Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel bevat een inleiding tot beveiliging in Azure Data Explorer om u te helpen uw gegevens en resources in de cloud te beveiligen en te voldoen aan de beveiligingsbehoeften van uw bedrijf. Het is belangrijk om uw clusters veilig te houden. Het beveiligen van uw clusters bevat een of meer Azure-functies die beveiligde toegang en opslag bieden. Dit artikel bevat informatie om u te helpen uw cluster veilig te houden.
Zie de documentatie over Azure-naleving voor meer informatie over naleving voor uw bedrijf of organisatie.
Netwerkbeveiliging
Netwerkbeveiliging is een vereiste die wordt gedeeld door veel zakelijke klanten die zich bewust zijn van beveiliging. De bedoeling is het netwerkverkeer te isoleren en de kwetsbaarheid voor aanvallen voor Azure Data Explorer en bijbehorende communicatie te beperken. U kunt verkeer dat afkomstig is van niet-Azure Data Explorer-netwerksegmenten blokkeren en ervoor zorgen dat alleen verkeer van bekende bronnen Azure Data Explorer-eindpunten bereikt. Deze beveiliging omvat verkeer dat afkomstig is van on-premises of buiten Azure, met een Azure-bestemming en vice versa.
Azure Data Explorer ondersteunt privé-eindpunten om netwerkisolatie en -beveiliging te bereiken. Privé-eindpunten bieden een veilige manier om verbinding te maken met uw Azure Data Explorer-cluster met behulp van een privé-IP-adres van uw virtuele netwerk, waardoor de service effectief in uw VNet wordt geplaatst. Deze configuratie zorgt ervoor dat verkeer tussen uw VNet en de service via het Backbone-netwerk van Microsoft wordt verplaatst, waardoor blootstelling van het openbare internet wordt geëlimineerd.
Zie Privé-eindpunt voor meer informatie over het configureren van privé-eindpunten voor uw cluster.
Identiteits- en toegangsbeheer
Op rollen gebaseerd toegangsbeheer
Gebruik op rollen gebaseerd toegangsbeheer (RBAC) om taken te scheiden en alleen de vereiste toegang te verlenen aan clustergebruikers. In plaats van iedereen onbeperkte machtigingen voor het cluster te geven, staat u alleen gebruikers toe die zijn toegewezen aan specifieke rollen om bepaalde acties uit te voeren. U kunt toegangsbeheer configureren voor de databases in Azure Portal met behulp van de Azure CLI of Azure PowerShell.
Beheerde identiteiten voor Azure-resources
Een veelvoorkomende uitdaging bij het bouwen van cloudtoepassingen is referentiebeheer in uw code voor verificatie bij cloudservices. Het is belangrijk dat de referenties veilig worden bewaard. Sla de referenties niet op op werkstations van ontwikkelaars of controleer deze in broncodebeheer. Azure Key Vault biedt een manier voor het veilig opslaan van referenties, geheimen en andere sleutels, maar uw code moet worden geverifieerd bij Key Vault om ze op te halen.
Dit probleem wordt opgelost met de functie Door Microsoft Entra beheerde identiteiten voor Azure-resources. De functie biedt Azure-services met een automatisch beheerde identiteit in Microsoft Entra-id. U kunt de identiteit gebruiken om te authenticeren bij elke service die ondersteuning biedt voor Microsoft Entra-verificatie, inclusief Key Vault, zonder referenties in uw code. Zie de overzichtspagina met beheerde identiteiten voor Azure-resources voor meer informatie over deze service.
Gegevensbescherming
Azure schijvencryptie
Met Azure Disk Encryption kunt u uw gegevens beveiligen en beveiligen, zodat u kunt voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie. Het biedt volumeversleuteling voor het besturingssysteem en de gegevensschijven van de virtuele machines van uw cluster. Azure Disk Encryption kan ook worden geïntegreerd met Azure Key Vault, waarmee u de schijfversleutelingssleutels en -geheimen kunt beheren en ervoor kunt zorgen dat alle gegevens op de VM-schijven worden versleuteld.
Door de klant beheerde sleutels met Azure Key Vault
Door Microsoft beheerde sleutels versleutelen standaard gegevens. Voor extra controle over versleutelingssleutels, gebruik klantbeheerste sleutels voor gegevensversleuteling. U kunt de versleuteling van uw gegevens op opslagniveau beheren met behulp van uw eigen sleutels. Een door de klant beheerde sleutel beveiligt en beheert de toegang tot de hoofdversleutelingssleutel, waarmee alle gegevens worden versleuteld en ontsleuteld. Klantbeheerde sleutels bieden u meer flexibiliteit om toegangsrechten te creëren, te roteren, uit te schakelen en in te trekken. U kunt ook de versleutelingssleutels controleren die uw gegevens beveiligen.
