Overzicht van bedrijfsbeveiliging in Azure HDInsight in AKS
Notitie
Op 31 januari 2025 wordt Azure HDInsight buiten gebruik gesteld op AKS. Vóór 31 januari 2025 moet u uw workloads migreren naar Microsoft Fabric of een gelijkwaardig Azure-product om te voorkomen dat uw workloads plotseling worden beëindigd. De resterende clusters in uw abonnement worden gestopt en verwijderd van de host.
Alleen basisondersteuning is beschikbaar tot de buitengebruikstellingsdatum.
Belangrijk
Deze functie is momenteel beschikbaar in preview. De aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews bevatten meer juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, in preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid. Zie Azure HDInsight op AKS Preview-informatie voor meer informatie over deze specifieke preview. Voor vragen of suggesties voor functies dient u een aanvraag in op AskHDInsight met de details en volgt u ons voor meer updates in de Azure HDInsight-community.
Azure HDInsight in AKS biedt standaard beveiliging en er zijn verschillende methoden om te voldoen aan de beveiligingsbehoeften van uw bedrijf.
In dit artikel worden algemene beveiligingsarchitectuur en beveiligingsoplossingen behandeld door ze te verdelen in vier traditionele beveiligingspijlers: perimeterbeveiliging, verificatie, autorisatie en versleuteling.
Beveiligingsarchitectuur
Bedrijfsgereedheid voor software vereist strenge beveiligingscontroles om bedreigingen te voorkomen en aan te pakken die zich kunnen voordoen. HDInsight op AKS biedt een beveiligingsmodel met meerdere lagen om u op meerdere lagen te beveiligen. De beveiligingsarchitectuur maakt gebruik van moderne autorisatiemethoden met behulp van MSI. Alle opslagtoegang is via MSI en de databasetoegang vindt plaats via gebruikersnaam/wachtwoord. Het wachtwoord wordt opgeslagen in Azure Key Vault, gedefinieerd door de klant. Deze functie maakt de installatie standaard robuust en veilig.
In het onderstaande diagram ziet u een technische architectuur op hoog niveau van beveiliging in HDInsight op AKS.
Enterprise Security Package
Een manier om bedrijfsbeveiliging te bekijken, is door beveiligingsoplossingen te verdelen in vier hoofdgroepen op basis van het type controle. Deze groepen worden ook wel beveiligingspijlers genoemd en zijn van de volgende typen: perimeterbeveiliging, verificatie, autorisatie en versleuteling.
Perimeterbeveiliging
Perimeterbeveiliging in HDInsight in AKS wordt bereikt via virtuele netwerken. Een ondernemingsbeheerder kan een cluster binnen een virtueel netwerk (VNET) maken en netwerkbeveiligingsgroepen (NSG) gebruiken om de toegang tot het virtuele netwerk te beperken.
Verificatie
HDInsight op AKS biedt verificatie op basis van Microsoft Entra ID voor clusteraanmelding en maakt gebruik van beheerde identiteiten (MSI) om clustertoegang tot bestanden in Azure Data Lake Storage Gen2 te beveiligen. Beheerde identiteit is een functie van Microsoft Entra-id die Azure-services biedt met een set automatisch beheerde referenties. Met deze instelling kunnen ondernemingsmedewerkers zich aanmelden bij de clusterknooppunten met behulp van hun domeinreferenties. Met een beheerde identiteit van Microsoft Entra ID heeft uw app eenvoudig toegang tot andere met Microsoft Entra beveiligde resources, zoals Azure Key Vault, Storage, SQL Server en Database. De identiteit die wordt beheerd door het Azure-platform en vereist niet dat u geheimen inricht of roteert. Deze oplossing is een sleutel voor het beveiligen van toegang tot uw HDInsight op AKS-cluster en andere afhankelijke resources. Beheerde identiteiten maken uw app veiliger door geheimen uit uw app te elimineren, zoals referenties in de verbindingsreeks s.
U maakt een door de gebruiker toegewezen beheerde identiteit, een zelfstandige Azure-resource, als onderdeel van het proces voor het maken van het cluster, waarmee de toegang tot uw afhankelijke resources wordt beheerd.
Autorisatie
Een door de meeste bedrijven gevolgde best practice is ervoor te zorgen dat niet alle werknemers toegang hebben tot alle bedrijfsresources. Zo kan de beheerder ook toegangscontrolebeleid op basis van rollen definiëren voor de clusterresources.
De resource-eigenaren kunnen op rollen gebaseerd toegangsbeheer (RBAC) configureren. Met het configureren van het RBAC-beleid kunt u machtigingen koppelen aan een rol in de organisatie. Deze abstractielaag maakt het eenvoudiger om ervoor te zorgen dat mensen alleen beschikken over de machtigingen die nodig zijn om hun werkverantwoordelijkheden uit te voeren. Autorisatie beheerd door ARM-rollen voor clusterbeheer (besturingsvlak) en toegang tot clustergegevens (gegevenslaag) die worden beheerd door clustertoegangsbeheer.
