Обзор корпоративной безопасности в Azure HDInsight в AKS
Примечание.
Мы отставим Azure HDInsight в AKS 31 января 2025 г. До 31 января 2025 г. необходимо перенести рабочие нагрузки в Microsoft Fabric или эквивалентный продукт Azure, чтобы избежать резкого прекращения рабочих нагрузок. Оставшиеся кластеры в подписке будут остановлены и удалены из узла.
До даты выхода на пенсию будет доступна только базовая поддержка.
Внимание
Эта функция в настоящее время доступна для предварительного ознакомления. Дополнительные условия использования для предварительных версий Microsoft Azure включают более юридические термины, применимые к функциям Azure, которые находятся в бета-версии, в предварительной версии или в противном случае еще не выпущены в общую доступность. Сведения об этой конкретной предварительной версии см. в статье Azure HDInsight в предварительной версии AKS. Для вопросов или предложений функций отправьте запрос на AskHDInsight с подробными сведениями и следуйте за нами для получения дополнительных обновлений в сообществе Azure HDInsight.
Azure HDInsight в AKS обеспечивает безопасность по умолчанию, и существует несколько методов для решения ваших потребностей в корпоративной безопасности.
В этой статье рассматриваются общие архитектуры безопасности и решения безопасности, разделяя их на четыре традиционных компонента безопасности: безопасность периметра, проверка подлинности, авторизация и шифрование.
Архитектура безопасности
Готовность предприятия к любому программному обеспечению требует строгих проверок безопасности для предотвращения и устранения угроз, которые могут возникнуть. HDInsight в AKS предоставляет многоуровневую модель безопасности для защиты на нескольких уровнях. Архитектура безопасности использует современные методы авторизации с помощью MSI. Все доступ к хранилищу осуществляется через MSI, а доступ к базе данных осуществляется через имя пользователя или пароль. Пароль хранится в Azure Key Vault, определенном клиентом. Эта функция обеспечивает надежную и безопасную настройку по умолчанию.
На приведенной ниже схеме показана высокоуровневая техническая архитектура безопасности в HDInsight в AKS.
Основные аспекты корпоративной безопасности
Одним из способов изучения корпоративной безопасности является разделение решений безопасности на четыре основные группы на основе типа элемента управления. Эти группы также называются основными компонентами безопасности и относятся к следующим типам: безопасность периметра, проверка подлинности, авторизация и шифрование.
Безопасность периметра
Безопасность периметра в HDInsight в AKS достигается с помощью виртуальных сетей. Администратор предприятия может создать кластер в виртуальной сети и использовать группы безопасности сети (NSG) для ограничения доступа к виртуальной сети.
Проверка подлинности
HDInsight в AKS предоставляет проверку подлинности на основе идентификатора Microsoft Entra для входа в кластер и использует управляемые удостоверения (MSI) для защиты доступа к файлам в Azure Data Lake Storage 2-го поколения. Управляемое удостоверение — это функция идентификатора Microsoft Entra, который предоставляет службам Azure набор автоматически управляемых учетных данных. С помощью этой настройки сотрудники предприятия могут войти в узлы кластера с помощью учетных данных домена. Управляемое удостоверение из идентификатора Microsoft Entra позволяет приложению легко получить доступ к другим защищенным ресурсам Microsoft Entra, таким как Azure Key Vault, хранилище, SQL Server и База данных. Удостоверение, управляемое платформой Azure, и не требует подготовки или смены секретов. Это решение является ключом для защиты доступа к HDInsight в кластере AKS и других зависимых ресурсах. Управляемые удостоверения в службе приложений делают ваше приложение более безопасным, устраняя из него секреты, такие как учетные данные в строках подключения.
Вы создаете управляемое удостоверение, назначаемое пользователем, которое является автономным ресурсом Azure в рамках процесса создания кластера, который управляет доступом к зависимым ресурсам.
Авторизация
Большинство организаций следуют рекомендации по предоставлению полного доступа ко всем корпоративным ресурсам только определенным сотрудникам. Аналогичным образом администратор может определить политики управления доступом на основе ролей для ресурсов кластера.
Владельцы ресурсов могут настроить управление доступом на основе ролей (RBAC). Настройка политик RBAC позволяет связывать разрешения с ролью в организации. Этот уровень абстракции упрощает обеспечение того, чтобы пользователи имели только разрешения, необходимые для выполнения своих рабочих обязанностей. Авторизация, управляемая ролями ARM для управления кластерами (плоскости управления) и доступа к данным кластера (плоскости данных), управляемых управлением доступом к кластерам.
