Anda. Ini juga menyoroti area keamanan mana yang menjadi tanggung jawab Anda sebagai pelanggan dan area yang menjadi tanggung jawab HDInsight pada AKS sebagai penyedia layanan.

Cuplikan layar memperlihatkan model tanggung jawab bersama.

Tabel berikut ini menyediakan tautan ke sumber daya untuk tiap-tiap tipe solusi keamanan.

Area keamanan Solusi tersedia Pihak yang bertanggung jawab
Keamanan Akses Data Mengonfigurasi ACL daftar kontrol akses untuk Azure Data Lake Storage Gen2 Pelanggan
Aktifkan properti Transfer aman yang diperlukan pada penyimpanan Pelanggan
Konfigurasikan firewall Azure Storage dan jaringan virtual Pelanggan
Keamanan sistem operasi Membuat kluster dengan HDInsight terbaru pada versi AKS Pelanggan
Keamanan jaringan Konfigurasikan jaringan virtual
Mengonfigurasi Lalu Lintas menggunakan aturan Firewall Pelanggan
Mengonfigurasi lalu lintas keluar yang diperlukan Pelanggan