Visão geral da segurança corporativa no Azure HDInsight no AKS
Nota
Vamos desativar o Azure HDInsight no AKS em 31 de janeiro de 2025. Antes de 31 de janeiro de 2025, você precisará migrar suas cargas de trabalho para o Microsoft Fabric ou um produto equivalente do Azure para evitar o encerramento abrupto de suas cargas de trabalho. Os clusters restantes na sua subscrição serão interrompidos e removidos do anfitrião.
Apenas o apoio básico estará disponível até à data da reforma.
Importante
Esta funcionalidade está atualmente em pré-visualização. Os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure incluem mais termos legais que se aplicam a funcionalidades do Azure que estão em versão beta, em pré-visualização ou ainda não disponibilizadas para disponibilidade geral. Para obter informações sobre essa visualização específica, consulte Informações de visualização do Azure HDInsight no AKS. Para perguntas ou sugestões de recursos, envie uma solicitação no AskHDInsight com os detalhes e siga-nos para obter mais atualizações na Comunidade do Azure HDInsight.
O Azure HDInsight no AKS oferece segurança por padrão e há vários métodos para atender às necessidades de segurança da sua empresa.
Este artigo aborda a arquitetura de segurança geral e as soluções de segurança, dividindo-as em quatro pilares de segurança tradicionais: segurança de perímetro, autenticação, autorização e criptografia.
Arquitetura de segurança
A prontidão empresarial para qualquer software requer verificações de segurança rigorosas para prevenir e lidar com ameaças que possam surgir. O HDInsight no AKS fornece um modelo de segurança em várias camadas para protegê-lo em várias camadas. A arquitetura de segurança usa métodos de autorização modernos usando MSI. Todo o acesso ao armazenamento é através do MSI, e o acesso ao banco de dados é através do nome de usuário/senha. A senha é armazenada no Cofre de Chaves do Azure, definido pelo cliente. Esse recurso torna a configuração robusta e segura por padrão.
O diagrama abaixo ilustra uma arquitetura técnica de alto nível de segurança no HDInsight no AKS.
Pilares de segurança empresarial
Uma maneira de olhar para a segurança corporativa é dividir as soluções de segurança em quatro grupos principais com base no tipo de controle. Esses grupos também são chamados de pilares de segurança e são dos seguintes tipos: segurança de perímetro, autenticação, autorização e criptografia.
Segurança de perímetro
A segurança de perímetro no HDInsight no AKS é alcançada através de redes virtuais. Um administrador corporativo pode criar um cluster dentro de uma rede virtual (VNET) e usar grupos de segurança de rede (NSG) para restringir o acesso à rede virtual.
Autenticação
O HDInsight no AKS fornece autenticação baseada em ID do Microsoft Entra para logon de cluster e usa identidades gerenciadas (MSI) para proteger o acesso de cluster a arquivos no Azure Data Lake Storage Gen2. A identidade gerenciada é um recurso do Microsoft Entra ID que fornece aos serviços do Azure um conjunto de credenciais gerenciadas automaticamente. Com essa configuração, os funcionários da empresa podem entrar nos nós do cluster usando suas credenciais de domínio. Uma identidade gerenciada do Microsoft Entra ID permite que seu aplicativo acesse facilmente outros recursos protegidos pelo Microsoft Entra, como o Azure Key Vault, o Storage, o SQL Server e o Database. A identidade gerenciada pela plataforma Azure e não exige que você provisione ou alterne nenhum segredo. Esta solução é fundamental para proteger o acesso ao seu HDInsight no cluster AKS e outros recursos dependentes. As identidades gerenciadas tornam seu aplicativo mais seguro, eliminando segredos de seu aplicativo, como credenciais nas cadeias de conexão.
Você cria uma identidade gerenciada atribuída pelo usuário, que é um recurso autônomo do Azure, como parte do processo de criação do cluster, que gerencia o acesso aos seus recursos dependentes.
Autorização
Uma prática recomendada que a maioria das empresas segue é garantir que nem todos os funcionários tenham acesso total a todos os recursos da empresa. Da mesma forma, o administrador pode definir políticas de controle de acesso baseadas em função para os recursos do cluster.
Os proprietários de recursos podem configurar o controle de acesso baseado em função (RBAC). A configuração de políticas RBAC permite associar permissões a uma função na organização. Essa camada de abstração torna mais fácil garantir que as pessoas tenham apenas as permissões necessárias para executar suas responsabilidades de trabalho. Autorização gerenciada por funções ARM para gerenciamento de cluster (plano de controle) e acesso a dados de cluster (plano de dados) gerenciado por gerenciamento de acesso a cluster.
