Visão geral da segurança da empresa no Azure HDInsight no AKS
Observação
Desativaremos o Microsoft Azure HDInsight no AKS em 31 de janeiro de 2025. Para evitar o encerramento abrupto das suas cargas de trabalho, você precisará migrá-las para o Microsoft Fabric ou para um produto equivalente do Azure antes de 31 de janeiro de 2025. Os clusters restantes em sua assinatura serão interrompidos e removidos do host.
Somente o suporte básico estará disponível até a data de desativação.
Importante
Esse recurso está atualmente na visualização. Os Termos de uso complementares para versões prévias do Microsoft Azure incluem mais termos legais que se aplicam aos recursos do Azure que estão em versão beta, em versão prévia ou ainda não lançados em disponibilidade geral. Para obter informações sobre essa versão prévia específica, confira Informações sobre a versão prévia do Azure HDInsight no AKS. Caso tenha perguntas ou sugestões de recursos, envie uma solicitação no AskHDInsight com os detalhes e siga-nos para ver mais atualizações sobre a Comunidade do Azure HDInsight.
O Azure HDInsight no AKS oferece segurança por padrão, e há vários métodos para atender às necessidades de segurança da sua empresa.
Este artigo aborda a arquitetura de segurança geral e as soluções de segurança dividindo-as em quatro pilares de segurança tradicionais: segurança de perímetro, autenticação, autorização e criptografia.
Arquitetura de segurança
A preparação da empresa para qualquer software requer verificações de segurança rigorosas para evitar e resolver ameaças que possam surgir. O HDInsight no AKS fornece um modelo de segurança de várias camadas para protegê-lo em várias camadas. A arquitetura de segurança usa métodos de autorização modernos usando o MSI. Todo o acesso de armazenamento é por meio do MSI e o acesso ao banco de dados é por meio de nome de usuário/senha. A senha é armazenada no Azure Key Vault, definido pelo cliente. Este recurso torna a configuração robusta e segura por padrão.
O diagrama abaixo ilustra uma arquitetura técnica de alto nível de segurança no HDInsight no AKS.
Pilares da segurança empresarial
Uma maneira de examinar a segurança da empresa é dividir soluções de segurança em quatro grupos principais com base no tipo de controle. Esses grupos também são chamados de pilares de segurança e são dos seguintes tipos: segurança de perímetro, autenticação, autorização e criptografia.
Segurança de perímetro
A segurança de perímetro no HDInsight no AKS é obtida por meio de redes virtuais. Um administrador corporativo pode criar um cluster dentro de uma VNET (rede virtual) e usar grupos de segurança de rede (NSG) para restringir o acesso à rede virtual.
Autenticação
O HDInsight no AKS fornece autenticação baseada no Microsoft Entra ID para logon de cluster e usa identidades gerenciadas (MSI) para proteger o acesso de cluster a arquivos no Azure Data Lake Storage Gen2. A identidade gerenciada é um recurso do Microsoft Entra ID que fornece aos serviços do Azure um conjunto de credenciais gerenciadas automaticamente. Com essa configuração, os funcionários da empresa podem entrar nos nós de cluster, usando as credenciais de domínio. Uma identidade gerenciada do Microsoft Entra ID permite que seu aplicativo acesse facilmente outros recursos protegidos do Microsoft Entra, como o Azure Key Vault, Armazenamento, SQL Server e Banco de Dados. A identidade é gerenciada pela plataforma do Azure e não exige que você provisione ou gire nenhum segredo. Essa solução é uma chave para proteger o acesso ao cluster do HDInsight no AKS e outros recursos dependentes. As identidades gerenciadas tornam seu aplicativo mais seguro, eliminando os segredos do aplicativo, como as credenciais nas cadeias de conexão.
Você cria uma identidade gerenciada atribuída pelo usuário, que é um recurso autônomo do Azure, como parte do processo de criação do cluster, que gerencia o acesso aos seus recursos dependentes.
Autorização
Uma melhor prática que a maioria das empresas segue é garantir que nem todos os funcionários tenham acesso completo a todos os recursos da empresa. Da mesma forma, o administrador pode definir políticas de controle de acesso baseadas em função para os recursos do cluster.
Os proprietários de recursos podem configurar o controle de acesso baseado em função (RBAC). A configuração de políticas de RBAC permite que você associe permissões a uma função na organização. Essa camada de abstração facilita garantir que as pessoas tenham apenas as permissões necessárias para realizar suas responsabilidades de trabalho. Autorização gerenciada por funções do ARM para gerenciamento de cluster (plano de controle) e acesso a dados de cluster (plano de dados) gerenciado pelo gerenciamento de acesso de cluster.
