Segurança no Azure Data Lake Storage Gen1
Muitas empresas estão a tirar partido da análise de macrodados para informações empresariais para ajudá-las a tomar decisões inteligentes. Uma organização pode ter um ambiente complexo e regulado, com um número crescente de utilizadores diversos. É fundamental que uma empresa garanta que os dados empresariais críticos são armazenados de forma mais segura, com o nível de acesso correto concedido a utilizadores individuais. Azure Data Lake Storage Gen1 foi concebido para ajudar a cumprir estes requisitos de segurança. Neste artigo, saiba mais sobre as capacidades de segurança do Data Lake Storage Gen1, incluindo:
- Autenticação
- Autorização
- Isolamento da rede
- Proteção de dados
- Auditoria
Gestão de identidades e autenticação
A autenticação é o processo pelo qual a identidade de um utilizador é verificada quando o utilizador interage com Data Lake Storage Gen1 ou com qualquer serviço que se ligue a Data Lake Storage Gen1. Para gestão de identidades e autenticação, Data Lake Storage Gen1 utiliza Microsoft Entra ID, uma solução abrangente de gestão de identidades e acessos na cloud que simplifica a gestão de utilizadores e grupos.
Cada subscrição do Azure pode ser associada a uma instância de Microsoft Entra ID. Apenas os utilizadores e identidades de serviço definidos no seu serviço de Microsoft Entra podem aceder à sua conta Data Lake Storage Gen1, através do portal do Azure, ferramentas de linha de comandos ou através de aplicações cliente que a sua organização cria através da utilização da Data Lake Storage Gen1 SDK. As principais vantagens de utilizar Microsoft Entra ID como um mecanismo centralizado de controlo de acesso são:
- Gestão simplificada do ciclo de vida da identidade. A identidade de um utilizador ou serviço (uma identidade do principal de serviço) pode ser rapidamente criada e revogada ao simplesmente eliminar ou desativar a conta no diretório.
- Autenticação multifator. A autenticação multifator fornece uma camada adicional de segurança para inícios de sessão e transações de utilizadores.
- Autenticação de qualquer cliente através de um protocolo aberto padrão, como OAuth ou OpenID.
- Federação com serviços de diretório empresarial e fornecedores de identidade na cloud.
Autorização e controlo de acesso
Depois de Microsoft Entra autenticar um utilizador para que o utilizador possa aceder a Data Lake Storage Gen1, a autorização controla as permissões de acesso para Data Lake Storage Gen1. Data Lake Storage Gen1 separa a autorização das atividades relacionadas com a conta e os dados da seguinte forma:
- Controlo de acesso baseado em funções do Azure (RBAC do Azure) para gestão de contas
- POSIX ACL para aceder a dados no arquivo
RBAC do Azure para gestão de contas
Por predefinição, são definidas quatro funções básicas para Data Lake Storage Gen1. As funções permitem operações diferentes numa conta Data Lake Storage Gen1 através do portal do Azure, cmdlets do PowerShell e APIs REST. As funções Proprietário e Contribuidor podem desempenhar uma variedade de funções de administração na conta. Pode atribuir a função leitor aos utilizadores que apenas veem dados de gestão de contas.
funções
Tenha em atenção que, embora as funções sejam atribuídas para gestão de contas, algumas funções afetam o acesso aos dados. Tem de utilizar ACLs para controlar o acesso às operações que um utilizador pode realizar no sistema de ficheiros. A tabela seguinte mostra um resumo dos direitos de gestão e dos direitos de acesso a dados para as funções predefinidas.
| Funções | Direitos de gestão | Direitos de acesso a dados | Explicação |
|---|---|---|---|
| Nenhuma função atribuída | Nenhuma | Regido pela ACL | O utilizador não pode utilizar os cmdlets portal do Azure ou Azure PowerShell para procurar Data Lake Storage Gen1. O utilizador só pode utilizar ferramentas de linha de comandos. |
| Proprietário | Todos | Todos | A função Proprietário é um superutilizador. Esta função pode gerir tudo e tem acesso total aos dados. |
| Leitor | Só de leitura | Regido pela ACL | A função Leitor pode ver tudo em relação à gestão de contas, como o utilizador que está atribuído a que função. A função Leitor não pode efetuar alterações. |
| Contribuinte | Todos exceto adicionar e remover funções | Regido pela ACL | A função Contribuidor pode gerir alguns aspetos de uma conta, como implementações e criação e gestão de alertas. A função Contribuidor não pode adicionar ou remover funções. |
| Administrador de Acesso dos Utilizadores | Adicionar e remover funções | Regido pela ACL | A função Administrador de Acesso de Utilizador pode gerir o acesso dos utilizadores às contas. |
Para obter instruções, veja Atribuir utilizadores ou grupos de segurança a contas Data Lake Storage Gen1.
