Zabezpieczenia w usłudze Azure Data Lake Storage Gen1

Artykuł
03/11/2020

Wiele przedsiębiorstw korzysta z analizy danych big data na potrzeby analiz biznesowych, aby ułatwić im podejmowanie inteligentnych decyzji. Organizacja może mieć złożone i regulowane środowisko z coraz większą liczbą różnych użytkowników. Ważne jest, aby przedsiębiorstwo upewniło się, że krytyczne dane biznesowe są przechowywane bezpieczniej, z prawidłowym poziomem dostępu przyznanym poszczególnym użytkownikom. Azure Data Lake Storage Gen1 została zaprojektowana w celu spełnienia tych wymagań dotyczących zabezpieczeń. W tym artykule przedstawiono możliwości zabezpieczeń Data Lake Storage Gen1, w tym:

Authentication
Autoryzacja
Izolacja sieciowa
Ochrona danych
Inspekcja

Uwierzytelnianie i zarządzanie tożsamościami

Uwierzytelnianie to proces, za pomocą którego tożsamość użytkownika jest weryfikowana, gdy użytkownik wchodzi w interakcję z Data Lake Storage Gen1 lub z dowolną usługą, która łączy się z Data Lake Storage Gen1. W przypadku zarządzania tożsamościami i uwierzytelniania Data Lake Storage Gen1 używa Tożsamość Microsoft Entra, kompleksowego rozwiązania do zarządzania tożsamościami i dostępem w chmurze, które upraszcza zarządzanie użytkownikami i grupami.

Każda subskrypcja platformy Azure może być skojarzona z wystąpieniem Tożsamość Microsoft Entra. Tylko użytkownicy i tożsamości usług zdefiniowane w usłudze Microsoft Entra mogą uzyskiwać dostęp do konta Data Lake Storage Gen1 przy użyciu Azure Portal, narzędzi wiersza polecenia lub aplikacji klienckich, które organizacja tworzy przy użyciu zestawu SDK Data Lake Storage Gen1. Kluczowe zalety korzystania z Tożsamość Microsoft Entra jako scentralizowanego mechanizmu kontroli dostępu to:

Uproszczone zarządzanie cyklem życia tożsamości. Tożsamość użytkownika lub usługi (tożsamości jednostki usługi) można szybko utworzyć i szybko odwołać, usuwając lub wyłączając konto w katalogu.
Uwierzytelnianie wieloskładnikowe. Uwierzytelnianie wieloskładnikowe zapewnia dodatkową warstwę zabezpieczeń dla logów i transakcji użytkownika.
Uwierzytelnianie od dowolnego klienta za pośrednictwem standardowego protokołu otwartego, takiego jak OAuth lub OpenID.
Federacja z usługami katalogowymi przedsiębiorstwa i dostawcami tożsamości w chmurze.

Autoryzacja i kontrola dostępu

Po Microsoft Entra uwierzytelnieniu użytkownika, aby użytkownik mógł uzyskać dostęp do Data Lake Storage Gen1, autoryzacja kontroluje uprawnienia dostępu do Data Lake Storage Gen1. Data Lake Storage Gen1 oddziela autoryzację działań związanych z kontem i powiązanymi z danymi w następujący sposób:

Kontrola dostępu oparta na rolach (RBAC) platformy Azure na potrzeby zarządzania kontami
Lista ACL poSIX na potrzeby uzyskiwania dostępu do danych w magazynie

Kontrola dostępu oparta na rolach platformy Azure na potrzeby zarządzania kontami

Domyślnie zdefiniowano cztery podstawowe role dla Data Lake Storage Gen1. Role umożliwiają różne operacje na koncie Data Lake Storage Gen1 za pośrednictwem Azure Portal, poleceń cmdlet programu PowerShell i interfejsów API REST. Role Właściciel i Współautor mogą wykonywać różne funkcje administracyjne na koncie. Rolę Czytelnik można przypisać do użytkowników, którzy wyświetlają tylko dane zarządzania kontami.