Funções de gerenciamento de cluster (Funções do Plano de Controle/ARM)
| Ação | Administrador do Pool de Clusters do HDInsight no AKS | Administrador de Cluster do HDInsight no AKS |
|---|---|---|
| Criar/Excluir pool de clusters | ✅ | |
| Atribuir permissão e funções no pool de clusters | ✅ | |
| Criar/excluir cluster | ✅ | ✅ |
| Gerenciar Cluster | ✅ | |
| Gerenciamento de configuração | ✅ | |
| Ações de script | ✅ | |
| Gerenciamento de Biblioteca | ✅ | |
| Monitoramento | ✅ | |
| Ações de dimensionamento | ✅ |
As funções acima são da perspectiva de operações do ARM. Para saber mais, confira Conceder acesso aos recursos do Azure a um usuário usando o portal do Azure - Azure RBAC.
Acesso ao cluster (Plano de Dados)
Você pode permitir que usuários, entidades de serviço, identidade gerenciada acessem o cluster por meio do portal ou usando o ARM.
Esse acesso permite que você
- Exiba clusters e gerencie trabalhos.
- Execute todas as operações de monitoramento e gerenciamento.
- Execute operações de dimensionamento automático e atualize a contagem de nós.
O acesso não fornecido para
- Exclusão do cluster
Importante
Os usuário recém-adicionado exigirá uma função adicional de "Leitor de RBAC do Serviço de Kubernetes do Azure" para exibir a integridade do serviço.
Auditoria
O acesso a recursos de cluster de auditoria é necessário para controlar o acesso não autorizado ou não intencional aos recursos. Também é muito importante proteger os recursos do cluster contra o acesso não autorizado.
O administrador do grupo de recursos pode exibir e relatar todo o acesso ao HDInsight em recursos e dados de cluster do AKS usando o log de atividades. O administrador pode visualizar e gerar relatórios sobre as alterações nas políticas de controle de acesso.
Criptografia
A proteção de dados é importante para atender aos requisitos de segurança e conformidade da organização. Além de restringir o acesso a dados de funcionários não autorizados, você deve criptografá-lo. O armazenamento e os discos (disco do sistema operacional e disco de dados persistente) usados pelos nós de cluster e contêineres são criptografados. Os dados do Armazenamento do Azure são criptografados e descriptografados de maneira transparente com a criptografia AES de 256 bits, uma das codificações de bloco mais fortes disponíveis, além de estar em conformidade com o FIPS 140-2. A criptografia do Armazenamento do Azure está habilitada para todas as contas de armazenamento, o que torna os dados seguros por padrão, você não precisa modificar seu código ou aplicativos para aproveitar a criptografia do Armazenamento do Azure. A criptografia de dados em trânsito é tratada com o TLS 1.2.
Conformidade
As ofertas de conformidade do Azure baseiam-se em vários tipos de garantia, incluindo certificações formais. Além disso, atestado, validações e autorizações. Avaliações produzidas por empresas independentes de auditoria de terceiros. Documentos de emendas contratuais, autoavaliações e orientação do cliente produzidos pela Microsoft. Para obter informações sobre a conformidade do HDInsight no AKS, confira a Central de Confiabilidade da Microsoft e a Visão geral da conformidade do Microsoft Azure.
Modelo de responsabilidade compartilhada
A imagem a seguir resume as principais áreas de segurança do sistema e as soluções de segurança que estão disponíveis para você. Também realça quais áreas de segurança são responsabilidade sua como cliente e as áreas que são responsabilidade do HDInsight no AKS como o provedor de serviços.
A tabela a seguir fornece links para recursos para cada tipo de solução de segurança.
| Área de segurança | Soluções disponíveis | Parte responsável |
|---|---|---|
| Segurança de acesso a dados | Configurar as listas de controle de acesso (ACLs) do Azure Data Lake Storage Gen2 | Cliente |
| Habilitar a propriedade Transferência segura obrigatória no armazenamento | Cliente | |
| Configurar redes virtuais e firewalls do Armazenamento do Azure | Cliente | |
| Segurança do sistema operacional | Criar clusters com as versões mais recente do HDInsight no AKS | Cliente |
| Segurança de rede | Configurar uma rede virtual | |
| Configurar o Tráfego usando regras de firewall | Cliente | |
| Configurar o Tráfego de saída necessário | Cliente |