AKS 上 Azure HDInsight 中的企業安全性概觀
重要
此功能目前為預覽功能。 適用於 Microsoft Azure 預覽版的補充使用規定包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的更合法條款。 如需此特定預覽的相關信息,請參閱 AKS 預覽資訊的 Azure HDInsight。 如需問題或功能建議,請在 AskHDInsight 上提交要求,並提供詳細數據,並遵循我們在 Azure HDInsight 社群上取得更多更新。
AKS 上的 Azure HDInsight 預設提供安全性,而且有數種方法可解決企業安全性需求。
本文藉由將安全性解決方案劃分為四個傳統安全性要素,來討論整體安全性架構和安全性解決方案:周邊安全性、驗證、授權和加密。
安全性架構
任何軟體的企業整備需要嚴格的安全性檢查,以防止並解決可能發生的威脅。 AKS 上的 HDInsight 提供多層式安全性模型,以在多個圖層保護您。 安全性架構會使用 MSI 的新式授權方法。 所有儲存體存取都是透過 MSI,而資料庫透過使用者名稱/密碼存取。 密碼會儲存在客戶定義的 Azure Key Vault。 這項功能預設會讓安裝程式變得健全且安全。
下圖說明 AKS 上 HDInsight 中安全性的高階技術架構。
企業安全性要素
探討企業安全性的其中一種方式,是根據控制項的類型將安全性解決方案分成四個主要群組。 這些群組也稱為安全性要素,其中類型如下:周邊安全性、驗證、授權和加密。
周邊安全性
透過虛擬網路可達成 AKS 上 HDInsight 中的周邊安全性。企業系統管理員可以在虛擬網路 (VNET) 內部建立叢集,並使用網路安全性群組 (NSG) 限制對虛擬網路的存取。
驗證
AKS 上的 HDInsight 為叢集登入提供 Microsoft Entra ID 型驗證,並使用受控識別 (MSI) 來保護叢集對 Azure Data Lake Storage Gen2 中檔案的存取。 受控識別是一項 Microsoft Entra ID 的功能,可提供一組自動受控的認證給 Azure 服務。 企業員工可以藉由這項設定,便能使用其網域認證來登入叢集節點。 Microsoft Entra ID 的受控識別,可讓應用程式輕鬆存取其他受到 Microsoft Entra 保護的資源 (例如 Azure Key Vault、儲存體 SQL 和資料庫)。 身分識別由 Azure 平台負責管理,您無須佈建或輪替任何密碼。 此解決方案是保護 AKS 叢集和其他相依資源上 HDInsight 存取權的關鍵。 受控識別可藉由從應用程式刪除祕密 (例如連接字串中的認證),讓應用程式更加安全。
您會建立使用者指派的受控識別,即獨立 Azure 資源,作為叢集建立程式的一部分,這會管理您相依資源的存取權。
授權
大多數企業所依循的最佳做法,就是確保並非每一位員工都能完全存取所有的企業資源。 同樣地,系統管理員可以針對叢集資源定義角色型存取控制原則。
資源遠有者系統管理員可以設定角色型存取控制 (RBAC)。 設定 RBAC 原則可讓您將權限與組織中的角色產生關聯。 這一層的抽象概念可讓您更輕鬆地確保人員只擁有執行其職責所需的權限。 透過叢集存取管理由 ARM 角色管理的授權來管理叢集管理 (控制平面) 和叢集資料存取權 (資料平面)。
叢集管理角色 (控制平面/ARM 角色)
| 動作 | AKS 上的 HDInsight 叢集集區管理員 | AKS 上的 HDInsight 叢集管理員 |
|---|---|---|
| 建立/刪除叢集集區 | ✅ | |
| 在叢集集區上指派權限和角色 | ✅ | |
| 建立/刪除叢集 | ✅ | ✅ |
| 管理叢集 | ✅ | |
| 組態管理 | ✅ | |
| 指令碼動作 | ✅ | |
| 程式庫管理 | ✅ | |
| 監視 | ✅ | |
| 調整動作 | ✅ |
上述角色來自 ARM 作業的觀點。 如需詳細資訊,請參閱使用 Azure 入口網站為使用者授與 Azure 資源的存取權l - Azure RBAC。
叢集存取 (資料平面)
您可以允許使用者、服務主體、受控識別透過入口網站或使用 ARM 存取叢集。
此存取可啟用
- 檢視叢集及管理作業。
- 執行所有監視和管理作業。
- 執行自動調整作業並更新節點計數。
未提供存取權
- 叢集刪除
重要
任何新增的使用者都需要「Azure Kubernetes Service RBAC 讀取器」的額外角色,才能檢視服務健康情況。
稽核
您需要稽核叢集資源的存取,才能追蹤未經授權或意外的資源存取。 請務必防止叢集資源遭到未經授權的存取。
資源群組系統管理員可以使用活動記錄和報告所有對於 AKS HDInsight 叢集資源和資料的存取。 系統管理員可檢視和報告存取控制原則的變更。
加密
若要符合組織安全性和合規性需求,保護資料就非常重要。 除了限制未經授權的員工存取資料之外,您還應該將資料加密。 叢集節點和容器所使用的儲存體和磁碟 (OS 磁碟和永續性數據磁碟) 會加密。 Azure 儲存體中的資料會使用 256 位元 AES 加密 (可用的最強區塊編碼器之一),以透明方式加密及解密,而且符合 FIPS 140-2 規範。 所有儲存體帳戶都會啟用 Azure 儲存體加密,預設會保護資料安全,您不需要修改程式碼或應用程式,即可利用 Azure 儲存體加密。 傳輸中資料加密會透過 TLS 1.2 處理。
法規遵循
Azure 合規性供應項目是以各種類型的保證為基礎,包括正式認證。 此外也包括證明、驗證和授權。 獨立第三方稽核公司所產生的評量。 Microsoft 所產生的合約修訂、自我評量及客戶指導文件。 如需 AKS 上 HDInsight 合規性資訊,請參閱 Microsoft 信任中心和 Microsoft Azure 合規性的概觀。
責任分擔模式
下圖摘要說明主要系統安全性區域,以及您可在區域中使用的安全性解決方案。 也強調哪些安全性區域是您身為客戶的責任,以及服務提供者的 AKS 上 HDInsight 責任區域。
下表提供每種安全性解決方案的資源連結。
| 安全性區域 | 可用的解決方案 | 負責方 |
|---|---|---|
| 資料存取安全性 | 設定 Azure Data Lake Storage Gen2 的存取控制清單 ACL | 客戶 |
| 在儲存體上啟用需要安全傳輸屬性 | 客戶 | |
| 設定 Azure 儲存體防火牆和虛擬網路 | 客戶 | |
| 作業系統安全性 | 在 AKS 版本上建立具有最新 HDInsight 的叢集 | 客戶 |
| 網路安全性 | 設定虛擬網路 | |
| 使用防火牆規則設定流量 | 客戶 | |
| 設定必要的輸出流量 | 客戶 |
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: