Azure HDInsight'ta kurumsal güvenliğe genel bakış
Azure HDInsight, kurumsal güvenlik gereksinimlerinizi karşılamak için bir dizi yöntem sunar. Bu çözümlerin çoğu varsayılan olarak etkinleştirilmez. Bu esneklik, sizin için en önemli olan güvenlik özelliklerini seçmenize olanak tanır ve istemediğiniz özellikler için ödeme yapmaktan kaçınmanıza yardımcı olur. Bu esneklik, kurulum ve ortamınız için doğru çözümlerin etkinleştirildiğinden emin olmak sizin sorumluluğunuzda olduğu anlamına da gelir.
Bu makalede güvenlik çözümlerini dört geleneksel güvenlik sütununa bölerek güvenlik çözümlerine bakabilirsiniz: çevre güvenliği, kimlik doğrulaması, yetkilendirme ve şifreleme.
Bu makalede ayrıca , HDInsight kümeleri için Active Directory tabanlı kimlik doğrulaması, çok kullanıcılı destek ve rol tabanlı erişim denetimi sağlayan Azure HDInsight Kurumsal Güvenlik Paketi (ESP) tanıtılıyor.
Kurumsal güvenlik sütunları
Kurumsal güvenliğe bakmanın bir yolu, güvenlik çözümlerini denetim türüne göre dört ana gruba ayırır. Bu gruplar güvenlik sütunları olarak da adlandırılır ve şu türlerdir: çevre güvenliği, kimlik doğrulaması, yetkilendirme ve şifreleme.
Çevre güvenliği
HDInsight'ta çevre güvenliği sanal ağlar aracılığıyla sağlanır. Kuruluş yöneticisi, sanal ağ (VNET) içinde bir küme oluşturabilir ve sanal ağa erişimi kısıtlamak için ağ güvenlik gruplarını (NSG) kullanabilir. Yalnızca gelen NSG kurallarında izin verilen IP adresleri HDInsight kümesiyle iletişim kurabilir. Bu yapılandırma çevre güvenliği sağlar.
Sanal ağda dağıtılan tüm kümelerin de özel uç noktası olur. Uç nokta, küme ağ geçitlerine özel HTTP erişimi için sanal ağın içindeki özel bir IP'ye çözümler.
Kimlik Doğrulaması
HDInsight'tan Kurumsal Güvenlik Paketi , Active Directory tabanlı kimlik doğrulaması, çok kullanıcılı destek ve rol tabanlı erişim denetimi sağlar. Active Directory tümleştirmesi, Microsoft Entra Domain Services'ın kullanımıyla sağlanır. Bu özelliklerle, Active Directory etki alanına katılmış bir HDInsight kümesi oluşturabilirsiniz. Ardından kuruluştan kümede kimlik doğrulaması yapabilecek çalışanların listesini yapılandırın.
Bu kurulumla, kurumsal çalışanlar etki alanı kimlik bilgilerini kullanarak küme düğümlerinde oturum açabilir. Ayrıca, onaylanan diğer uç noktalarla kimlik doğrulaması yapmak için etki alanı kimlik bilgilerini de kullanabilirler. Kümeyle etkileşime geçmek için Apache Ambari Görünümleri, ODBC, JDBC, PowerShell ve REST API'leri gibi.
Yetkilendirme
Çoğu kuruluşun izlediği en iyi uygulama, her çalışanın tüm kurumsal kaynaklara tam erişime sahip olmadığından emin olmaktır. Benzer şekilde, yönetici küme kaynakları için rol tabanlı erişim denetimi ilkeleri tanımlayabilir. Bu eylem yalnızca ESP kümelerinde kullanılabilir.
Hadoop yöneticisi rol tabanlı erişim denetimini (RBAC) yapılandırabilir. Yapılandırmalar Apache Ranger eklentileriyle Apache Hive, HBase ve Kafka'nın güvenliğini sağlar. RBAC ilkelerini yapılandırmak, izinleri kuruluştaki bir rolle ilişkilendirmenize olanak tanır. Bu soyutlama katmanı, kişilerin yalnızca iş sorumluluklarını gerçekleştirmek için gereken izinlere sahip olmasını kolaylaştırır. Ranger ayrıca çalışanların veri erişimini ve erişim denetimi ilkelerine yapılan değişiklikleri denetlemenize de olanak tanır.
Örneğin yönetici Apache Ranger’ı Hive için erişim denetim ilkeleri belirleyecek şekilde yapılandırabilir. Bu işlev satır düzeyi ve sütun düzeyinde filtreleme (veri maskeleme) sağlar. Ayrıca yetkisiz kullanıcıların hassas verilerini filtreler.