Clusterbeheerrollen (Besturingsvlak/ARM-rollen)
| Actie | HDInsight op AKS-clustergroepbeheerder | HDInsight op AKS-clusterbeheerder |
|---|---|---|
| Clustergroep maken/verwijderen | ✅ | |
| Machtiging en rollen toewijzen aan de clustergroep | ✅ | |
| Cluster maken/verwijderen | ✅ | ✅ |
| Cluster beheren | ✅ | |
| Configuration Management | ✅ | |
| Scriptacties | ✅ | |
| Bibliotheekbeheer | ✅ | |
| Controleren | ✅ | |
| Schaalacties | ✅ |
De bovenstaande rollen zijn vanuit het perspectief van ARM-bewerkingen. Zie Een gebruiker toegang verlenen tot Azure-resources met behulp van Azure Portal - Azure RBAC voor meer informatie.
Clustertoegang (gegevensvlak)
U kunt gebruikers, service-principals, beheerde identiteit toegang geven tot het cluster via de portal of met behulp van ARM.
Met deze toegang kunt u
- Clusters weergeven en taken beheren.
- Voer alle bewakings- en beheerbewerkingen uit.
- Voer bewerkingen voor automatisch schalen uit en werk het aantal knooppunten bij.
De toegang is niet opgegeven voor
- Cluster verwijderen
Belangrijk
Voor elke nieuw toegevoegde gebruiker is een extra rol van Azure Kubernetes Service RBAC Reader vereist voor het weergeven van de servicestatus.
Controle
Het controleren van de toegang tot clusterresources is nodig voor het bijhouden van onbevoegde of onbedoelde toegang tot de resources. Het is even belangrijk als het beveiligen van de clusterresources tegen onbevoegde toegang.
De resourcegroepbeheerder kan alle toegang tot hdinsight op AKS-clusterresources en -gegevens weergeven en rapporteren met behulp van activiteitenlogboek. De beheerder kan wijzigingen in het toegangsbeheerbeleid bekijken en rapporteren.
Versleuteling
Het beveiligen van gegevens is belangrijk voor het voldoen aan de beveiligings- en nalevingsvereisten van de organisatie. U moet niet alleen de toegang van onbevoegde werknemers tot gegevens beperken, maar u moet deze gegevens ook versleutelen. De opslag en de schijven (besturingssysteemschijf en permanente gegevensschijf) die door de clusterknooppunten en containers worden gebruikt, worden versleuteld. Gegevens in Azure Storage worden transparant versleuteld en ontsleuteld met 256-bits AES-versleuteling, een van de sterkste blokcoderingen die beschikbaar zijn en voldoen aan FIPS 140-2. Azure Storage-versleuteling is ingeschakeld voor alle opslagaccounts, waardoor gegevens standaard beveiligd zijn. U hoeft uw code of toepassingen niet te wijzigen om te profiteren van Azure Storage-versleuteling. Versleuteling van gegevens die onderweg zijn, wordt verwerkt met TLS 1.2.
Naleving
Azure-aanbiedingen voor naleving zijn gebaseerd op verschillende soorten garanties, waaronder formele certificeringen. Tevens zijn deze gebaseerd op verklaringen, validaties en autorisaties. Evaluaties die door onafhankelijke auditkantoren van derden worden geproduceerd. Contractuele wijzigingen, zelfevaluaties en richtsnoeren ten aanzien van klanten die door Microsoft worden geproduceerd. Zie het Vertrouwenscentrum van Microsoft en het overzicht van Microsoft Azure-naleving voor INFORMATIE over HDInsight op AKS-naleving.
Model van gedeelde verantwoordelijkheid
In de volgende afbeelding ziet u een overzicht van de belangrijkste beveiligingsgebieden van het systeem en de beveiligingsoplossingen die voor u beschikbaar zijn. Ook wordt benadrukt welke beveiligingsgebieden uw verantwoordelijkheden zijn als klant en gebieden die verantwoordelijk zijn voor HDInsight op AKS als serviceprovider.
De volgende tabel bevat koppelingen naar resources voor elk type beveiligingsoplossing.
| Beveiligingsgebied | Beschikbare oplossingen | Verantwoordelijke partij |
|---|---|---|
| Beveiliging van gegevenstoegang | Toegangsbeheerlijsten voor ACL's configureren voor Azure Data Lake Storage Gen2 | Customer |
| De vereiste eigenschap Veilige overdracht inschakelen voor opslag | Customer | |
| Firewalls en virtuele netwerken voor Azure Storage configureren | Customer | |
| Beveiliging van besturingssysteem | Clusters maken met de meest recente HDInsight in AKS-versies | Customer |
| Netwerkbeveiliging | Een virtueel netwerk configureren | |
| Verkeer configureren met firewallregels | Customer | |
| Uitgaand verkeer configureren dat vereist is | Customer |