Not
Åtkomst till denna sida kräver auktorisation. Du kan prova att logga in eller byta katalog.
Åtkomst till denna sida kräver auktorisation. Du kan prova att byta katalog.
Den här artikeln innehåller en introduktion till säkerhet i Azure Data Explorer som hjälper dig att skydda dina data och resurser i molnet och uppfylla företagets säkerhetsbehov. Det är viktigt att hålla dina kluster säkra. Att skydda dina kluster innehåller en eller flera Azure-funktioner som omfattar säker åtkomst och lagring. Den här artikeln innehåller information som hjälper dig att skydda klustret.
Mer resurser om efterlevnad för ditt företag eller din organisation finns i dokumentationen om Azure-efterlevnad.
Nätverkssäkerhet
Nätverkssäkerhet är ett krav som delas av många av våra säkerhetsmedvetna företagskunder. Avsikten är att isolera nätverkstrafiken och begränsa attackytan för Azure Data Explorer och motsvarande kommunikation. Du kan därför blockera trafik som kommer från nätverkssegment som inte kommer från Azure Data Explorer och se till att endast trafik från kända källor når Slutpunkterna i Azure Data Explorer. Detta inkluderar trafik som kommer från lokala eller utanför Azure, med ett Azure-mål och vice versa.
Azure Data Explorer stöder privata slutpunkter för att uppnå nätverksisolering och säkerhet. Privata slutpunkter är ett säkert sätt att ansluta till ditt Azure Data Explorer-kluster med hjälp av en privat IP-adress från ditt virtuella nätverk, vilket effektivt för in tjänsten i ditt virtuella nätverk. Detta säkerställer att trafiken mellan ditt virtuella nätverk och tjänsten färdas via Microsofts stamnätverk, vilket eliminerar exponeringen från det offentliga Internet.
Mer information om hur du konfigurerar privata slutpunkter för klustret finns i Privat slutpunkt.
Identitets- och åtkomstkontroll
Rollbaserad åtkomstkontroll
Använd rollbaserad åtkomstkontroll (RBAC) för att separera uppgifter och endast bevilja nödvändig åtkomst till klusteranvändare. I stället för att ge alla obegränsade behörigheter i klustret kan du bara tillåta att användare som tilldelats specifika roller utför vissa åtgärder. Du kan konfigurera åtkomstkontroll för databaserna i Azure-portalen med hjälp av Azure CLI eller Azure PowerShell.
Hanterade identiteter för Azure-resurser
En vanlig utmaning när du skapar molnprogram är hantering av autentiseringsuppgifter i koden för autentisering till molntjänster. Att skydda autentiseringsuppgifterna är en viktig uppgift. Autentiseringsuppgifterna ska inte lagras på utvecklararbetsstationer eller checkas in i källkontrollen. Azure Key Vault är ett sätt att lagra autentiseringsuppgifter, hemligheter och andra nycklar på ett säkert sätt, men koden måste autentisera till Key Vault för att hämta dem.
Funktionen Microsoft Entra-hanterade identiteter för Azure-resurser löser det här problemet. Funktionen tillhandahåller Azure-tjänster med en automatiskt hanterad identitet i Microsoft Entra-ID. Du kan använda identiteten för att autentisera till alla tjänster som stöder Microsoft Entra-autentisering, inklusive Key Vault, utan några autentiseringsuppgifter i koden. Mer information om den här tjänsten finns på översiktssidan för hanterade identiteter för Azure-resurser .
Dataskydd
Azure-diskkryptering
Azure Disk Encryption hjälper dig att skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Den tillhandahåller volymkryptering för operativsystemet och datadiskarna på klustrets virtuella datorer. Azure Disk Encryption integreras också med Azure Key Vault, vilket gör att vi kan styra och hantera diskkrypteringsnycklar och hemligheter och se till att alla data på de virtuella datordiskarna är krypterade.
