Säkerhet i Azure Data Explorer
Den här artikeln innehåller en introduktion till säkerhet i Azure Data Explorer som hjälper dig att skydda dina data och resurser i molnet och uppfylla företagets säkerhetsbehov. Det är viktigt att skydda dina kluster. Att skydda dina kluster innehåller en eller flera Azure-funktioner som omfattar säker åtkomst och lagring. Den här artikeln innehåller information som hjälper dig att skydda klustret.
Mer resurser om efterlevnad för ditt företag eller din organisation finns i Azure-efterlevnadsdokumentationen.
Nätverkssäkerhet är ett krav som delas av många av våra säkerhetsmedvetna företagskunder. Avsikten är att isolera nätverkstrafiken och begränsa attackytan för Azure Data Explorer och motsvarande kommunikation. Du kan därför blockera trafik från icke-Azure-Data Explorer nätverkssegment och säkerställa att endast trafik från kända källor når Azure Data Explorer slutpunkter. Detta inkluderar trafik som kommer från en lokal plats eller utanför Azure, med ett Azure-mål och vice versa. Azure Data Explorer har stöd för följande funktioner för att uppnå det här målet:
- Privat slutpunkt (rekommenderas)
- Virtuell nätverksinmatning (VNet)
Vi rekommenderar starkt att du använder privata slutpunkter för att skydda nätverksåtkomsten till klustret. Det här alternativet har många fördelar jämfört med inmatning av virtuella nätverk som resulterar i lägre underhållskostnader, inklusive en enklare distributionsprocess och mer robust för ändringar i virtuella nätverk.
Använd rollbaserad åtkomstkontroll (RBAC) för att särskilja uppgifter och bevilja endast nödvändig åtkomst till klusteranvändare. I stället för att ge alla obegränsade behörigheter i klustret kan du endast tillåta att användare som tilldelats specifika roller utför vissa åtgärder. Du kan konfigurera åtkomstkontroll för databaserna i Azure Portal, med hjälp av Azure CLI eller Azure PowerShell.
En vanlig utmaning när du skapar molnprogram är hantering av autentiseringsuppgifter i koden för autentisering till molntjänster. Det är viktigt att dessa autentiseringsuppgifter skyddas. Autentiseringsuppgifterna ska inte lagras på utvecklararbetsstationer eller checkas in i källkontrollen. Azure Key Vault är ett sätt att lagra autentiseringsuppgifter, hemligheter och andra nycklar på ett säkert sätt, men din kod måste autentisera mot Key Vault för att kunna hämta dem.
Funktionen Microsoft Entra hanterade identiteter för Azure-resurser löser det här problemet. Funktionen tillhandahåller Azure-tjänster med en automatiskt hanterad identitet i Microsoft Entra-ID. Du kan använda identiteten för att autentisera till alla tjänster som stöder Microsoft Entra autentisering, inklusive Key Vault, utan några autentiseringsuppgifter i koden. Mer information om den här tjänsten finns på översiktssidan för hanterade identiteter för Azure-resurser .
Azure Disk Encryption hjälper till att skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Den tillhandahåller volymkryptering för operativsystemet och datadiskarna på klustrets virtuella datorer. Azure Disk Encryption integreras också med Azure Key Vault, vilket gör att vi kan kontrollera och hantera diskkrypteringsnycklar och hemligheter och se till att alla data på de virtuella datordiskarna är krypterade.
Som standard krypteras data med Microsoft-hanterade nycklar. Om du vill ha ytterligare kontroll över krypteringsnycklar kan du ange kundhanterade nycklar som ska användas för datakryptering. Du kan hantera kryptering av dina data på lagringsnivå med dina egna nycklar. En kundhanterad nyckel används för att skydda och kontrollera åtkomsten till rotkrypteringsnyckeln, som används för att kryptera och dekryptera alla data. Kundhanterade nycklar ger större flexibilitet att skapa, rotera, inaktivera och återkalla åtkomstkontroller. Du kan också granska krypteringsnycklarna som används för att skydda dina data.
Använd Azure Key Vault för att lagra dina kundhanterade nycklar. Du kan skapa egna nycklar och lagra dem i ett nyckelvalv, eller så kan du använda ett Azure Key Vault-API för att generera nycklar. Azure Data Explorer-klustret och Azure-Key Vault måste finnas i samma region, men de kan finnas i olika prenumerationer. Mer information om Azure Key Vault finns i Vad är Azure Key Vault?. En detaljerad förklaring av kundhanterade nycklar finns i Kundhanterade nycklar med Azure Key Vault. Konfigurera kundhanterade nycklar i ditt Azure Data Explorer-kluster med hjälp av portalen, C#, Azure Resource Manager-mallen, CLI eller PowerShell
Anteckning
Kundhanterade nycklar förlitar sig på hanterade identiteter för Azure-resurser, en funktion i Microsoft Entra-ID. Konfigurera kundhanterade nycklar i Azure Portal genom att konfigurera en hanterad identitet till klustret enligt beskrivningen i Konfigurera hanterade identiteter för ditt Azure Data Explorer-kluster.
Om du vill aktivera kundhanterade nycklar i ett kluster använder du en Azure-Key Vault för att lagra dina nycklar. Du måste aktivera både egenskaperna Mjuk borttagning och Rensa inte i nyckelvalvet. Nyckelvalvet måste finnas i samma region som klustret. Azure Data Explorer använder hanterade identiteter för Azure-resurser för att autentisera till nyckelvalvet för krypterings- och dekrypteringsåtgärder. Hanterade identiteter stöder inte scenarier mellan kataloger.
Du kan rotera en kundhanterad nyckel i Azure Key Vault enligt dina efterlevnadsprinciper. Om du vill rotera en nyckel i Azure Key Vault uppdaterar du nyckelversionen eller skapar en ny nyckel och uppdaterar sedan klustret för att kryptera data med hjälp av den nya nyckel-URI:n. Du kan utföra de här stegen med hjälp av Azure CLI eller i portalen. Om du roterar nyckeln utlöses inte omkryptering av befintliga data i klustret.
När du roterar en nyckel anger du vanligtvis samma identitet som användes när klustret skapades. Du kan också konfigurera en ny användartilldelad identitet för nyckelåtkomst eller aktivera och ange klustrets systemtilldelade identitet.
Anteckning
Se till att nödvändiga behörigheter för Get, Unwrap Key och Wrap Key har angetts för den identitet som du konfigurerar för nyckelåtkomst.
Ett vanligt scenario är att uppdatera versionen av nyckeln som används som en kundhanterad nyckel. Beroende på hur klusterkryptering konfigureras uppdateras den kundhanterade nyckeln i klustret automatiskt eller måste uppdateras manuellt.
Om du vill återkalla åtkomsten till kundhanterade nycklar använder du PowerShell eller Azure CLI. Mer information finns i Azure Key Vault PowerShell eller Azure Key Vault CLI. Om du återkallar åtkomst blockeras åtkomsten till alla data på klustrets lagringsnivå, eftersom krypteringsnyckeln därför inte kan nås av Azure Data Explorer.
Anteckning
När Azure Data Explorer identifierar att åtkomsten till en kundhanterad nyckel återkallas pausas klustret automatiskt för att ta bort cachelagrade data. När åtkomsten till nyckeln returneras återupptas klustret automatiskt.