Роли управления кластерами (плоскость управления или роли ARM)
| Действие | HDInsight в администраторе пула кластеров AKS | HDInsight в администраторе кластера AKS |
|---|---|---|
| Создание и удаление пула кластеров | ✅ | |
| Назначение разрешений и ролей в пуле кластеров | ✅ | |
| Создание и удаление кластера | ✅ | ✅ |
| Управление кластером | ✅ | |
| Управление конфигурацией | ✅ | |
| Действия скрипта | ✅ | |
| Управление библиотеками | ✅ | |
| Наблюдение | ✅ | |
| Действия масштабирования | ✅ |
Приведенные выше роли относятся к перспективе операций ARM. Дополнительные сведения см. в статье Предоставление пользователю доступа к ресурсам Azure с помощью портал Azure — Azure RBAC.
Доступ к кластеру (плоскость данных)
Вы можете разрешить пользователям, субъектам-службам, управляемому удостоверению доступ к кластеру через портал или с помощью ARM.
Этот доступ включает
- Просмотр кластеров и управление заданиями.
- Выполните все операции мониторинга и управления.
- Выполните операции автоматического масштабирования и обновите число узлов.
Доступ не указан для
- Удаление кластера
Внимание
Для просмотра работоспособности службы любой добавленный пользователь потребует дополнительную роль "Служба Azure Kubernetes читателя RBAC".
Аудит
Аудит доступа к ресурсам кластера необходим для отслеживания неавторизованного или случайного доступа к ресурсам. Это так же важно, как защита ресурсов кластера от неавторизованного доступа.
Администратор группы ресурсов может просматривать и сообщать обо всем доступе к HDInsight в ресурсах кластера AKS и данных с помощью журнала действий. Администратор может просматривать изменения в политиках управления доступом и создавать по ним отчеты.
Шифрование
Защита данных важна для соблюдения требований безопасности и соответствия, установленных в организации. Помимо ограничения доступа неавторизованных сотрудников к данным, их следует зашифровать. Хранилище и диски (диск ОС и постоянный диск данных), используемые узлами кластера и контейнерами, шифруются. Шифрование и расшифровка данных в службе хранилища Microsoft Azure выполняются открытым образом с использованием 256-разрядного алгоритма AES, который является одним из наиболее надежных блочных шифров и совместим со стандартом FIPS 140-2. служба хранилища Azure шифрование включено для всех учетных записей хранения, что делает данные безопасными по умолчанию, вам не нужно изменять код или приложения, чтобы воспользоваться преимуществами шифрования служба хранилища Azure. Шифрование передаваемых данных обрабатывается с помощью TLS 1.2.
Соответствие нормативным требованиям
Предложения Azure для соответствия требованиям основаны на нескольких типах гарантий, включая официальные сертификации, а также аттестации, проверки и разрешения. Оценки выполняются сторонними и независимыми аудиторскими фирмами. Контрактные поправки, самостоятельные оценки и документы с рекомендациями пользователям создаются корпорацией Майкрософт. Сведения о соответствии HDInsight в AKS см. в Центре управления безопасностью Майкрософт и обзоре соответствия требованиям Microsoft Azure.
Модель общей ответственности
На следующем рисунке приведены основные области безопасности системы и доступные для вас решения безопасности. Он также подчеркивает, какие области безопасности являются вашими обязанностями в качестве клиента и областей, которые отвечают ЗА HDInsight в AKS в качестве поставщика услуг.
В следующей таблице приведены ссылки на ресурсы для каждого типа решения по обеспечению безопасности.
| Область безопасности | Доступные решения | Ответственное лицо |
|---|---|---|
| Безопасность доступа к данным | Настройка списков управления доступом списков ACL для Azure Data Lake Storage 2-го поколения | Клиент |
| Включение требуемого свойства безопасной передачи в хранилище | Клиент | |
| Настройка брандмауэров службы хранилища Azure и виртуальных сетей | Клиент | |
| Безопасность операционной системы | Создание кластеров с последними версиями HDInsight в AKS | Клиент |
| Безопасность сети | Настройка виртуальной сети | |
| Настройка трафика с помощью правил брандмауэра | Клиент | |
| Настройка исходящего трафика | Клиент |