Zabezpieczenia w usłudze Azure Data Explorer
Ten artykuł zawiera wprowadzenie do zabezpieczeń w usłudze Azure Data Explorer, które ułatwiają ochronę danych i zasobów w chmurze oraz spełnianie potrzeb firmy w zakresie zabezpieczeń. Ważne jest, aby zapewnić bezpieczeństwo klastrów. Zabezpieczanie klastrów obejmuje co najmniej jedną funkcję platformy Azure, która obejmuje bezpieczny dostęp i magazyn. Ten artykuł zawiera informacje ułatwiające zapewnienie bezpieczeństwa klastra.
Aby uzyskać więcej zasobów dotyczących zgodności z firmą lub organizacją, zobacz dokumentację zgodności platformy Azure.
Bezpieczeństwo sieci
Zabezpieczenia sieci są wymagane przez wielu naszych klientów korporacyjnych świadomych zabezpieczeń. Celem jest odizolowanie ruchu sieciowego i ograniczenie obszaru ataków dla usługi Azure Data Explorer i odpowiedniej komunikacji. W związku z tym można zablokować ruch pochodzący z segmentów sieci innych niż azure Data Explorer i zapewnić, że tylko ruch ze znanych źródeł dociera do punktów końcowych usługi Azure Data Explorer. Obejmuje to ruch pochodzący ze środowiska lokalnego lub spoza platformy Azure z miejscem docelowym platformy Azure i odwrotnie. Usługa Azure Data Explorer obsługuje następujące funkcje, aby osiągnąć ten cel:
- Prywatny punkt końcowy (zalecany)
- Iniekcja sieci wirtualnej
Zdecydowanie zalecamy używanie prywatnych punktów końcowych do zabezpieczania dostępu sieciowego do klastra. Ta opcja ma wiele zalet w porównaniu z iniekcją sieci wirtualnej, co skutkuje niższym obciążeniem konserwacyjnym, w tym prostszym procesem wdrażania i bardziej niezawodnymi zmianami sieci wirtualnej.
Tożsamość i kontrola dostępu
Kontrola dostępu oparta na rolach
Użyj kontroli dostępu opartej na rolach (RBAC), aby rozdzielić obowiązki i przyznać tylko wymagany dostęp użytkownikom klastra. Zamiast nadawać wszystkim nieograniczone uprawnienia w klastrze, można zezwolić tylko użytkownikom przypisanym do określonych ról na wykonywanie określonych akcji. Kontrolę dostępu dla baz danych można skonfigurować w Azure Portal, przy użyciu interfejsu wiersza polecenia platformy Azure lub Azure PowerShell.
Tożsamości zarządzane dla zasobów platformy Azure
Typowym wyzwaniem podczas tworzenia aplikacji w chmurze jest zarządzanie poświadczeniami w kodzie na potrzeby uwierzytelniania w usługach w chmurze. Zabezpieczanie poświadczeń to ważne zadanie. Poświadczenia nie powinny być przechowywane na stacjach roboczych deweloperów ani zaewidencjonowane w kontroli źródła. Usługa Azure Key Vault oferuje bezpieczny sposób przechowywania poświadczeń, wpisów tajnych i innych kluczy, ale w celu ich pobrania należy uwierzytelnić kod w usłudze Key Vault.
Ta funkcja Microsoft Entra tożsamości zarządzanych dla zasobów platformy Azure rozwiązuje ten problem. Funkcja udostępnia usługom platformy Azure automatycznie zarządzaną tożsamość w identyfikatorze Microsoft Entra. Za pomocą tożsamości można uwierzytelniać się w dowolnej usłudze obsługującej uwierzytelnianie Microsoft Entra, w tym Key Vault, bez żadnych poświadczeń w kodzie. Aby uzyskać więcej informacji na temat tej usługi, zobacz stronę przeglądu tożsamości zarządzanych dla zasobów platformy Azure .
Ochrona danych
Szyfrowanie dysków platformy Azure
Usługa Azure Disk Encryption pomaga chronić dane i chronić je w celu spełnienia wymagań organizacji w zakresie zabezpieczeń i zgodności. Zapewnia szyfrowanie woluminów dla systemu operacyjnego i dysków danych maszyn wirtualnych klastra. Usługa Azure Disk Encryption integruje się również z usługą Azure Key Vault, co pozwala nam kontrolować klucze szyfrowania dysków i wpisy tajne oraz zarządzać nimi, a także zapewnia szyfrowanie wszystkich danych na dyskach maszyn wirtualnych.
Klucze zarządzane przez klienta za pomocą usługi Azure Key Vault
Domyślnie dane są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Aby uzyskać dodatkową kontrolę nad kluczami szyfrowania, możesz podać klucze zarządzane przez klienta do użycia na potrzeby szyfrowania danych. Szyfrowanie danych można zarządzać na poziomie magazynu przy użyciu własnych kluczy. Klucz zarządzany przez klienta służy do ochrony i kontrolowania dostępu do głównego klucza szyfrowania, który służy do szyfrowania i odszyfrowywania wszystkich danych. Klucze zarządzane przez klienta zapewniają większą elastyczność tworzenia, obracania, wyłączania i odwoływanie kontroli dostępu. Możesz również przeprowadzać inspekcję kluczy szyfrowania używanych do ochrony danych.
