描述 HDInsight 安全区域
身为负责 HDInsight 群集企业安全性的数据架构师,你需要了解各种威胁载体,知道如何满足这些要求。
企业安全性和共担责任模型
安全性是 Azure 的一项基本属性,它提供跨物理数据中心、基础结构和操作的多层安全性,数千名网络安全专家积极监视以保护客户的数据和资产。 若要了解详细信息,请查看 Azure 合规性认证。 Azure HDInsight 群集的安全性由 Microsoft 和客户共同负责。 下表列出了按区域划分的职责。
| 客户 | Azure(HDInsight 服务提供程序) |
|---|---|
| 数据访问安全性 | 物理基础结构 |
| 应用程 /中间件安全性 | 虚拟化基础结构 |
| 操作系统安全性 | |
| 网络安全 |
在 HDInsight 中,与大多数 Azure 服务一样,Microsoft 负责提供物理和虚拟化基础结构安全性。
物理基础结构安全性是指 Azure 全球分布式数据中心基础结构的安全性,这与 ISO/IEC 27001:2013 和 NIST SP 800-53 等关键行业标准一致。 采用分层的方法来最大程度降低未经授权对数据中心资源进行物理访问的风险。 其中一些层是
- 到达前的访问请求和批准。
- 监视设施外围范围内的活动。
- 双重身份验证,包括用于验证用户身份的生物识别。
- 数据中心内基于需求的受限最低访问权限。 如果你有兴趣详细了解 Microsoft 数据中心如何操作和物理保护客户资产,请阅读数据中心物理安全部分。
虚拟化基础结构安全性包括可用性 SLA、网络体系结构、操作、监视、完整性和数据保护。 转到 Azure 基础结构安全文档,全面了解 Azure 如何保护虚拟基础结构资产。
在接下来的部分中,我们将讨论设计方法,并围绕客户负责的安全区域建议做法。
