Säkerhet i Azure Data Lake Storage Gen1
Många företag utnyttjar stordataanalyser för affärsinsikter för att hjälpa dem att fatta smarta beslut. En organisation kan ha en komplex och reglerad miljö med ett ökande antal olika användare. Det är viktigt för ett företag att se till att kritiska affärsdata lagras säkrare, med rätt åtkomstnivå för enskilda användare. Azure Data Lake Storage Gen1 är utformat för att uppfylla dessa säkerhetskrav. I den här artikeln får du lära dig mer om säkerhetsfunktionerna i Data Lake Storage Gen1, inklusive:
- Autentisering
- Auktorisering
- Nätverksisolering
- Dataskydd
- Granskning
Autentisering och identitetshantering
Autentisering är den process genom vilken en användares identitet verifieras när användaren interagerar med Data Lake Storage Gen1 eller med någon tjänst som ansluter till Data Lake Storage Gen1. För identitetshantering och autentisering använder Data Lake Storage Gen1 Microsoft Entra ID, en omfattande molnlösning för identitets- och åtkomsthantering som förenklar hanteringen av användare och grupper.
Varje Azure-prenumeration kan associeras med en instans av Microsoft Entra ID. Endast användare och tjänstidentiteter som definieras i din Microsoft Entra-tjänst kan komma åt ditt Data Lake Storage Gen1-konto, med hjälp av Azure Portal, kommandoradsverktyg eller genom klientprogram som din organisation skapar med hjälp av Data Lake Storage Gen1 SDK. Viktiga fördelar med att använda Microsoft Entra ID som en centraliserad mekanism för åtkomstkontroll är:
- Förenklad livscykelhantering för identiteter. Identiteten för en användare eller en tjänst (en tjänsts huvudnamnsidentitet) kan snabbt skapas och snabbt återkallas genom att helt enkelt ta bort eller inaktivera kontot i katalogen.
- Multifaktorautentisering. Multifaktorautentisering ger ytterligare ett säkerhetslager för användarinloggningar och transaktioner.
- Autentisering från valfri klient via ett öppet standardprotokoll, till exempel OAuth eller OpenID.
- Federation med företagskatalogtjänster och molnidentitetsprovidrar.
Auktorisering och åtkomstkontroll
När Microsoft Entra autentiserar en användare så att användaren kan komma åt Data Lake Storage Gen1 styr auktoriseringen åtkomstbehörigheter för Data Lake Storage Gen1. Data Lake Storage Gen1 separerar auktorisering för kontorelaterade och datarelaterade aktiviteter på följande sätt:
- Rollbaserad åtkomstkontroll i Azure (Azure RBAC) för kontohantering
- POSIX ACL för åtkomst till data i arkivet
Azure RBAC för kontohantering
Fyra grundläggande roller definieras för Data Lake Storage Gen1 som standard. Rollerna tillåter olika åtgärder på ett Data Lake Storage Gen1 konto via Azure Portal, PowerShell-cmdletar och REST-API:er. Rollerna Ägare och Deltagare kan utföra en mängd olika administrationsfunktioner för kontot. Du kan tilldela rollen Läsare till användare som bara visar kontohanteringsdata.
Observera att även om roller har tilldelats för kontohantering påverkar vissa roller åtkomsten till data. Du måste använda ACL:er för att styra åtkomsten till åtgärder som en användare kan utföra i filsystemet. I följande tabell visas en sammanfattning av hanteringsrättigheter och dataåtkomsträttigheter för standardrollerna.
Roller | Hanteringsrättigheter | Behörigheter för dataåtkomst | Förklaring |
---|---|---|---|
Ingen roll tilldelad | Ingen | Styrs av ACL | Användaren kan inte använda cmdletarna Azure Portal eller Azure PowerShell för att bläddra Data Lake Storage Gen1. Användaren kan endast använda kommandoradsverktyg. |
Ägare | Alla | Alla | Rollen Ägare är en superanvändare. Den här rollen kan hantera allt och har fullständig åtkomst till data. |
Läsare | Skrivskyddad | Styrs av ACL | Rollen Läsare kan visa allt som rör kontohantering, till exempel vilken användare som är tilldelad till vilken roll. Rollen Läsare kan inte göra några ändringar. |
Deltagare | Alla utom lägga till och ta bort roller | Styrs av ACL | Deltagarrollen kan hantera vissa aspekter av ett konto, till exempel distributioner och skapa och hantera aviseringar. Deltagarrollen kan inte lägga till eller ta bort roller. |
Administratör för användaråtkomst | Lägga till och ta bort roller | Styrs av ACL | Rollen Administratör för användaråtkomst kan hantera användaråtkomst till konton. |
Anvisningar finns i Tilldela användare eller säkerhetsgrupper till Data Lake Storage Gen1 konton.
