Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln innehåller en introduktion till säkerhet i Azure Data Explorer som hjälper dig att skydda dina data och resurser i molnet och uppfylla företagets säkerhetsbehov. Det är viktigt att hålla dina kluster säkra. Att skydda dina kluster innehåller en eller flera Azure-funktioner som ger säker åtkomst och lagring. Den här artikeln innehåller information som hjälper dig att skydda klustret.
Mer resurser om efterlevnad för ditt företag eller din organisation finns i dokumentationen om Azure-efterlevnad.
Nätverkssäkerhet
Nätverkssäkerhet är ett krav som delas av många säkerhetsmedvetna företagskunder. Avsikten är att isolera nätverkstrafiken och begränsa attackytan för Azure Data Explorer och motsvarande kommunikation. Du kan blockera trafik från nätverkssegment som inte kommer från Azure Data Explorer och se till att endast trafik från kända källor når Azure Data Explorer-slutpunkter. Det här skyddet omfattar trafik som kommer lokalt eller utanför Azure, med ett Azure-mål och vice versa.
Azure Data Explorer stöder privata slutpunkter för att uppnå nätverksisolering och säkerhet. Privata slutpunkter är ett säkert sätt att ansluta till ditt Azure Data Explorer-kluster med hjälp av en privat IP-adress från ditt virtuella nätverk, vilket effektivt för in tjänsten i ditt virtuella nätverk. Den här konfigurationen säkerställer att trafiken mellan ditt virtuella nätverk och tjänsten överförs via Microsofts stamnätverk, vilket eliminerar exponeringen från det offentliga Internet.
Mer information om hur du konfigurerar privata slutpunkter för klustret finns i Privat slutpunkt.
Identitets- och åtkomstkontroll
Rollbaserad åtkomstkontroll
Använd rollbaserad åtkomstkontroll (RBAC) för att separera uppgifter och endast bevilja nödvändig åtkomst till klusteranvändare. I stället för att ge alla obegränsade behörigheter i klustret kan endast användare som tilldelats specifika roller utföra vissa åtgärder. Du kan konfigurera åtkomstkontroll för databaserna i Azure-portalen med hjälp av Azure CLI eller Azure PowerShell.
Hanterade identiteter för Azure-resurser
En vanlig utmaning när du skapar molnprogram är hantering av autentiseringsuppgifter i koden för autentisering till molntjänster. Att skydda autentiseringsuppgifterna är en viktig uppgift. Du bör inte lagra autentiseringsuppgifterna på utvecklararbetsstationer eller kontrollera dem i källkontrollen. Azure Key Vault är ett sätt att lagra autentiseringsuppgifter, hemligheter och andra nycklar på ett säkert sätt, men koden måste autentisera till Key Vault för att hämta dem.
Funktionen Microsoft Entra-hanterade identiteter för Azure-resurser löser det här problemet. Funktionen tillhandahåller Azure-tjänster med en automatiskt hanterad identitet i Microsoft Entra-ID. Du kan använda identiteten för att autentisera till alla tjänster som stöder Microsoft Entra-autentisering, inklusive Key Vault, utan några autentiseringsuppgifter i koden. Mer information om den här tjänsten finns på översiktssidan för hanterade identiteter för Azure-resurser .
Dataskydd
Azure-diskkryptering
Azure Disk Encryption hjälper dig att skydda dina data så att du kan uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Den tillhandahåller volymkryptering för operativsystemet och datadiskarna på klustrets virtuella datorer. Azure Disk Encryption integreras också med Azure Key Vault, som du kan använda för att styra och hantera diskkrypteringsnycklar och hemligheter, och se till att alla data på de virtuella datordiskarna är krypterade.
