Azure HDInsight on AKS でのエンタープライズ セキュリティの概要
Note
Azure HDInsight on AKS は 2025 年 1 月 31 日に廃止されます。 2025 年 1 月 31 日より前に、ワークロードを Microsoft Fabric または同等の Azure 製品に移行することで、ワークロードの突然の終了を回避する必要があります。 サブスクリプション上に残っているクラスターは停止され、ホストから削除されることになります。
提供終了日までは基本サポートのみを利用できます。
重要
現在、この機能はプレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加の使用条件」に記載されています。 この特定のプレビューについては、「Microsoft HDInsight on AKS のプレビュー情報」を参照してください。 質問や機能の提案については、詳細を記載した要求を AskHDInsight で送信してください。また、その他の更新情報については、Azure HDInsight コミュニティのフォローをお願いいたします。
Azure HDInsight on AKS オファーは既定でセキュリティを提供します。また、企業のセキュリティ ニーズに対処する方法がいくつかあります。
この記事では、全体的なセキュリティ アーキテクチャとセキュリティ ソリューションを、境界セキュリティ、認証、認可、暗号化という 4 つの従来のセキュリティの柱に分けて説明します。
セキュリティのアーキテクチャ
企業があらゆるソフトウェアに対応するには、発生する可能性のある脅威を防止し、対処するために厳格なセキュリティ チェックが必要です。 HDInsight on AKS には、複数のレイヤーで保護するための多層セキュリティ モデルが用意されています。 セキュリティ アーキテクチャでは、MSI を使用した最新の認可方法が使用されます。 すべてのストレージ アクセスは MSI を使用し、データベース アクセスはユーザー名/パスワードを使用します。 パスワードは、顧客によって定義された Azure Key Vault に格納されます。 この機能により、セットアップは既定で堅牢かつ安全になります。
次の図は、HDInsight on AKS のセキュリティの高度な技術的アーキテクチャを示しています。
エンタープライズ セキュリティの柱
エンタープライズ セキュリティを確認する 1 つの方法は、コントロールの種類に基づいて、セキュリティ ソリューションを 4 つの主要なグループに分けることです。 セキュリティの柱とも呼ばれるこれらのグループは、境界セキュリティ、認証、認可、および暗号化に分けられます。
境界セキュリティ
HDInsight on AKS の境界セキュリティは、仮想ネットワークを使用して実現されます。エンタープライズ管理者は、仮想ネットワーク (VNET) 内にクラスターを作成し、ネットワーク セキュリティ グループ (NSG) を使用して仮想ネットワークへのアクセスを制限できます。
認証
HDInsight on AKS は、クラスター ログイン用の Microsoft Entra ID ベースの認証を提供し、マネージド ID (MSI) を使用して Azure Data Lake Storage Gen2 内のファイルへのクラスター アクセスをセキュリティで保護します。 マネージド ID は、Azure サービスに自動的に管理される一連の資格情報を提供する Microsoft Entra ID の機能です。 この設定により、企業の従業員は、ドメイン資格情報を使用してクラスター ノードにサインインできます。 アプリで Microsoft Entra ID のマネージド ID を使用すると、他の Microsoft Entra で保護されたリソース (Azure Key Vault、ストレージ、SQL Server、データベースなど) に簡単にアクセスできます。 ID は Azure プラットフォームによって管理され、シークレットをプロビジョニングまたはローテーションする必要はありません。 このソリューションは、HDInsight on AKS クラスターおよびその他の依存リソースへのアクセスをセキュリティで保護するための鍵となります。 マネージド ID を使用すると、接続文字列内の認証情報などのシークレットをアプリから排除することで、アプリのセキュリティを強化できます。
依存リソースへのアクセスを管理するクラスター作成プロセスの一環として、スタンドアロンの Azure リソースであるユーザー割り当てマネージド ID を作成します。
承認
ほとんどの企業では、すべての従業員がすべてのエンタープライズ リソースにフル アクセスできるわけではないというベスト プラクティスに従っています。 同様に、管理者はクラスター リソースのロールベースのアクセス制御ポリシーを定義できます。
