Поделиться через

Безопасность в Azure Data Explorer

В этой статье содержатся общие сведения о безопасности в Azure Data Explorer, которые помогут защитить данные и ресурсы в облаке, а также обеспечить соответствие требованиям к безопасности вашего бизнеса. Важно обеспечить безопасность кластеров. Защита кластеров включает одну или несколько функций Azure, которые обеспечивают безопасный доступ и хранилище. В этой статье содержатся сведения, помогающие поддерживать безопасность кластера.

Дополнительные ресурсы, касающиеся соблюдения норм для вашего бизнеса или организации, см. в документации по соответствию Azure.

Безопасность сети

Требование сетевой безопасности разделяют многие корпоративные клиенты, заботящиеся о безопасности. Цель заключается в том, чтобы изолировать сетевой трафик и ограничить область атаки в Azure Data Explorer и соответствующие каналы связи. Вы можете заблокировать трафик, исходящий из сетевых сегментов, отличных от Azure Data Explorer, и убедиться, что только трафик из известных источников достигает конечных точек Azure Data Explorer. Эта защита охватывает трафик, исходящий из локальной среды или за пределами Azure, направленный в Azure и в обратном направлении.

Azure Data Explorer поддерживает частные конечные точки для обеспечения сетевой изоляции и безопасности. Частные конечные точки обеспечивают безопасный способ подключения к кластеру Azure Data Explorer с помощью частного IP-адреса из виртуальной сети и эффективного переноса службы в виртуальную сеть. Эта конфигурация гарантирует, что трафик между виртуальной сетью и службой перемещается по магистральной сети Майкрософт, устраняя уязвимость из общедоступного Интернета.

Дополнительные сведения о настройке частных конечных точек для кластера см. в статье "Частная конечная точка".

Управление удостоверениями и доступом

Управление доступом на основе ролей

Используйте управление доступом на основе ролей для разделения обязанностей и предоставления пользователям кластера только необходимых прав доступа. Вместо предоставления всем неограниченным разрешениям в кластере разрешить только пользователям, назначенным определенным ролям, выполнять определенные действия. Вы можете настроить управление доступом для баз данных на портале Azure с помощью Azure CLI или Azure PowerShell.

Управляемые удостоверения для ресурсов Azure

Распространенная проблема при создании облачных приложений — управление учетными данными в коде для проверки подлинности в облачных службах. Обеспечение безопасности учетных данных является важной задачей. Учетные данные не следует хранить на рабочих станциях разработчиков или проверять их в системе управления версиями. Azure Key Vault позволяет обеспечить безопасное хранение учетных данных, секретов, а также других ключей, но для их получения код должен выполнять проверку подлинности в Key Vault.

Функция управляемых удостоверений для ресурсов Azure от Microsoft Entra решает эту проблему. Эта функция предоставляет службы Azure с автоматически управляемым удостоверением в идентификаторе Microsoft Entra. Удостоверение можно использовать для проверки подлинности в любой службе, поддерживающей проверку подлинности Microsoft Entra, включая Key Vault, без каких-либо учетных данных в коде. Для получения дополнительной информации об этой службе см. страницу обзора управляемых удостоверений для ресурсов Azure.

Защита данных

Шифрование дисков Azure

Шифрование дисков Azure помогает защитить ваши данные, чтобы соответствовать требованиям вашей организации в области безопасности и соответствия. Оно обеспечивает шифрование томов для дисков ОС и данных на виртуальных машинах кластера. Шифрование дисков Azure также интегрируется с Azure Key Vault, с помощью которого можно управлять ключами и секретами шифрования дисков, а также обеспечить шифрование всех данных на дисках виртуальных машин.