Denetim
Kaynakların yetkisiz veya kasıtsız erişimini izlemek için küme kaynak erişiminin denetlenmesi gerekir. Küme kaynaklarını yetkisiz erişime karşı korumak kadar önemlidir.
Yönetici, HDInsight kümesi kaynaklarına ve verilerine tüm erişimi görüntüleyebilir ve raporlayabilir. Yönetici, erişim denetimi ilkelerini görüntüleyebilir ve değişiklikleri bildirebilir.
Apache Ranger ve Ambari denetim günlüklerine ve ssh erişim günlüklerine erişmek için Azure İzleyici'yi etkinleştirin ve denetim kayıtlarını sağlayan tabloları görüntüleyin.
Şifreleme
Verilerin korunması, kurumsal güvenlik ve uyumluluk gereksinimlerini karşılamak için önemlidir. Yetkisiz çalışanların verilerine erişimi kısıtlamanın yanı sıra, verileri şifrelemeniz gerekir.
HDInsight, hem platform tarafından yönetilen hem de müşteri tarafından yönetilen anahtarlarla bekleyen veri şifrelemesini destekler. Aktarımdaki verilerin şifresi hem TLS hem de IPSec ile işlenir. Daha fazla bilgi için bkz . Azure HDInsight için aktarım sırasında şifreleme.
Uyumluluk
Azure uyumluluk teklifleri, resmi sertifikalar da dahil olmak üzere çeşitli güvence türlerini temel alır. Ayrıca kanıtlamalar, doğrulamalar ve yetkilendirmeler. Bağımsız üçüncü taraf denetim firmaları tarafından üretilen değerlendirmeler. Microsoft tarafından üretilen sözleşme değişiklikleri, kendi kendine değerlendirmeler ve müşteri rehberliği belgeleri. HDInsight uyumluluk bilgileri için bkz . Microsoft Güven Merkezi.
Paylaşılan sorumluluk modeli
Aşağıdaki görüntüde ana sistem güvenlik alanları ve her birinde kullanabileceğiniz güvenlik çözümleri özetlenir. Ayrıca hangi güvenlik alanlarının müşteri olarak sizin sorumluluğunuzda olduğunu vurgular. Ve hangi alanlar hizmet sağlayıcısı olarak HDInsight'ın sorumluluğundadır.
Aşağıdaki tabloda her güvenlik çözümü türü için kaynaklara bağlantılar sağlanmaktadır.
| Güvenlik alanı | Kullanılabilir çözümler | Sorumlu taraf |
|---|---|---|
| Veri Erişim Güvenliği | Azure Data Lake Storage 1. Nesil ve 2. Nesil için erişim denetimi listelerini yapılandırma | Customer |
| Depolama hesaplarında "Güvenli aktarım gerekli" özelliğini etkinleştirin. | Customer | |
| Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma | Customer | |
| Azure Cosmos DB ve Azure SQL DB için Azure sanal ağ hizmet uç noktalarını yapılandırma | Customer | |
| Aktarımdaki şifreleme özelliğinin küme içi iletişim için TLS ve IPSec kullanacak şekilde etkinleştirildiğinden emin olun. | Customer | |
| Azure Depolama şifrelemesi için müşteri tarafından yönetilen anahtarları yapılandırma | Customer | |
| Müşteri kasası kullanarak Azure desteği verilerinize erişimi denetleme | Customer | |
| Uygulama ve ara yazılım güvenliği | Microsoft Entra Domain Services ile tümleştirme ve ESP yapılandırma veya OAuth Kimlik Doğrulaması için HIB kullanma | Customer |
| Apache Ranger Yetkilendirme ilkelerini yapılandırma | Customer | |
| Azure İzleyici günlüklerini kullanma | Customer | |
| İşletim sistemi güvenliği | En son güvenli temel görüntüye sahip kümeler oluşturma | Customer |
| Düzenli aralıklarla işletim sistemi düzeltme eki uygulama | Customer | |
| VM'ler için CMK disk şifrelemesi sağlama | Customer | |
| Ağ güvenliği | Sanal ağ yapılandırma | |
| Gelen ağ güvenlik grubu (NSG) kurallarını veya özel bağlantıyı yapılandırma | Customer | |
| Güvenlik Duvarı ile Giden trafik kısıtlaması yapılandırma | Customer | |
| Küme düğümleri arasında aktarım sırasında IPSec şifrelemesi yapılandırma | Customer | |
| Sanallaştırılmış altyapı | Yok | HDInsight (Bulut sağlayıcısı) |
| Fiziksel altyapı güvenliği | Yok | HDInsight (bulut sağlayıcısı) |