リソース所有者は、ロールベースのアクセス制御 (RBAC) を構成できます。 RBAC ポリシーを構成すると、組織内のロールにアクセス許可を関連付けることができます。 この抽象化レイヤーを使用すると、より簡単に、ユーザーが作業の責任を果たすために必要なアクセス許可のみを持つようにできます。 クラスター管理 (コントロール プレーン) およびクラスター データ アクセス (データ プレーン) の認可は、クラスター アクセス管理によって管理される ARM ロールによって管理されます。
クラスター管理ロール (コントロール プレーン/ARM ロール)
アクション | HDInsight on AKS クラスター プール管理者 | HDInsight on AKS クラスター管理者 |
---|---|---|
クラスター プールの作成/削除 | ✅ | |
クラスター プールにアクセス許可とロールを割り当てる | ✅ | |
クラスターの作成/削除 | ✅ | ✅ |
クラスターの管理 | ✅ | |
構成管理 | ✅ | |
スクリプト操作 | ✅ | |
ライブラリ管理 | ✅ | |
監視 | ✅ | |
スケーリング アクション | ✅ |
上記のロールは、ARM 運用の観点から見たものです。 詳細については、「Azure portal を使用して Azure リソースへのアクセス権をユーザーに付与する - Azure RBAC」を参照してください。
クラスター アクセス (データ プレーン)
ポータルまたは ARM を使用して、ユーザー、サービス プリンシパル、マネージド ID にクラスターへのアクセスを許可できます。
このアクセスにより、次を実行できます
- クラスターを表示し、ジョブを管理する。
- すべての監視および管理操作を実行する。
- 自動スケール操作を実行し、ノード数を更新する。
アクセスは以下に対して提供されません
- クラスターの削除
重要
新しく追加されたユーザーには、サービス正常性を表示するために、“Azure Kubernetes Service RBAC 閲覧者”の追加ロールが必要になります。
監査
リソースへの許可されていないアクセスや意図しないアクセスを追跡するには、クラスター リソースへのアクセスを監査する必要があります。 これは、許可されていないアクセスからクラスター リソースを保護するのと同じくらい重要です。
リソース グループ管理者は、アクティビティ ログを使用して、HDInsight on AKS クラスターのリソースとデータへのすべてのアクセスを表示および報告できます。 また、管理者はアクセス制御ポリシーへの変更を表示して報告することができます。
暗号化
データの保護は、組織のセキュリティとコンプライアンス要件を満たすために重要です。 許可されていない従業員からデータへのアクセスを制限すると共に、暗号化する必要があります。 クラスター ノードとコンテナーで使用されるストレージとディスク (OS ディスクと永続データ ディスク) は暗号化されます。 Azure Storage 内のデータは、利用可能な最強のブロック暗号の 1 つである 256 ビット AES 暗号化を使って透過的に暗号化および暗号化解除され、FIPS 140-2 に準拠しています。 Azure Storage 暗号化はすべてのストレージ アカウントに対して有効になっています。これにより、データは既定でセキュリティで保護されるため、Azure Storage 暗号化を利用するためにコードやアプリケーションを変更する必要はありません。 転送中のデータの暗号化は、TLS 1.2 で処理されます。
準拠
Azure コンプライアンス認証は、正式な認定資格を含むさまざまな種類の保証に基づいています。 また、構成証明、検証、承認にも基づいています。 さらに、独立したサードパーティの監査会社による評価や、 Microsoft によって作成された契約の修正、自己評価、顧客向けのガイダンス ドキュメントにも基づきます。 HDInsight on AKS のコンプライアンス情報については、Microsoft セキュリティセンターと Microsoft Azure コンプライアンスの概要を参照してください。
共同責任モデル
次の図は、主要なシステム セキュリティ領域と、使用できるセキュリティ ソリューションをまとめたものです。 また、顧客としての責任であるセキュリティ領域と、サービス プロバイダーとしての HDInsight on AKS の責任である領域についても説明します。
次の表に、セキュリティ ソリューションの種類ごとにリソースへのリンクを示します。
セキュリティ領域 | 使用可能なソリューション | 責任者 |
---|---|---|
データ アクセス セキュリティ | Azure Data Lake Storage Gen2 用にアクセス制御リスト ACL を構成する | 顧客 |
ストレージ で [安全な転送が必須] プロパティを有効にする | 顧客 | |
Azure Storage ファイアウォールおよび仮想ネットワークを構成する | 顧客 | |
オペレーティング システムのセキュリティ | 最新の HDInsight on AKS バージョンを使用してクラスターを作成する | 顧客 |
ネットワークのセキュリティ | 仮想ネットワークを構成する | |
ファイアウォール規則を使用してトラフィックを構成する | 顧客 | |
必要な送信トラフィックを構成する | 顧客 |