Безопасность в Azure Data Lake Storage 1-го поколения
Многие предприятия используют аналитику больших данных, чтобы получать информацию, которая поможет принимать обоснованные решения. В организациях могут быть сложные управляемые среды с растущим числом разных пользователей. Поэтому для предприятий крайне важно, чтобы ценные бизнес-данные хранились в надежном месте и определенным пользователям можно было назначать надлежащий уровень доступа к этим данным. Azure Data Lake Storage 1-го поколения разработано с учетом этих требований к безопасности. Из этой статьи вы узнаете о том, как обеспечить безопасность Data Lake Storage 1-го поколения с помощью следующих функций:
- Аутентификация
- Авторизация
- Сетевая изоляция
- Защита данных
- Аудит
Проверка подлинности и управление удостоверениями
Проверка подлинности — это процесс, в ходе которого подтверждается удостоверение пользователя при его взаимодействии с Data Lake Storage 1-го поколения или любыми службами, которые подключаются к Data Lake Storage 1-го поколения. Для управления удостоверениями и проверки подлинности Data Lake Storage 1-го поколения использует Microsoft Entra ID— комплексное облачное решение для управления удостоверениями и доступом, которое упрощает управление пользователями и группами.
Каждую подписку Azure можно связать с экземпляром Microsoft Entra ID. Доступ к учетной записи Data Lake Storage 1-го поколения могут получить только пользователи и удостоверения служб, определенные в службе Microsoft Entra, с помощью портал Azure, программ командной строки или клиентских приложений, создаваемых организацией с помощью пакет SDK Data Lake Storage 1-го поколения. Основные преимущества использования Microsoft Entra ID в качестве централизованного механизма управления доступом:
- Упрощенное управление жизненным циклом удостоверений. Удостоверение пользователя или службы (удостоверение субъекта-службы) можно быстро создавать и отзывать. Для этого нужно просто удалить или отключить учетную запись в каталоге.
- Многофакторная проверка подлинности. многофакторной проверки подлинности обеспечивает дополнительный уровень безопасности при входе пользователей в систему и осуществлении транзакций.
- Проверка подлинности с любого клиента с помощью стандартного открытого протокола, например OAuth или OpenID.
- Федерация со службами каталога предприятия и поставщиками удостоверений в облаке.
Проверка подлинности и управление доступом
После Microsoft Entra проверки подлинности пользователя, чтобы он смог получить доступ к Data Lake Storage 1-го поколения, авторизация управляет разрешениями на доступ для Data Lake Storage 1-го поколения. Data Lake Storage 1-го поколения различает авторизацию для действий, связанных с учетной записью, и для действий, связанных с данными, следующим образом.
- Управление доступом на основе ролей Azure (Azure RBAC) для управления учетными записями
- ACL POSIX для доступа к данным в хранилище.
Использование Azure RBAC для управления учетными записями
По умолчанию для Data Lake Storage 1-го поколения определены четыре основные роли. С помощью этих ролей разрешается доступ на выполнение различных операций в учетной записи Data Lake Storage 1-го поколения с использованием портала Azure, командлетов PowerShell и REST API. Роли "Владелец" и "Участник" предоставляют доступ к различным функциям администрирования учетной записи. Пользователям, которые будут только просматривать данные управления учетной записью, можно назначить роль "Читатель".
Обратите внимание, что хотя эти роли назначаются для управления учетными записями, некоторые из них влияют на доступ к данным. Чтобы управлять доступом к операциям, которые пользователь может выполнять в файловой системе, используйте списки управления доступом. В следующей таблице приведен краткий обзор прав на управление и прав на доступ к данным для ролей по умолчанию.
| Роли | Права управления | Права доступа к данным | Описание |
|---|---|---|---|
| Роль не назначена | Нет | Управление с помощью ACL | Пользователь не может использовать портал Azure или командлеты PowerShell Azure для просмотра Data Lake Storage 1-го поколения. Он может использовать только средства командной строки. |
| Владелец | Все | Все | Владелец — это привилегированный пользователь. Он может управлять всем и имеет полный доступ к данным. |
| Читатель | Только для чтения | Управление с помощью ACL | Читатель может просматривать всю информацию об управлении учетными записями. Например, пользователь с такой ролью может видеть, кому какая роль назначена, но не может вносить изменения в эти данные. |
| Участник | Все, кроме добавления и удаления ролей | Управление с помощью ACL | Участник может управлять другими функциями учетной записи, например развертываниями, созданием оповещений и управлением ими, но не может добавлять или удалять роли. |
| Администратор доступа пользователей | Добавление и удаление ролей | Управление с помощью ACL | Администратор доступа пользователей может управлять доступом пользователей к учетным записям. |
Инструкции см. в разделе Назначение пользователей или групп безопасности учетным записям хранения Azure Data Lake Storage 1-го поколения.