Funções de gerenciamento de cluster (Funções de Plano de Controle / ARM)
| Ação | HDInsight no AKS Cluster Pool Admin | HDInsight no AKS Cluster Admin |
|---|---|---|
| Criar / Excluir pool de clusters | ✅ | |
| Atribuir permissão e funções no pool de clusters | ✅ | |
| Criar/excluir cluster | ✅ | ✅ |
| Gerenciar cluster | ✅ | |
| Gestão da Configuração | ✅ | |
| Ações do script | ✅ | |
| Gestão de Bibliotecas | ✅ | |
| Monitorização | ✅ | |
| Ações de dimensionamento | ✅ |
As funções acima são da perspetiva das operações ARM. Para obter mais informações, consulte Conceder a um usuário acesso aos recursos do Azure usando o portal do Azure - Azure RBAC.
Acesso ao cluster (Plano de Dados)
Você pode permitir que usuários, entidades de serviço, identidade gerenciada acessem o cluster por meio do portal ou usando ARM.
Este acesso permite
- Visualize clusters e gerencie trabalhos.
- Realizar todas as operações de monitorização e gestão.
- Execute operações de dimensionamento automático e atualize a contagem de nós.
O acesso não previsto
- Eliminação de cluster
Importante
Qualquer usuário recém-adicionado exigirá uma função adicional de "Leitor RBAC do Serviço Kubernetes do Azure" para exibir a integridade do serviço.
Auditoria
A auditoria do acesso aos recursos do cluster é necessária para rastrear o acesso não autorizado ou não intencional dos recursos. É tão importante quanto proteger os recursos do cluster contra acesso não autorizado.
O administrador do grupo de recursos pode visualizar e relatar todo o acesso ao HDInsight em recursos e dados do cluster AKS usando o registro de atividades. O administrador pode visualizar e relatar alterações nas políticas de controle de acesso.
Encriptação
A proteção de dados é importante para atender aos requisitos organizacionais de segurança e conformidade. Além de restringir o acesso a dados de funcionários não autorizados, você deve criptografá-los. O armazenamento e os discos (disco do sistema operacional e disco de dados persistente) usados pelos nós e contêineres do cluster são criptografados. Os dados no Armazenamento do Azure são criptografados e descriptografados de forma transparente usando criptografia AES de 256 bits, uma das cifras de bloco mais fortes disponíveis, e são compatíveis com FIPS 140-2. A criptografia do Armazenamento do Azure está habilitada para todas as contas de armazenamento, o que torna os dados seguros por padrão, você não precisa modificar seu código ou aplicativos para aproveitar a criptografia do Armazenamento do Azure. A criptografia de dados em trânsito é tratada com TLS 1.2.
Conformidade
As ofertas de conformidade do Azure baseiam-se em vários tipos de garantias, incluindo certificações formais. Além disso, atestados, validações e autorizações. Avaliações produzidas por empresas de auditoria terceiras independentes. Alterações contratuais, autoavaliações e documentos de orientação ao cliente produzidos pela Microsoft. Para obter informações sobre conformidade com o HDInsight no AKS, consulte a Central de Confiabilidade da Microsoft e a Visão geral da conformidade com o Microsoft Azure.
Modelo de responsabilidade partilhada
A imagem a seguir resume as principais áreas de segurança do sistema e as soluções de segurança disponíveis para você. Ele também destaca quais áreas de segurança são suas responsabilidades como cliente e áreas que são de responsabilidade da HDInsight no AKS como provedor de serviços.
A tabela a seguir fornece links para recursos para cada tipo de solução de segurança.
| Área de segurança | Soluções disponíveis | Parte responsável |
|---|---|---|
| Segurança de Acesso a Dados | Configurar ACLs de listas de controle de acesso para o Azure Data Lake Storage Gen2 | Cliente |
| Habilite a propriedade Transferência segura necessária no armazenamento | Cliente | |
| Configurar firewalls de armazenamento do Azure e redes virtuais | Cliente | |
| Segurança do sistema operacional | Crie clusters com as versões mais recentes do HDInsight no AKS | Cliente |
| Segurança da rede | Configurar uma rede virtual | |
| Configurar o tráfego usando regras de firewall | Cliente | |
| Configurar o tráfego de saída necessário | Cliente |