Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo offre un'introduzione alla sicurezza in Azure Esplora dati per proteggere i dati e le risorse nel cloud e soddisfare le esigenze di sicurezza dell'azienda. È importante mantenere sicuri i cluster. La protezione dei cluster include una o più funzionalità di Azure che forniscono accesso sicuro e archiviazione. Questo articolo fornisce informazioni utili per proteggere il cluster.
Per altre risorse relative alla conformità per l'azienda o l'organizzazione, vedere la documentazione sulla conformità di Azure.
Sicurezza di rete
La sicurezza di rete è un requisito condiviso da molti clienti aziendali consapevoli della sicurezza. Lo scopo è isolare il traffico di rete e limitare la superficie di attacco per Azure Esplora dati e le comunicazioni corrispondenti. È possibile bloccare il traffico proveniente da segmenti di rete non di Esplora dati di Azure e assicurarsi che solo il traffico proveniente da origini note raggiunga gli endpoint di Esplora dati di Azure. Questa protezione include il traffico che ha origine in locale o all'esterno di Azure, con una destinazione di Azure e viceversa.
Azure Data Explorer supporta gli endpoint privati per raggiungere l'isolamento e la sicurezza di rete. Gli endpoint privati offrono un modo sicuro per connettersi al cluster di Esplora dati di Azure usando un indirizzo IP privato dalla rete virtuale, portando effettivamente il servizio nella rete virtuale. Questa configurazione garantisce che il traffico tra la rete virtuale e il servizio si sposti attraverso la rete backbone Microsoft, eliminando l'esposizione dalla rete Internet pubblica.
Per altre informazioni sulla configurazione di endpoint privati per il cluster, vedere Endpoint privato.
Identità e controllo di accesso
Controllo degli accessi in base al ruolo
Usare il controllo degli accessi in base al ruolo per separare i compiti e concedere solo l'accesso necessario agli utenti del cluster. Anziché concedere a tutti le autorizzazioni senza restrizioni nel cluster, consentire solo agli utenti assegnati a ruoli specifici di eseguire determinate azioni. È possibile configurare il controllo di accesso per i database nel portale di Azure usando l'interfaccia della riga di comando di Azure o Azure PowerShell.
Identità gestite per le risorse di Azure
Una sfida comune quando si compilano applicazioni cloud è la gestione delle credenziali nel codice per l'autenticazione ai servizi cloud. Garantire la sicurezza delle credenziali è fondamentale. Non archiviare le credenziali nelle postazioni di lavoro degli sviluppatori o inserirle nel sistema di controllo del codice sorgente. Azure Key Vault consente di archiviare in modo sicuro le credenziali, i segreti e altre chiavi, ma è necessario autenticare il codice in Key Vault per recuperarle.
La funzionalità delle identità gestite di Microsoft Entra per le risorse di Azure risolve questo problema. Questa funzionalità offre servizi di Azure con un'identità gestita automaticamente in Microsoft Entra ID. È possibile usare l'identità per eseguire l'autenticazione a qualsiasi servizio che supporta l'autenticazione di Microsoft Entra, incluso Key Vault, senza credenziali nel codice. Per altre informazioni su questo servizio, vedere la pagina di panoramica delle identità gestite per le risorse di Azure .
Protezione dei dati
Crittografia dischi di Azure
Crittografia dischi di Azure aiuta a proteggere e tutelare i tuoi dati per soddisfare gli impegni di sicurezza e conformità della tua organizzazione. Fornisce la crittografia del volume per il sistema operativo e i dischi dati delle macchine virtuali del cluster. Crittografia dischi di Azure si integra anche con Azure Key Vault, che è possibile usare per controllare e gestire le chiavi e i segreti di crittografia del disco e assicurarsi che tutti i dati nei dischi delle macchine virtuali siano crittografati.
