Beveiliging in Azure Data Explorer
Dit artikel bevat een inleiding tot beveiliging in Azure Data Explorer om u te helpen uw gegevens en resources in de cloud te beveiligen en te voldoen aan de beveiligingsbehoeften van uw bedrijf. Het is belangrijk om uw clusters veilig te houden. Het beveiligen van uw clusters omvat een of meer Azure-functies met beveiligde toegang en opslag. Dit artikel bevat informatie om uw cluster veilig te houden.
Zie de Documentatie voor Azure-naleving voor meer informatie over naleving voor uw bedrijf of organisatie.
Netwerkbeveiliging
Netwerkbeveiliging is een vereiste die wordt gedeeld door veel van onze beveiligingsbewuste zakelijke klanten. De bedoeling is om het netwerkverkeer te isoleren en de kwetsbaarheid voor aanvallen voor Azure Data Explorer en bijbehorende communicatie te beperken. U kunt daarom verkeer blokkeren dat afkomstig is van niet-Azure-Data Explorer-netwerksegmenten en ervoor zorgen dat alleen verkeer van bekende bronnen Azure Data Explorer-eindpunten bereikt. Dit omvat verkeer dat afkomstig is van on-premises of buiten Azure, met een Azure-bestemming en vice versa. Azure Data Explorer ondersteunt de volgende functies om dit doel te bereiken:
- Privé-eindpunt (aanbevolen)
- Injectie van virtueel netwerk (VNet)
U wordt ten zeerste aangeraden privé-eindpunten te gebruiken om de netwerktoegang tot uw cluster te beveiligen. Deze optie heeft veel voordelen ten opzichte van de injectie van virtuele netwerken, wat resulteert in lagere onderhoudsoverhead, waaronder een eenvoudiger implementatieproces en robuuster zijn voor wijzigingen in virtuele netwerken.
Identiteits- en toegangsbeheer
Op rollen gebaseerd toegangsbeheer
Gebruik op rollen gebaseerd toegangsbeheer (RBAC) om taken te scheiden en alleen de vereiste toegang te verlenen aan clustergebruikers. In plaats van iedereen onbeperkte machtigingen te geven voor het cluster, kunt u alleen gebruikers die zijn toegewezen aan specifieke rollen toestaan om bepaalde acties uit te voeren. U kunt toegangsbeheer configureren voor de databases in de Azure Portal, met behulp van de Azure CLI of Azure PowerShell.
Beheerde identiteiten voor Azure-resources
Een veelvoorkomende uitdaging bij het bouwen van cloudtoepassingen is het beheer van referenties in uw code voor verificatie bij cloudservices. Het is belangrijk dat de referenties veilig worden bewaard. De referenties mogen niet worden opgeslagen in werkstations voor ontwikkelaars of ingecheckt in broncodebeheer. Azure Key Vault biedt een manier voor het veilig opslaan van referenties, geheimen en andere sleutels, maar uw code moet worden geverifieerd bij Key Vault om ze op te halen.
De functie Microsoft Entra beheerde identiteiten voor Azure-resources lost dit probleem op. De functie biedt Azure-services een automatisch beheerde identiteit in Microsoft Entra-id. U kunt de identiteit gebruiken voor verificatie bij elke service die ondersteuning biedt voor Microsoft Entra-verificatie, inclusief Key Vault, zonder referenties in uw code. Zie de overzichtspagina beheerde identiteiten voor Azure-resources voor meer informatie over deze service.
Gegevensbescherming
Azure-schijfversleuteling
Met Azure Disk Encryption kunt u uw gegevens beveiligen en beveiligen om te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie. Het biedt volumeversleuteling voor het besturingssysteem en de gegevensschijven van de virtuele machines van uw cluster. Azure Disk Encryption kan ook worden geïntegreerd met Azure Key Vault, waarmee we de schijfversleutelingssleutels en -geheimen kunnen beheren en ervoor kunnen zorgen dat alle gegevens op de VM-schijven zijn versleuteld.
Door de klant beheerde sleutels met Azure Key Vault
Standaard worden gegevens versleuteld met door Microsoft beheerde sleutels. Voor meer controle over versleutelingssleutels kunt u door de klant beheerde sleutels opgeven voor gebruik voor gegevensversleuteling. U kunt de versleuteling van uw gegevens op opslagniveau beheren met uw eigen sleutels. Een door de klant beheerde sleutel wordt gebruikt voor het beveiligen en beheren van de toegang tot de hoofdversleutelingssleutel, die wordt gebruikt voor het versleutelen en ontsleutelen van alle gegevens. Door de klant beheerde sleutels bieden meer flexibiliteit voor het maken, draaien, uitschakelen en intrekken van toegangsbeheer. U kunt ook de versleutelingssleutels controleren die worden gebruikt voor het beveiligen van uw gegevens.