Kundhanterade nycklar med Azure Key Vault
Som standard krypterar Microsoft-hanterade nycklar data. Om du vill ha extra kontroll över krypteringsnycklar tillhandahåller du kundhanterade nycklar för datakryptering. Du kan hantera krypteringen av dina data på lagringsnivå med hjälp av dina egna nycklar. En kundhanterad nyckel skyddar och styr åtkomsten till rotkrypteringsnyckeln, som krypterar och dekrypterar alla data. Kundhanterade nycklar ger dig större flexibilitet att skapa, rotera, inaktivera och återkalla åtkomstkontroller. Du kan också granska krypteringsnycklarna som skyddar dina data.
Använd Azure Key Vault för att lagra dina kundhanterade nycklar. Du kan skapa egna nycklar och lagra dem i ett nyckelvalv, eller så kan du använda ett Azure Key Vault-API för att generera nycklar. Azure Data Explorer-klustret och Azure Key Vault måste finnas i samma region, men de kan finnas i olika prenumerationer. Mer information om Azure Key Vault finns i Vad är Azure Key Vault?. En detaljerad förklaring om kundhanterade nycklar finns i Kundhanterade nycklar med Azure Key Vault. Konfigurera kundhanterade nycklar i Azure Data Explorer-klustret med hjälp av portalen, C#, Azure Resource Manager-mallen, CLI eller PowerShell.
Anmärkning
Kundhanterade nycklar förlitar sig på hanterade identiteter för Azure-resurser, en funktion i Microsoft Entra-ID. Konfigurera kundhanterade nycklar i Azure-portalen genom att konfigurera en hanterad identitet för klustret enligt beskrivningen i Konfigurera hanterade identiteter för ditt Azure Data Explorer-kluster.
Lagra kundhanterade nycklar i Azure Key Vault
Om du vill aktivera kundhanterade nycklar i ett kluster använder du ett Azure Key Vault för att lagra dina nycklar. Du måste aktivera både egenskaperna Mjuk radering och Inte rensa i nyckelvalvet. Nyckelvalvet måste finnas i samma region som klustret. Azure Data Explorer använder hanterade identiteter för Azure-resurser för att autentisera till nyckelvalvet för krypterings- och dekrypteringsåtgärder. Hanterade identiteter stöder inte scenarier mellan kataloger.
Rotera kundhanterade nycklar
Du kan rotera en kundhanterad nyckel i Azure Key Vault enligt dina efterlevnadsprinciper. Om du vill rotera en nyckel uppdaterar du nyckelversionen eller skapar en ny nyckel i Azure Key Vault och uppdaterar sedan klustret för att kryptera data med hjälp av den nya nyckel-URI:n. Du kan utföra de här stegen med hjälp av Azure CLI eller i portalen. Om du roterar nyckeln utlöses inte omkryptering av befintliga data i klustret.
När du roterar en nyckel anger du vanligtvis samma identitet som används när du skapar klustret. Du kan också konfigurera en ny användartilldelad identitet för nyckelåtkomst eller aktivera och ange klustrets systemtilldelade identitet.
Anmärkning
Kontrollera att de nödvändiga behörigheterna Hämta, Avsluta nyckel och Omslut nyckel har angetts för den identitet som du konfigurerar för åtkomst till nyckel.
Uppdatera nyckelversion
Ett vanligt scenario är att uppdatera versionen av nyckeln som används som en kundhanterad nyckel. Beroende på hur du konfigurerar klusterkryptering uppdateras den kundhanterade nyckeln i klustret automatiskt eller så måste du uppdatera den manuellt.
Återkalla åtkomst till kundhanterade nycklar
Om du vill återkalla åtkomsten till kundhanterade nycklar använder du PowerShell eller Azure CLI. Mer information finns i Azure Key Vault PowerShell eller Azure Key Vault CLI. Om du återkallar åtkomst blockeras åtkomsten till alla data på klustrets lagringsnivå, eftersom krypteringsnyckeln därför inte kan nås av Azure Data Explorer.
Anmärkning
När Azure Data Explorer identifierar att åtkomsten till en kundhanterad nyckel återkallas pausas klustret automatiskt för att ta bort cachelagrade data. När åtkomsten till nyckeln har returnerats återupptas klustret automatiskt.