Управляемые клиентом ключи с использованием Azure Key Vault

По умолчанию ключи, управляемые Корпорацией Майкрософт, шифруют данные. Для дополнительного контроля над ключами шифрования укажите ключи, управляемые клиентом, для шифрования данных. Вы можете управлять шифрованием данных на уровне хранилища с помощью собственных ключей. Управляемый клиентом ключ защищает и управляет доступом к корневому ключу шифрования, который шифрует и расшифровывает все данные. Управляемые клиентом ключи обеспечивают большую гибкость для создания, поворота, отключения и отзыва элементов управления доступом. Вы также можете проверить ключи шифрования, которые защищают данные.

Для хранения ключей, управляемых клиентом, используйте Azure Key Vault. Можно либо создать собственные ключи и хранить их в хранилище ключей, либо использовать для их генерации API-интерфейсы Azure Key Vault. Кластер Azure Data Explorer и хранилище Azure Key Vault должны быть расположены в одном регионе, но могут находиться в разных подписках. Дополнительные сведения об Azure Key Vault см. в статье Что такое Azure Key Vault?. Подробное описание ключей, управляемых клиентом, см. в разделе "Ключи, управляемые клиентом" с помощью Azure Key Vault. Настройте управляемые клиентом ключи в кластере Azure Data Explorer с помощью портала, C#, шаблона Azure Resource Manager, интерфейса командной строки или PowerShell.

Примечание.

Управляемые клиентом ключи используют управляемые удостоверения для ресурсов Azure, функцию идентификатора Microsoft Entra. Чтобы настроить ключи, управляемые клиентом, на портале Azure, настройте управляемое удостоверение для кластера, как описано в разделе Настройка управляемых удостоверений для кластера Azure Data Explorer.

Сохраните ключи, управляемые клиентом, в хранилище Azure Key Vault

Чтобы включить ключи, управляемые клиентом, в кластере, используйте хранилище Azure Key Vault для хранения ключей. В хранилище ключей вы должны включить оба свойства: Мягкое удаление и Без удаления. Хранилище ключей должно находиться в том же регионе, что и кластер. Azure Data Explorer использует управляемые удостоверения для ресурсов Azure с целью проверки подлинности в хранилище ключей при проведении операций шифрования и расшифровки. Управляемые удостоверения не поддерживаются в сценариях работы с разными каталогами.

Поворот управляемых клиентом ключей

Вы можете периодически сменять управляемый клиентом ключ в Azure Key Vault в соответствии с применяемыми политиками соответствия требованиям. Чтобы повернуть ключ, обновите версию ключа или создайте новый ключ в Azure Key Vault, а затем обновите кластер для шифрования данных с помощью нового URI ключа. Эти действия можно выполнить с помощью Azure CLI или на портале. При циклической смене ключа не запускается повторное шифрование имеющихся в кластере данных.

При повороте ключа обычно указывается то же удостоверение, которое использовалось при создании кластера. Кроме того, вы можете настроить новое пользовательское удостоверение для доступа к ключам или же указать назначенное системой удостоверение для кластера.

Примечание.

Убедитесь, что удостоверению, настроенному для доступа к ключам, предоставлены необходимые разрешения на извлечение, распаковку ключа и упаковку ключа.

Обновление версии ключа

Распространенным сценарием является обновление версии ключа, управляемого клиентом. В зависимости от способа настройки шифрования кластера управляемый клиентом ключ в кластере автоматически обновляется или необходимо вручную обновить его.

Отзыв доступа к управляемым клиентом ключам

Чтобы отменить доступ к ключам, управляемым клиентом, используйте PowerShell или Azure CLI. Дополнительные сведения см. в разделе Azure Key Vault PowerShell или Azure Key Vault CLI. Отмена доступа блокирует доступ ко всем данным на уровне хранилища кластера, так как ключ шифрования станет недоступен службе Azure Data Explorer.

Примечание.

Когда Azure Data Explorer определяет, что доступ к ключу, управляемому клиентом, отозван, он автоматически приостанавливает кластер для удаления кэшированных данных. После возврата доступа к ключу кластер автоматически возобновляется.

Связанный контент

  • Last updated on