Использование списков управления доступом для операций в файловых системах
Data Lake Storage 1-го поколения — это иерархическая файловая система (как распределенная файловая система Hadoop (HDFS)), которая поддерживает списки управления доступом POSIX. Она предоставляет владельцам, группе владельцев и другим пользователям и группам права на чтение (r), запись (w) и выполнение (x) операций в ресурсах. В Data Lake Storage 1-го поколения списки управления доступом можно включить в корневой папке, вложенных папках, а также в отдельных файлах. Дополнительные сведения о принципе работы списков управления доступом в контексте Data Lake Storage 1-го поколения см. в статье Контроль доступа в Azure Data Lake Storage 1-го поколения.
Чтобы определять списки управления доступом для нескольких пользователей, рекомендуется использовать группы безопасности. Добавьте пользователей в группу безопасности, а затем назначьте этой группе список управления доступом для файла или папки. Это полезно, когда требуется предоставить назначенные разрешения, так как для назначенных разрешений установлено ограничение максимум 28 записей. Дополнительные сведения о том, как лучше защитить данные, хранящиеся в Data Lake Storage 1-го поколения, с помощью Microsoft Entra групп безопасности, см. в статье Назначение пользователей или групп безопасности в качестве списков управления доступом для файловой системы Data Lake Storage 1-го поколения.
Сетевая изоляция
Data Lake Storage 1-го поколения позволяет управлять доступом к хранилищу данных на уровне сети. Вы можете настроить брандмауэры и определить диапазон IP-адресов для доверенных клиентов. После определения диапазона IP-адресов к Data Lake Storage 1-го поколения смогут подключаться только клиенты с IP-адресами в пределах этого диапазона.
Виртуальные сети Azure поддерживают теги службы для Data Lake 1-го поколения. Тег службы представляет группу префиксов IP-адресов из определенной службы Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов. Дополнительные сведения см. в статье о тегах службы Azure.
Защита данных
Data Lake Storage 1-го поколения защищает данные на протяжении всего жизненного цикла. Data Lake Storage 1-го поколения использует стандартный протокол TLS 1.2 для защиты данных, передаваемых по сети.
В Data Lake Storage 1-го поколения можно также включить шифрование данных, хранящихся в учетной записи. Шифрование данных можно как включить, так и отключить. Если включено шифрование, данные, хранящиеся в Data Lake Storage 1-го поколения, будут шифроваться перед сохранением на постоянный носитель. В этом случае Data Lake Storage 1-го поколения автоматически шифрует данные перед сохранением и расшифровывает их до извлечения. Таким образом, данные полностью прозрачны для клиента, который получает к ним доступ. Со стороны клиента не требуется изменение кода для шифрования и расшифровки данных.
Data Lake Storage 1-го поколения предоставляет два режима для управления главными ключами шифрования (MEKs), необходимыми для расшифровки любых данных, хранящихся в Data Lake Storage 1-го поколения. Вы можете позволить Data Lake Storage 1-го поколения управлять главными ключами шифрования или управлять ими самостоятельно с помощью учетной записи Azure Key Vault. Способ управления ключами можно задать во время создания учетной записи Data Lake Storage 1-го поколения. Дополнительные сведения о настройке шифрования см. в статье Начало работы с Azure Data Lake Storage 1-го поколения с помощью портала Azure.
Журналы действий и диагностики
Действия, связанные с управлением учетными записями и данными, можно просматривать в журналах действий или журналах диагностики.
- Действия, связанные с управлением учетными записями, используют API-интерфейсы Azure Resource Manager и отображаются на портале Azure в журналах действий.
- Действия, связанные с данными, используют REST API WebHDFS и отображаются на портале Azure в журналах диагностики.
Журнал действий
Чтобы обеспечить соответствие нормативным требованиям, организациям могут потребоваться журналы аудита действий по управлению учетными записями при необходимости в расследовании определенных инцидентов. В Data Lake Storage 1-го поколения реализована встроенная функция мониторинга, которая регистрирует все действия, связанные с управлением учетными записями.
В журналах аудита для управления учетными записями можно просматривать и выбирать нужные столбцы для регистрации. Кроме того, журналы действий можно экспортировать в службу хранилища Azure.
Дополнительные сведения о работе с журналами действий см. в статье Просмотр журналов действий для аудита действий с ресурсами.
Раздел "Журналы диагностики"
Вы сможете включить аудит доступа к данным и запись в журнал диагностики на портале Azure и отправлять журналы в учетную запись хранилища больших двоичных объектов Azure, концентратор событий или журналы Azure Monitor.
Дополнительные сведения о работе с журналами диагностики в Data Lake Storage 1-го поколения см. в статье Доступ к журналам диагностики Azure Data Lake Storage 1-го поколения.
Сводка
Корпоративным клиентам нужна безопасная и простая в использовании облачная платформа для аналитики данных. Data Lake Storage 1-го поколения предназначен для удовлетворения этих требований с помощью управления удостоверениями и проверки подлинности с помощью интеграции Microsoft Entra, авторизации на основе ACL, сетевой изоляции, шифрования данных при передаче и хранении, а также аудита.
Если вы хотите увидеть новые функции в Data Lake Storage 1-го поколения, оставьте свой отзыв на форуме Data Lake Storage 1-го поколения UserVoice.