Använda ACL:er för åtgärder i filsystem
Data Lake Storage Gen1 är ett hierarkiskt filsystem som Hadoop Distributed File System (HDFS) och har stöd för POSIX-ACL:er. Den styr läsbehörighet (r), skrivbehörighet (w) och kör (x) behörigheter till resurser för ägarrollen, gruppen Ägare och för andra användare och grupper. I Data Lake Storage Gen1 kan ACL:er aktiveras i rotmappen, i undermappar och på enskilda filer. Mer information om hur ACL:er fungerar i kontexten för Data Lake Storage Gen1 finns i Åtkomstkontroll i Data Lake Storage Gen1.
Vi rekommenderar att du definierar ACL:er för flera användare med hjälp av säkerhetsgrupper. Lägg till användare i en säkerhetsgrupp och tilldela sedan ACL:er för en fil eller mapp till den säkerhetsgruppen. Detta är användbart när du vill ge tilldelade behörigheter, eftersom du är begränsad till högst 28 poster för tilldelade behörigheter. Mer information om hur du skyddar data som lagras i Data Lake Storage Gen1 med hjälp av Microsoft Entra säkerhetsgrupper finns i Tilldela användare eller säkerhetsgrupper som ACL:er till Data Lake Storage Gen1 filsystemet.
Nätverksisolering
Använd Data Lake Storage Gen1 för att styra åtkomsten till ditt datalager på nätverksnivå. Du kan upprätta brandväggar och definiera ett IP-adressintervall för dina betrodda klienter. Med ett IP-adressintervall kan endast klienter som har en IP-adress inom det definierade intervallet ansluta till Data Lake Storage Gen1.
Virtuella Azure-nätverk (VNet) stöder tjänsttaggar för Data Lake Gen 1. En tjänsttagg motsvarar en grupp IP-adressprefix från en viss Azure-tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras. Mer information finns i Översikt över Azure-tjänsttaggar.
Dataskydd
Data Lake Storage Gen1 skyddar dina data under hela livscykeln. För data under överföring använder Data Lake Storage Gen1 TLS 1.2-protokollet (Transport Layer Security) som branschstandard för att skydda data över nätverket.
Data Lake Storage Gen1 tillhandahåller även kryptering för data som lagras i kontot. Du kan välja att ha krypterade data eller välja ingen kryptering. Om du väljer kryptering krypteras data som lagras i Data Lake Storage Gen1 innan de lagras på beständiga medier. I så fall krypterar Data Lake Storage Gen1 automatiskt data innan data sparas och dekrypterar data före hämtningen, så att det är helt transparent för klienten som kommer åt data. Det krävs ingen kodändring på klientsidan för att kryptera/dekryptera data.
För nyckelhantering tillhandahåller Data Lake Storage Gen1 två lägen för att hantera dina huvudkrypteringsnycklar (MEK:er), som krävs för att dekryptera alla data som lagras i Data Lake Storage Gen1. Du kan antingen låta Data Lake Storage Gen1 hantera MEK:erna åt dig eller välja att behålla ägarskapet för MEK:erna med ditt Azure Key Vault-konto. Du anger läget för nyckelhantering när du skapar ett Data Lake Storage Gen1 konto. Mer information om hur du tillhandahåller krypteringsrelaterad konfiguration finns i Kom igång med Azure Data Lake Storage Gen1 med azure-portalen.
Aktivitets- och diagnostikloggar
Du kan använda aktivitets- eller diagnostikloggar beroende på om du letar efter loggar för kontohanteringsrelaterade aktiviteter eller datarelaterade aktiviteter.
- Kontohanteringsrelaterade aktiviteter använder Azure Resource Manager API:er och visas i Azure Portal via aktivitetsloggar.
- Datarelaterade aktiviteter använder WebHDFS REST-API:er och visas i Azure Portal via diagnostikloggar.
Aktivitetslogg
För att följa reglerna kan en organisation kräva lämpliga spårningsspår för kontohanteringsaktiviteter om den behöver gräva i specifika incidenter. Data Lake Storage Gen1 har inbyggd övervakning och loggar alla kontohanteringsaktiviteter.
För spårningsloggar för kontohantering visar och väljer du de kolumner som du vill logga. Du kan också exportera aktivitetsloggar till Azure Storage.
Mer information om hur du arbetar med aktivitetsloggar finns i Visa aktivitetsloggar för granskningsåtgärder på resurser.
Diagnostikloggar
Du kan aktivera granskning och diagnostikloggning för dataåtkomst i Azure Portal och skicka loggarna till ett Azure Blob Storage-konto, en händelsehubb eller Azure Monitor-loggar.
Mer information om hur du arbetar med diagnostikloggar med Data Lake Storage Gen1 finns i Komma åt diagnostikloggar för Data Lake Storage Gen1.
Sammanfattning
Företagskunder kräver en molnplattform för dataanalys som är säker och enkel att använda. Data Lake Storage Gen1 är utformat för att hantera dessa krav genom identitetshantering och autentisering via Microsoft Entra integrering, ACL-baserad auktorisering, nätverksisolering, datakryptering under överföring och i vila samt granskning.
Om du vill se nya funktioner i Data Lake Storage Gen1 kan du skicka feedback till oss i Data Lake Storage Gen1 UserVoice-forumet.