Gebruik Azure Key Vault om uw door de klant beheerde sleutels op te slaan. U kunt uw eigen sleutels maken en opslaan in een sleutelkluis, of u kunt een Azure Key Vault-API gebruiken om sleutels te genereren. Het Azure Data Explorer-cluster en de Azure Key Vault moeten zich in dezelfde regio bevinden, maar ze kunnen zich in verschillende abonnementen bevinden. Zie Wat is Azure Key Vault? voor meer informatie over Azure Key Vault. Zie Door de klant beheerde sleutels met Azure Key Vault voor een gedetailleerde uitleg over door de klant beheerde sleutels. Configureer door de klant beheerde sleutels in uw Azure Data Explorer-cluster met behulp van de portal, C#, Azure Resource Manager-sjabloon, CLI of PowerShell.
Opmerking
Door de klant beheerde sleutels zijn afhankelijk van beheerde identiteiten voor Azure-resources, een functie van Microsoft Entra-id. Als u door de klant beheerde sleutels in Azure Portal wilt configureren, configureert u een beheerde identiteit voor uw cluster, zoals beschreven in Beheerde identiteiten configureren voor uw Azure Data Explorer-cluster.
Door de klant beheerde sleutels opslaan in Azure Key Vault
Als u door de klant beheerde sleutels in een cluster wilt inschakelen, gebruikt u een Azure Key Vault om uw sleutels op te slaan. U moet zowel de eigenschappen Voorlopig verwijderen als Niet leegmaken inschakelen in de sleutelkluis. De sleutelkluis moet zich in dezelfde regio bevinden als het cluster. Azure Data Explorer maakt gebruik van beheerde identiteiten voor Azure-resources om te verifiëren bij de sleutelkluis voor versleutelings- en ontsleutelingsbewerkingen. Beheerde identiteiten ondersteunen geen scenario's tussen verschillende directory's.
Door de klant beheerde sleutels roteren
U kunt een door de klant beheerde sleutel in Azure Key Vault roteren volgens uw nalevingsbeleid. Als u een sleutel wilt verversen, werkt u de sleutelversie bij of maakt u een nieuwe sleutel in Azure Key Vault en werkt u vervolgens het cluster bij om gegevens te versleutelen met behulp van de nieuwe sleutel-URI. U kunt deze stappen uitvoeren met behulp van de Azure CLI of in de portal. Als u de sleutel roteert, wordt herversleuteling van bestaande gegevens in het cluster niet geactiveerd.
Wanneer u een sleutel roteert, geeft u doorgaans dezelfde identiteit op die wordt gebruikt bij het maken van het cluster. Configureer eventueel een nieuwe door de gebruiker toegewezen identiteit voor sleuteltoegang of schakel de door het systeem toegewezen identiteit van het cluster in en geef deze op.
Opmerking
Zorg ervoor dat de vereiste machtigingen sleutel ophalen, uitpakken en verpakken zijn ingesteld voor de identiteit die u configureert voor sleuteltoegang.
Sleutelversie bijwerken
Een veelvoorkomend scenario is het bijwerken van de versie van de sleutel die wordt gebruikt als een door de klant beheerde sleutel. Afhankelijk van hoe u clusterversleuteling configureert, wordt de door de klant beheerde sleutel in het cluster automatisch bijgewerkt of moet u deze handmatig bijwerken.
Toegang tot door de klant beheerde sleutels intrekken
Als u de toegang tot door de klant beheerde sleutels wilt intrekken, gebruikt u PowerShell of Azure CLI. Zie Azure Key Vault PowerShell of Azure Key Vault CLI voor meer informatie. Het intrekken van toegang blokkeert de toegang tot alle gegevens op het opslagniveau van het cluster, omdat de versleutelingssleutel daarom niet toegankelijk is door Azure Data Explorer.
Opmerking
Wanneer Azure Data Explorer identificeert dat de toegang tot een door de klant beheerde sleutel wordt ingetrokken, wordt het cluster automatisch onderbroken om gegevens in de cache te verwijderen. Zodra de toegang tot de sleutel is teruggegeven, hervat het cluster zich automatisch.