Role platformy Azure — role platformy Azure

Należy pamiętać, że chociaż role są przypisane do zarządzania kontami, niektóre role wpływają na dostęp do danych. Należy użyć list ACL, aby kontrolować dostęp do operacji, które użytkownik może wykonać w systemie plików. W poniższej tabeli przedstawiono podsumowanie praw zarządzania i praw dostępu do danych dla ról domyślnych.

Role	Prawa do zarządzania	Prawa dostępu do danych	Wyjaśnienie
Brak przypisanej roli	Brak	Zarządzane przez listę ACL	Użytkownik nie może użyć poleceń cmdlet Azure Portal lub Azure PowerShell do przeglądania Data Lake Storage Gen1. Użytkownik może używać tylko narzędzi wiersza polecenia.
Właściciel	Wszystko	Wszystko	Rola Właściciel jest superużytkownikiem. Ta rola może zarządzać wszystkimi elementami i ma pełny dostęp do danych.
Czytelnik	Tylko odczyt	Zarządzane przez listę ACL	Rola Czytelnik może wyświetlać wszystkie elementy dotyczące zarządzania kontami, takie jak użytkownik, któremu przypisano rolę. Rola Czytelnik nie może wprowadzać żadnych zmian.
Współautor	Wszystkie z wyjątkiem dodawania i usuwania ról	Zarządzane przez listę ACL	Rola Współautor może zarządzać niektórymi aspektami konta, takimi jak wdrożenia i tworzenie alertów i zarządzanie nimi. Rola Współautor nie może dodawać ani usuwać ról.
Administrator dostępu użytkowników	Dodawanie i usuwanie ról	Zarządzane przez listę ACL	Rola Administrator dostępu użytkowników może zarządzać dostępem użytkowników do kont.

Aby uzyskać instrukcje, zobacz Przypisywanie użytkowników lub grup zabezpieczeń do kont Data Lake Storage Gen1.

Używanie list ACL na potrzeby operacji w systemach plików

Data Lake Storage Gen1 to hierarchiczny system plików, taki jak Rozproszony system plików Hadoop (HDFS), który obsługuje listy ACL POSIX. Steruje odczytem (r), zapisem (w) i wykonywaniem (x) uprawnień do zasobów dla roli Właściciel, dla grupy Właściciele oraz dla innych użytkowników i grup. W Data Lake Storage Gen1 listy ACL można włączyć w folderze głównym, w podfolderach i w poszczególnych plikach. Aby uzyskać więcej informacji na temat działania list ACL w kontekście Data Lake Storage Gen1, zobacz Kontrola dostępu w Data Lake Storage Gen1.

Zalecamy zdefiniowanie list ACL dla wielu użytkowników przy użyciu grup zabezpieczeń. Dodaj użytkowników do grupy zabezpieczeń, a następnie przypisz listy ACL dla pliku lub folderu do tej grupy zabezpieczeń. Jest to przydatne, gdy chcesz podać przypisane uprawnienia, ponieważ masz ograniczenie do maksymalnie 28 wpisów dla przypisanych uprawnień. Aby uzyskać więcej informacji na temat lepszego zabezpieczania danych przechowywanych w Data Lake Storage Gen1 przy użyciu grup zabezpieczeń Microsoft Entra, zobacz Przypisywanie użytkowników lub grupy zabezpieczeń jako list ACL do systemu plików Data Lake Storage Gen1.

Wyświetlanie listy uprawnień dostępu Lista uprawnień dostępu

Izolacja sieciowa

Użyj Data Lake Storage Gen1, aby ułatwić kontrolowanie dostępu do magazynu danych na poziomie sieci. Zapory można ustanowić i zdefiniować zakres adresów IP dla zaufanych klientów. W przypadku zakresu adresów IP tylko klienci, którzy mają adres IP w zdefiniowanym zakresie, mogą łączyć się z Data Lake Storage Gen1.

Ustawienia zapory i ustawienia zapory dostępu do adresów IP

Sieci wirtualne platformy Azure obsługują tagi usług dla usługi Data Lake Gen 1. Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów. Aby uzyskać więcej informacji, zobacz Omówienie tagów usługi platformy Azure.

Ochrona danych

Data Lake Storage Gen1 chroni dane przez cały cykl życia. W przypadku danych przesyłanych Data Lake Storage Gen1 używa standardowego protokołu Transport Layer Security (TLS 1.2) w celu zabezpieczenia danych za pośrednictwem sieci.