Gebruik Azure Key Vault om uw door de klant beheerde sleutels op te slaan. U kunt uw eigen sleutels maken en opslaan in een sleutelkluis of u kunt een Azure Key Vault API gebruiken om sleutels te genereren. Het Azure Data Explorer-cluster en de Azure Key Vault moeten zich in dezelfde regio bevinden, maar ze kunnen zich in verschillende abonnementen bevinden. Zie Wat is Azure Key Vault? voor meer informatie over Azure Key Vault. Zie Door de klant beheerde sleutels met Azure Key Vault voor een gedetailleerde uitleg over door de klant beheerde sleutels. Door de klant beheerde sleutels configureren in uw Azure Data Explorer-cluster met behulp van de Portal, C#, Azure Resource Manager-sjabloon, CLI of PowerShell
Notitie
Door de klant beheerde sleutels zijn afhankelijk van beheerde identiteiten voor Azure-resources, een functie van Microsoft Entra-id. Als u door de klant beheerde sleutels in de Azure Portal wilt configureren, configureert u een beheerde identiteit voor uw cluster, zoals beschreven in Beheerde identiteiten configureren voor uw Azure Data Explorer-cluster.
Door de klant beheerde sleutels opslaan in Azure Key Vault
Als u door de klant beheerde sleutels in een cluster wilt inschakelen, gebruikt u een Azure-Key Vault om uw sleutels op te slaan. U moet zowel de eigenschappen Voorlopig verwijderen als Niet opschonen inschakelen voor de sleutelkluis. De sleutelkluis moet zich in dezelfde regio bevinden als het cluster. Azure Data Explorer gebruikt beheerde identiteiten voor Azure-resources om te verifiëren bij de sleutelkluis voor versleutelings- en ontsleutelingsbewerkingen. Beheerde identiteiten bieden geen ondersteuning voor scenario's tussen mappen.
Door de klant beheerde sleutels roteren
U kunt een door de klant beheerde sleutel in Azure Key Vault roteren volgens uw nalevingsbeleid. Als u een sleutel wilt roteren, werkt u in Azure Key Vault de sleutelversie bij of maakt u een nieuwe sleutel en werkt u vervolgens het cluster bij om gegevens te versleutelen met behulp van de nieuwe sleutel-URI. U kunt deze stappen uitvoeren met behulp van de Azure CLI of in de portal. Het roteren van de sleutel activeert geen herversleuteling van bestaande gegevens in het cluster.
Wanneer u een sleutel roteert, geeft u doorgaans dezelfde identiteit op die u hebt gebruikt bij het maken van het cluster. U kunt eventueel een nieuwe door de gebruiker toegewezen identiteit configureren voor sleuteltoegang of de door het systeem toegewezen identiteit van het cluster inschakelen en opgeven.
Notitie
Zorg ervoor dat de vereiste machtigingen Get, Unwrap Key en Wrap Key zijn ingesteld voor de identiteit die u configureert voor sleuteltoegang.
Sleutelversie bijwerken
Een veelvoorkomend scenario is het bijwerken van de versie van de sleutel die wordt gebruikt als een door de klant beheerde sleutel. Afhankelijk van hoe de clusterversleuteling is geconfigureerd, wordt de door de klant beheerde sleutel in het cluster automatisch bijgewerkt of moet deze handmatig worden bijgewerkt.
Toegang tot door de klant beheerde sleutels intrekken
Als u de toegang tot door de klant beheerde sleutels wilt intrekken, gebruikt u PowerShell of Azure CLI. Zie Azure Key Vault PowerShell of Azure Key Vault CLI voor meer informatie. Als u de toegang inroept, wordt de toegang tot alle gegevens op het opslagniveau van het cluster geblokkeerd, omdat de versleutelingssleutel daarom niet toegankelijk is voor Azure Data Explorer.
Notitie
Wanneer Azure Data Explorer vaststelt dat de toegang tot een door de klant beheerde sleutel is ingetrokken, wordt het cluster automatisch onderbroken om gegevens in de cache te verwijderen. Zodra de toegang tot de sleutel is geretourneerd, wordt het cluster automatisch hervat.