Chiavi gestite dal cliente con Azure Key Vault
Per impostazione predefinita, le chiavi gestite da Microsoft crittografano i dati. Per un maggiore controllo sulle chiavi di crittografia, fornire chiavi gestite dal cliente per la crittografia dei dati. È possibile gestire la crittografia dei dati a livello di archiviazione usando le proprie chiavi. Una chiave gestita dal cliente protegge e controlla l'accesso alla chiave di crittografia radice, che crittografa e decrittografa tutti i dati. Le chiavi gestite dal cliente offrono maggiore flessibilità per creare, ruotare, disabilitare e revocare i controlli di accesso. È anche possibile controllare le chiavi di crittografia che proteggono i dati.
Usare Azure Key Vault per archiviare le chiavi gestite dal cliente. È possibile creare le proprie chiavi e archiviarle in un vault delle chiavi oppure utilizzare un'API di Azure Key Vault per generare le chiavi. Il cluster di Azure Esplora dati e Azure Key Vault devono trovarsi nella stessa area, ma possono trovarsi in sottoscrizioni diverse. Per altre informazioni su Azure Key Vault, vedere Informazioni su Azure Key Vault. Per una spiegazione dettagliata delle chiavi gestite dal cliente, vedere Chiavi gestite dal cliente con Azure Key Vault. Configurare le chiavi gestite dal cliente nel cluster di Azure Data Explorer usando il Portal, C#, il modello di Azure Resource Manager, il CLI o PowerShell.
Nota
Le chiavi gestite dal cliente si basano sulle identità gestite per le risorse di Azure, una funzionalità di Microsoft Entra ID. Per configurare le chiavi gestite dal cliente nella portale di Azure, configurare un'identità gestita per il cluster come descritto in Configurare le identità gestite per il cluster di Azure Esplora dati.
Archiviare le chiavi gestite dal cliente in Azure Key Vault
Per abilitare le chiavi gestite dal cliente in un cluster, utilizzare un Azure Key Vault per conservare le chiavi. È necessario abilitare entrambe le proprietà Eliminazione Temporanea e Non Eliminare nel key vault. Il key vault deve trovarsi nella stessa regione del cluster. Azure Data Explorer utilizza le identità gestite per le risorse di Azure per autenticarsi nel Key Vault per operazioni di crittografia e decrittografia. Le identità gestite non supportano scenari tra directory.
Ruotare le chiavi gestite dal cliente
È possibile ruotare una chiave gestita dal cliente in Azure Key Vault in base ai criteri di conformità. Per ruotare una chiave, aggiornare la versione della chiave o creare una nuova chiave in Azure Key Vault e quindi aggiornare il cluster per crittografare i dati usando il nuovo URI della chiave. È possibile eseguire questi passaggi usando l'interfaccia della riga di comando di Azure o nel portale. La rotazione della chiave non attiva la ricrittografazione dei dati esistenti nel cluster.
Quando si ruota una chiave, in genere si specifica la stessa identità usata durante la creazione del cluster. Facoltativamente, configurare una nuova identità assegnata dall'utente per l'accesso alle chiavi o abilitare e specificare l'identità assegnata dal sistema del cluster.
Nota
Assicurarsi che le autorizzazioni Get, Unwrap Key e Wrap Key necessarie siano impostate per l'identità configurata per l'accesso alle chiavi.
Aggiornare la versione della chiave
Uno scenario comune consiste nell'aggiornare la versione della chiave usata come chiave gestita dal cliente. A seconda della modalità di configurazione della crittografia del cluster, la chiave gestita dal cliente nel cluster viene aggiornata automaticamente oppure è necessario aggiornarla manualmente.
Revocare l'accesso alle chiavi gestite dal cliente
Per revocare l'accesso alle chiavi gestite dal cliente, usare PowerShell o l'interfaccia della riga di comando di Azure. Per altre informazioni, vedere PowerShell per Azure Key Vault o Interfaccia della riga di comando per Azure Key Vault. La revoca dell'accesso blocca l'accesso a tutti i dati nel livello di archiviazione del cluster, poiché la chiave di crittografia è di conseguenza inaccessibile da Azure Esplora dati.
Nota
Quando Esplora dati di Azure identifica che l'accesso a una chiave gestita dal cliente viene revocato, sospende automaticamente il cluster per eliminare i dati memorizzati nella cache. Una volta restituito l'accesso alla chiave, il cluster riprende automaticamente.