Szyfrowanie w Data Lake Storage Gen1

Data Lake Storage Gen1 zapewnia również szyfrowanie danych przechowywanych na koncie. Możesz wybrać szyfrowanie danych lub jego brak. Jeśli zdecydujesz się na szyfrowanie, dane przechowywane w Data Lake Storage Gen1 są szyfrowane przed zapisaniem na nośniku trwałym. W takim przypadku Data Lake Storage Gen1 automatycznie szyfruje dane przed utrwalaniem i odszyfrowywaniem danych przed pobraniem, dzięki czemu jest całkowicie niewidoczne dla klienta, który uzyskuje dostęp do danych. Po stronie klienta nie jest wymagana zmiana kodu w celu szyfrowania/odszyfrowywania danych.

W przypadku zarządzania kluczami Data Lake Storage Gen1 udostępnia dwa tryby zarządzania głównymi kluczami szyfrowania (MEKs), które są wymagane do odszyfrowywania wszystkich danych przechowywanych w Data Lake Storage Gen1. Możesz zezwolić Data Lake Storage Gen1 zarządzać meksami za Ciebie lub zachować własność meksów przy użyciu konta usługi Azure Key Vault. Należy określić tryb zarządzania kluczami podczas tworzenia konta Data Lake Storage Gen1. Aby uzyskać więcej informacji na temat zapewniania konfiguracji związanej z szyfrowaniem, zobacz Rozpoczynanie pracy z usługą Azure Data Lake Storage Gen1 przy użyciu witryny Azure Portal.

Dzienniki aktywności i diagnostyczne

W zależności od tego, czy szukasz dzienników związanych z zarządzaniem kontem, czy działań związanych z danymi, możesz użyć dzienników aktywności lub dzienników diagnostycznych.

Działania związane z zarządzaniem kontami używają interfejsów API usługi Azure Resource Manager i są udostępniane w Azure Portal za pośrednictwem dzienników aktywności.
Działania związane z danymi używają interfejsów API REST WebHDFS i są udostępniane w Azure Portal za pośrednictwem dzienników diagnostycznych.

Dziennik aktywności

Aby zachować zgodność z przepisami, organizacja może wymagać odpowiednich dzienników inspekcji działań związanych z zarządzaniem kontami, jeśli musi zagłębić się w konkretne zdarzenia. Data Lake Storage Gen1 ma wbudowane monitorowanie i rejestruje wszystkie działania związane z zarządzaniem kontami.

W przypadku dzienników inspekcji zarządzania kontami wyświetl i wybierz kolumny, które chcesz rejestrować. Dzienniki aktywności można również wyeksportować do usługi Azure Storage.

Aby uzyskać więcej informacji na temat pracy z dziennikami aktywności, zobacz Wyświetlanie dzienników aktywności w celu inspekcji akcji dotyczących zasobów.

Dzienniki diagnostyczne

Możesz włączyć inspekcję dostępu do danych i rejestrowanie diagnostyczne w Azure Portal i wysłać dzienniki do konta usługi Azure Blob Storage, centrum zdarzeń lub dzienników usługi Azure Monitor.

Dzienniki diagnostyczne Dzienniki diagnostyczne

Aby uzyskać więcej informacji na temat pracy z dziennikami diagnostycznymi przy użyciu Data Lake Storage Gen1, zobacz Uzyskiwanie dostępu do dzienników diagnostycznych dla Data Lake Storage Gen1.

Podsumowanie

Klienci korporacyjni wymagają platformy w chmurze analizy danych, która jest bezpieczna i łatwa w użyciu. Data Lake Storage Gen1 ma pomóc spełnić te wymagania za pośrednictwem zarządzania tożsamościami i uwierzytelniania za pośrednictwem integracji Microsoft Entra, autoryzacji opartej na listach ACL, izolacji sieciowej, szyfrowania danych podczas przesyłania i magazynowania oraz inspekcji.

Jeśli chcesz zobaczyć nowe funkcje w Data Lake Storage Gen1, prześlij nam swoją opinię na forum Data Lake Storage Gen1 UserVoice.