Kundhanterade nycklar med Azure Key Vault
Som standard krypteras data med Microsoft-hanterade nycklar. Om du vill ha ytterligare kontroll över krypteringsnycklar kan du ange kundhanterade nycklar som ska användas för datakryptering. Du kan hantera kryptering av dina data på lagringsnivå med dina egna nycklar. En kundhanterad nyckel används för att skydda och kontrollera åtkomsten till rotkrypteringsnyckeln, som används för att kryptera och dekryptera alla data. Kundhanterade nycklar ger större flexibilitet att skapa, rotera, inaktivera och återkalla åtkomstkontroller. Du kan också granska krypteringsnycklarna som används för att skydda dina data.
Använd Azure Key Vault för att lagra dina kundhanterade nycklar. Du kan skapa egna nycklar och lagra dem i ett nyckelvalv, eller så kan du använda ett Azure Key Vault-API för att generera nycklar. Azure Data Explorer-klustret och Azure Key Vault måste finnas i samma region, men de kan finnas i olika prenumerationer. Mer information om Azure Key Vault finns i Vad är Azure Key Vault?. En detaljerad förklaring av kundhanterade nycklar finns i Kundhanterade nycklar med Azure Key Vault. Konfigurera kundhanterade nycklar i Azure Data Explorer-klustret med hjälp av portalen, C#, Azure Resource Manager-mallen, CLI eller PowerShell.
Anmärkning
Kundhanterade nycklar förlitar sig på hanterade identiteter för Azure-resurser, en funktion i Microsoft Entra-ID. Konfigurera kundhanterade nycklar i Azure-portalen genom att konfigurera en hanterad identitet för klustret enligt beskrivningen i Konfigurera hanterade identiteter för ditt Azure Data Explorer-kluster.
Lagra kundhanterade nycklar i Azure Key Vault
Om du vill aktivera kundhanterade nycklar i ett kluster använder du ett Azure Key Vault för att lagra dina nycklar. Du måste aktivera både egenskaperna Mjuk radering och Inte rensa i nyckelvalvet. Nyckelvalvet måste finnas i samma region som klustret. Azure Data Explorer använder hanterade identiteter för Azure-resurser för att autentisera till nyckelvalvet för krypterings- och dekrypteringsåtgärder. Hanterade identiteter stöder inte scenarier mellan kataloger.
Rotera kundhanterade nycklar
Du kan rotera en kundhanterad nyckel i Azure Key Vault enligt dina efterlevnadsprinciper. Om du vill rotera en nyckel i Azure Key Vault uppdaterar du nyckelversionen eller skapar en ny nyckel och uppdaterar sedan klustret för att kryptera data med hjälp av den nya nyckel-URI:n. Du kan utföra de här stegen med hjälp av Azure CLI eller i portalen. Om du roterar nyckeln utlöses inte omkryptering av befintliga data i klustret.
När du roterar en nyckel anger du vanligtvis samma identitet som användes när klustret skapades. Du kan också konfigurera en ny användartilldelad identitet för nyckelåtkomst eller aktivera och ange klustrets systemtilldelade identitet.
Anmärkning
Kontrollera att de nödvändiga behörigheterna Hämta, Avsluta nyckel och Omslut nyckel har angetts för den identitet som du konfigurerar för åtkomst till nyckel.
Uppdatera nyckelversion
Ett vanligt scenario är att uppdatera versionen av nyckeln som används som en kundhanterad nyckel. Beroende på hur klusterkryptering konfigureras uppdateras den kundhanterade nyckeln i klustret automatiskt eller måste uppdateras manuellt.
Återkalla åtkomst till kundhanterade nycklar
Om du vill återkalla åtkomsten till kundhanterade nycklar använder du PowerShell eller Azure CLI. Mer information finns i Azure Key Vault PowerShell eller Azure Key Vault CLI. Om du återkallar åtkomst blockeras åtkomsten till alla data på klustrets lagringsnivå, eftersom krypteringsnyckeln därför inte kan nås av Azure Data Explorer.
Anmärkning
När Azure Data Explorer identifierar att åtkomsten till en kundhanterad nyckel återkallas pausas klustret automatiskt för att ta bort cachelagrade data. När åtkomsten till nyckeln returneras återupptas klustret automatiskt.