Utilizar ACLs para operações em sistemas de ficheiros
Data Lake Storage Gen1 é um sistema de ficheiros hierárquico como o Sistema de Ficheiros Distribuído do Hadoop (HDFS) e suporta ACLs POSIX. Controla as permissões de leitura (r), escrita (w) e execução (x) de recursos para a função Proprietário, para o grupo Proprietários e para outros utilizadores e grupos. No Data Lake Storage Gen1, as ACLs podem ser ativadas na pasta raiz, nas subpastas e em ficheiros individuais. Para obter mais informações sobre como as ACLs funcionam no contexto de Data Lake Storage Gen1, veja Controlo de acesso no Data Lake Storage Gen1.
Recomendamos que defina ACLs para vários utilizadores através de grupos de segurança. Adicione utilizadores a um grupo de segurança e, em seguida, atribua as ACLs de um ficheiro ou pasta a esse grupo de segurança. Isto é útil quando pretende fornecer permissões atribuídas, uma vez que está limitado a um máximo de 28 entradas para permissões atribuídas. Para obter mais informações sobre como proteger melhor os dados armazenados no Data Lake Storage Gen1 com Microsoft Entra grupos de segurança, consulte Atribuir utilizadores ou grupo de segurança como ACLs ao sistema de ficheiros Data Lake Storage Gen1.
Isolamento da rede
Utilize Data Lake Storage Gen1 para ajudar a controlar o acesso ao seu arquivo de dados ao nível da rede. Pode estabelecer firewalls e definir um intervalo de endereços IP para os seus clientes fidedignos. Com um intervalo de endereços IP, apenas os clientes que tenham um endereço IP dentro do intervalo definido podem ligar-se a Data Lake Storage Gen1.
As redes virtuais do Azure (VNet) suportam etiquetas de serviço para o Data Lake Gen 1. Uma etiqueta de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gere os prefixos de endereços englobados pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam. Para obter mais informações, veja Descrição geral das etiquetas de serviço do Azure.
Proteção de dados
Data Lake Storage Gen1 protege os seus dados ao longo do ciclo de vida. Para dados em trânsito, Data Lake Storage Gen1 utiliza o protocolo TLS 1.2 (Transport Layer Security) padrão da indústria para proteger dados através da rede.
Data Lake Storage Gen1 também fornece encriptação para dados armazenados na conta. Pode optar por encriptar os seus dados ou por não utilizar encriptação. Se optar pela encriptação, os dados armazenados no Data Lake Storage Gen1 são encriptados antes de armazenar em suportes de dados persistentes. Nesse caso, Data Lake Storage Gen1 encripta automaticamente os dados antes de persistir e desencripta os dados antes da obtenção, pelo que é completamente transparente para o cliente que acede aos dados. Não é necessária nenhuma alteração de código no lado do cliente para encriptar/desencriptar dados.
Para a gestão de chaves, Data Lake Storage Gen1 fornece dois modos para gerir as chaves de encriptação mestras (MEKs), que são necessárias para desencriptar quaisquer dados armazenados em Data Lake Storage Gen1. Pode permitir Data Lake Storage Gen1 gerir os MEKs por si ou optar por manter a propriedade dos MEKs com a sua conta do Azure Key Vault. Especifique o modo de gestão de chaves ao criar uma conta Data Lake Storage Gen1. Para obter mais informações sobre como fornecer configuração relacionada com encriptação, veja Introdução ao Azure Data Lake Storage Gen1 com o Portal do Azure.
Registos de atividade e de diagnóstico
Pode utilizar registos de atividades ou diagnósticos, consoante esteja à procura de registos para atividades relacionadas com a gestão de contas ou atividades relacionadas com dados.
- As atividades relacionadas com a gestão de contas utilizam APIs Resource Manager do Azure e são apresentadas no portal do Azure através de registos de atividades.
- As atividades relacionadas com dados utilizam APIs REST WebHDFS e são apresentadas no portal do Azure através de registos de diagnóstico.
Registo de atividades
Para cumprir os regulamentos, uma organização poderá exigir registos de auditoria adequados das atividades de gestão de contas se precisar de investigar incidentes específicos. Data Lake Storage Gen1 tem monitorização incorporada e regista todas as atividades de gestão de contas.
Para registos de auditoria de gestão de contas, veja e escolha as colunas que pretende registar. Também pode exportar registos de atividades para o Armazenamento do Azure.
Para obter mais informações sobre como trabalhar com registos de atividades, veja Ver registos de atividades para auditar ações em recursos.
Registos de diagnósticos
Pode ativar a auditoria de acesso a dados e o registo de diagnósticos no portal do Azure e enviar os registos para uma conta de armazenamento de Blobs do Azure, um hub de eventos ou registos do Azure Monitor.
Para obter mais informações sobre como trabalhar com registos de diagnóstico com Data Lake Storage Gen1, veja Aceder aos registos de diagnóstico para Data Lake Storage Gen1.
Resumo
Os clientes empresariais exigem uma plataforma de cloud de análise de dados segura e fácil de utilizar. Data Lake Storage Gen1 foi concebido para ajudar a resolver estes requisitos através da gestão e autenticação de identidades através da integração Microsoft Entra, autorização baseada em ACL, isolamento de rede, encriptação de dados em trânsito e inativos e auditoria.
Se quiser ver novas funcionalidades no Data Lake Storage Gen1, envie-nos o seu feedback no fórum do UserVoice Data Lake Storage Gen1.