Przechowywanie kluczy zarządzanych przez klienta za pomocą usługi Azure Key Vault. Możesz utworzyć własne klucze i przechowywać je w magazynie kluczy lub użyć interfejsu API usługi Azure Key Vault do generowania kluczy. Klaster usługi Azure Data Explorer i usługa Azure Key Vault muszą znajdować się w tym samym regionie, ale mogą znajdować się w różnych subskrypcjach. Aby uzyskać więcej informacji na temat usługi Azure Key Vault, zobacz Co to jest usługa Azure Key Vault?. Aby uzyskać szczegółowe wyjaśnienie dotyczące kluczy zarządzanych przez klienta, zobacz Klucze zarządzane przez klienta w usłudze Azure Key Vault. Konfigurowanie kluczy zarządzanych przez klienta w klastrze usługi Azure Data Explorer przy użyciu portalu,języka C#, szablonu usługi Azure Resource Manager, interfejsu wiersza polecenia lub programu PowerShell
Uwaga
Klucze zarządzane przez klienta opierają się na tożsamościach zarządzanych dla zasobów platformy Azure— funkcji Microsoft Entra identyfikatora. Aby skonfigurować klucze zarządzane przez klienta w Azure Portal, skonfiguruj tożsamość zarządzaną w klastrze zgodnie z opisem w temacie Konfigurowanie tożsamości zarządzanych dla klastra usługi Azure Data Explorer.
Przechowywanie kluczy zarządzanych przez klienta w usłudze Azure Key Vault
Aby włączyć klucze zarządzane przez klienta w klastrze, użyj usługi Azure Key Vault do przechowywania kluczy. Należy włączyć zarówno właściwości Usuwanie nietrwałe , jak i Nie przeczyszczać w magazynie kluczy. Magazyn kluczy musi znajdować się w tym samym regionie co klaster. Usługa Azure Data Explorer używa tożsamości zarządzanych dla zasobów platformy Azure do uwierzytelniania w magazynie kluczy na potrzeby operacji szyfrowania i odszyfrowywania. Tożsamości zarządzane nie obsługują scenariuszy obejmujących wiele katalogów.
Rotacja kluczy zarządzanych przez klienta
Klucz zarządzany przez klienta można obrócić w usłudze Azure Key Vault zgodnie z zasadami zgodności. Aby obrócić klucz, w usłudze Azure Key Vault zaktualizuj wersję klucza lub utwórz nowy klucz, a następnie zaktualizuj klaster w celu szyfrowania danych przy użyciu nowego identyfikatora URI klucza. Te kroki można wykonać przy użyciu interfejsu wiersza polecenia platformy Azure lub w portalu. Obracanie klucza nie powoduje ponownego szyfrowania istniejących danych w klastrze.
Podczas rotacji klucza zazwyczaj określa się tę samą tożsamość używaną podczas tworzenia klastra. Opcjonalnie skonfiguruj nową tożsamość przypisaną przez użytkownika na potrzeby dostępu do klucza lub włącz i określ tożsamość przypisaną przez system klastra.
Uwaga
Upewnij się, że wymagane uprawnienia Pobierz, Odpakuj klucz i Zawijanie klucza zostały ustawione dla tożsamości skonfigurowanej na potrzeby dostępu do klucza.
Aktualizowanie wersji klucza
Typowym scenariuszem jest zaktualizowanie wersji klucza używanego jako klucz zarządzany przez klienta. W zależności od konfiguracji szyfrowania klastra klucz zarządzany przez klienta w klastrze jest automatycznie aktualizowany lub musi zostać ręcznie zaktualizowany.
Odwoływanie dostępu do kluczy zarządzanych przez klienta
Aby odwołać dostęp do kluczy zarządzanych przez klienta, użyj programu PowerShell lub interfejsu wiersza polecenia platformy Azure. Aby uzyskać więcej informacji, zobacz Azure Key Vault PowerShell lub Interfejs wiersza polecenia usługi Azure Key Vault. Odwołanie dostępu blokuje dostęp do wszystkich danych na poziomie magazynu klastra, ponieważ klucz szyfrowania jest w związku z tym niedostępny przez usługę Azure Data Explorer.
Uwaga
Gdy usługa Azure Data Explorer zidentyfikuje, że dostęp do klucza zarządzanego przez klienta zostanie odwołany, automatycznie zawiesi klaster w celu usunięcia wszystkich buforowanych danych. Po zwróceniu dostępu do klucza klaster zostanie automatycznie wznowiony.
Zawartość pokrewna
- Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Data Explorer
- Zabezpiecz klaster przy użyciu usługi Disk Encryption , włączając szyfrowanie magazynowane.
- Konfigurowanie tożsamości zarządzanych dla klastra
- Konfigurowanie kluczy zarządzanych przez klienta
- Dokumentacja zgodności platformy Azure
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla