Compartilhar via

Segurança no Azure Data Explorer

Este artigo fornece uma introdução à segurança no Azure Data Explorer que ajudam a proteger seus dados e recursos na nuvem e atender às necessidades de segurança de sua empresa. É importante manter seus clusters seguros. Proteger seus clusters inclui um ou mais recursos do Azure que fornecem acesso e armazenamento seguros. Este artigo fornece informações para ajudá-lo a manter seu cluster seguro.

Para obter mais recursos sobre conformidade para sua empresa ou organização, consulte a documentação de conformidade do Azure.

Segurança de rede

A segurança de rede é um requisito compartilhado por muitos clientes corporativos conscientes da segurança. A intenção é isolar o tráfego de rede e limitar a superfície de ataque para o Azure Data Explorer e comunicações correspondentes. Você pode bloquear o tráfego proveniente de segmentos de rede que não são do Azure Data Explorer e garantir que somente o tráfego de fontes conhecidas chegue aos pontos de extremidade do Azure Data Explorer. Essa proteção inclui o tráfego originário de instalações locais ou de fora do Azure, tendo o Azure como destino e vice-versa.

O Azure Data Explorer oferece suporte a pontos de extremidade privados para alcançar isolamento e segurança de rede. Os pontos de extremidade privados fornecem uma maneira segura de se conectar ao seu cluster do Azure Data Explorer usando um endereço IP privado de sua rede virtual, integrando efetivamente o serviço na sua VNet. Essa configuração garante que o tráfego entre sua VNet e o serviço percorra a rede de backbone da Microsoft, eliminando a exposição à internet pública.

Para obter mais informações sobre como configurar pontos de extremidade privados para seu cluster, consulte o ponto de extremidade privado.

Identidade e controle de acesso

Controle de acesso baseado em função

Use o RBAC (controle de acesso baseado em função) para separar as tarefas e conceder somente o acesso necessário aos usuários do cluster. Em vez de conceder permissões irrestrita a todos no cluster, permita que somente os usuários atribuídos a funções específicas executem determinadas ações. Você pode configurar o controle de acesso para os bancos de dados no portal do Azure usando a CLI do Azure ou o Azure PowerShell.

Identidades gerenciadas para os recursos do Azure

Um desafio comum ao criar aplicativos de nuvem é o gerenciamento de credenciais no código para autenticar serviços de nuvem. Proteger as credenciais é uma tarefa importante. Você não deve armazenar as credenciais em estações de trabalho do desenvolvedor ou fazer check-los no controle do código-fonte. O Azure Key Vault fornece uma maneira de armazenar com segurança as credenciais, os segredos e outras chaves, mas seu código precisa se autenticar no Key Vault para recuperá-los.

A funcionalidade de identidades gerenciadas para recursos do Azure no Microsoft Entra resolve esse problema. O recurso fornece aos serviços do Azure uma identidade gerenciada automaticamente no Microsoft Entra ID. Você pode usar a identidade para se autenticar em qualquer serviço que seja compatível com a autenticação do Microsoft Entra, incluindo o Key Vault, sem precisar de nenhuma credencial no seu código. Para obter mais informações sobre esse serviço, consulte a página de visão geral de identidades gerenciadas para recursos do Azure .

Proteção de dados

Criptografia de disco do Azure

O Azure Disk Encryption ajuda a proteger e proteger seus dados para que você possa cumprir seus compromissos de conformidade e segurança organizacional. Ele fornece criptografia de volume para o sistema operacional e discos de dados de suas máquinas virtuais do cluster. O Azure Disk Encryption também se integra ao Azure Key Vault, que você pode usar para controlar e gerenciar as chaves e segredos de criptografia de disco e garantir que todos os dados nos discos da VM sejam criptografados.

Chaves gerenciadas pelo cliente com o Azure Key Vault

Por padrão, as chaves gerenciadas pela Microsoft criptografam dados. Para obter controle extra sobre chaves de criptografia, forneça chaves gerenciadas pelo cliente para criptografia de dados. Você pode gerenciar a criptografia de seus dados no nível de armazenamento usando suas próprias chaves. Uma chave gerenciada pelo cliente protege e controla o acesso à chave de criptografia raiz, que criptografa e descriptografa todos os dados. As chaves gerenciadas pelo cliente oferecem maior flexibilidade para criar, girar, desabilitar e revogar controles de acesso. Você também pode auditar as chaves de criptografia que protegem seus dados.

Use o Azure Key Vault para armazenar as chaves gerenciadas pelo cliente. Você pode criar suas próprias chaves e armazená-las em um cofre de chaves ou pode usar as APIs do Azure Key Vault para gerar chaves. O cluster do Azure Data Explorer e o Azure Key Vault devem estar na mesma região, mas podem estar em assinaturas diferentes. Para obter mais informações sobre o Azure Key Vault, confira O que é o Azure Key Vault?. Para obter uma explicação detalhada sobre chaves gerenciadas pelo cliente, consulte chaves gerenciadas pelo cliente com o Azure Key Vault. Configure chaves gerenciadas pelo cliente em seu cluster do Azure Data Explorer usando o Portal, C#, modelo do Azure Resource Manager, CLI ou o PowerShell.

Observação

As chaves gerenciadas pelo cliente dependem de identidades gerenciadas para recursos do Azure, um recurso do Microsoft Entra ID. Para configurar chaves gerenciadas pelo cliente no portal do Azure, configure uma identidade gerenciada para o cluster, conforme descrito em Configurar identidades gerenciadas para seu cluster do Azure Data Explorer.

Armazenar chaves gerenciadas pelo cliente no Azure Key Vault

Para habilitar chaves gerenciadas pelo cliente em um cluster, você precisa usar um Azure Key Vault para armazenar suas chaves. Habilite as propriedades Exclusão Inteligente e Não Apagar no cofre de chaves. O cofre de chaves deve estar na mesma região que o cluster. O Azure Data Explorer usa identidades gerenciadas para recursos do Azure para se autenticar no cofre de chaves para operações de criptografia e descriptografia. Identidades gerenciadas não têm suporte a cenários entre diretórios.

Rotacionar chaves gerenciadas pelo cliente

Você pode fazer a rotação de uma chave gerenciada pelo cliente no Azure Key Vault de acordo com suas políticas de conformidade. Para girar uma chave, atualize a versão da chave ou crie uma nova chave no Azure Key Vault e atualize o cluster para criptografar dados usando o novo URI de chave. Você pode executar essas etapas usando a CLI do Azure ou no portal. A rotação da chave não dispara uma nova criptografia de dados existentes no cluster.

Ao girar uma chave, normalmente você especifica a mesma identidade usada ao criar o cluster. Opcionalmente, configure uma nova identidade atribuída ao usuário para o acesso à chave ou habilite e especifique a identidade atribuída ao sistema do cluster.

Observação

Verifique se as permissões Get, Desencapsular chave e Encapsular Chave necessárias estão definidas para a identidade configurada para acesso à chave.

Atualizar a versão de chave

Um cenário comum é atualizar a versão da chave usada como uma chave gerenciada pelo cliente. Dependendo de como você configura a criptografia de cluster, a chave gerenciada pelo cliente no cluster é atualizada automaticamente ou você deve atualizá-la manualmente.

Revogar o acesso a chaves gerenciadas pelo cliente

Para revogar o acesso às chaves gerenciadas pelo cliente, use o PowerShell ou a CLI do Azure. Para obter mais informações, confira PowerShell do Azure Key Vault ou CLI do Azure Key Vault. Revogar o acesso bloqueia o acesso a todos os dados em nível de armazenamento do cluster, pois a chave de criptografia fica, por essa razão, inacessível pelo Azure Data Explorer.

Observação

Quando o Azure Data Explorer identifica que o acesso a uma chave gerenciada pelo cliente é revogado, ele suspende automaticamente o cluster para excluir todos os dados armazenados em cache. Depois que o acesso à chave é retornado, o cluster é retomado automaticamente.

Conteúdo relacionado

  • Last updated on