Azure Data Explorer中的安全性
本文提供 Azure Data Explorer的安全性簡介,可協助您保護雲端中的資料和資源,並符合您企業的安全性需求。 請務必保護您的叢集安全。 保護您的叢集包含一或多個包含安全存取和儲存體的 Azure 功能。 本文提供可協助您保護叢集安全的資訊。
如需有關您企業或組織合規性的詳細資訊,請參閱 Azure 合規性檔。
網路安全性
網路安全性是許多具有安全性意識的企業客戶所共用的需求。 其目的是要隔離網路流量,並限制 Azure Data Explorer和對應通訊的攻擊面。 因此,您可以封鎖源自非 Azure Data Explorer網路區段的流量,並確保只有來自已知來源的流量會到達 Azure Data Explorer端點。 這包括源自內部部署或 Azure 外部的流量,以及 Azure 目的地,反之亦然。 Azure Data Explorer支援下列功能來達成此目標:
強烈建議您使用私人端點來保護叢集的網路存取。 此選項對於虛擬網路插入有許多優點,導致維護額外負荷較低,包括更簡單的部署程式,以及更強固的虛擬網路變更。
身分識別與存取控制
角色型存取控制
使用 角色型存取控制 (RBAC) 來隔離職責,並僅授與叢集使用者所需的存取權。 您可以只允許指派給特定角色的使用者執行特定動作,而不是授與每個人不受限制的許可權。 您可以使用Azure CLI或Azure PowerShell,在Azure 入口網站中設定資料庫的存取控制。
適用於 Azure 資源的受控識別
建置雲端應用程式時常見的挑戰是程式碼中的認證管理,以便向雲端服務進行驗證。 保護好這些認證是相當重要的工作。 認證不應儲存在開發人員工作站中,或簽入原始檔控制。 Azure Key Vault 可安全地儲存認證、祕密和其他金鑰,但是您的程式碼必須向 Key Vault 進行驗證,才可擷取這些項目。
適用于 Azure 資源的Microsoft Entra受控識別功能可解決此問題。 此功能會在Microsoft Entra識別碼中提供自動受控識別的 Azure 服務。 您可以使用身分識別向任何支援Microsoft Entra驗證的服務進行驗證,包括金鑰保存庫,而不需要程式碼中的任何認證。 如需此服務的詳細資訊,請參閱 Azure 資源的受控識別 概觀頁面。
資料保護
Azure 磁碟加密
Azure 磁碟加密可協助保護資料安全,以符合貴組織安全性和合規性承諾。 它會為叢集虛擬機器的 OS 和資料磁片提供磁片區加密。 Azure 磁片加密也會與Azure 金鑰保存庫整合,這可讓我們控制及管理磁片加密金鑰和秘密,並確保 VM 磁片上的所有資料都已加密。
客戶管理的金鑰與 Azure Key Vault
根據預設,資料是以使用 Microsoft 管理的金鑰加密。 如需對加密金鑰的其他控制,您可以提供客戶管理的金鑰來用於資料加密。 您可以使用自己的金鑰,在儲存體層級管理資料的加密。 客戶管理的金鑰是用來保護及控制根加密金鑰的存取,用來加密和解密所有資料。 客戶管理的金鑰可提供更大的彈性來建立、輪替、停用及撤銷存取控制。 您也可稽核用來保護資料的加密金鑰。
使用 Azure 金鑰保存庫來儲存客戶管理的金鑰。 您可以建立自己的金鑰,並將其儲存在金鑰保存庫中,或使用 Azure 金鑰保存庫 API 來產生金鑰。 Azure Data Explorer叢集和 Azure 金鑰保存庫必須位於相同的區域中,但可以位於不同的訂用帳戶中。 如需 Azure Key Vault 的詳細資訊,請參閱什麼是 Azure Key Vault? 如需客戶管理金鑰的詳細說明,請參閱使用 Azure 金鑰保存庫客戶管理的金鑰。 使用入口網站、C#、Azure Resource Manager範本、CLI或PowerShell,在 Azure Data Explorer叢集中設定客戶管理的金鑰
注意
客戶管理的金鑰依賴 Azure 資源的受控識別,這是Microsoft Entra識別碼的功能。 若要在Azure 入口網站中設定客戶管理的金鑰,請將受控識別設定到您的叢集,如設定 Azure Data Explorer 叢集的受控識別中所述。
將客戶自控金鑰儲存在 Azure Key Vault
若要在叢集上啟用客戶管理的金鑰,請使用 Azure 金鑰保存庫來儲存金鑰。 您必須在金鑰保存庫上同時啟用 [虛刪除] 和 [不會清除] 屬性。 金鑰保存庫必須位於與叢集相同的區域中。 Azure Data Explorer使用 Azure 資源的受控識別向金鑰保存庫進行驗證,以進行加密和解密作業。 受控識別不支援跨目錄案例。
輪替客戶自控金鑰
您可以根據您的合規性原則,在 Azure Key Vault 中輪替客戶管理的金鑰。 若要輪替金鑰,請在 Azure 金鑰保存庫中更新金鑰版本或建立新的金鑰,然後使用新的金鑰 URI 更新叢集以加密資料。 您可以使用 Azure CLI 或在入口網站中執行這些步驟。 輪替金鑰不會觸發叢集中現有資料的重新加密。
輪替金鑰時,通常會指定建立叢集時所使用的相同身分識別。 您可以選擇性地為金鑰存取設定新的使用者指派身分識別,或啟用並指定叢集的系統指派身分識別。
注意
請確定已針對您為金鑰存取設定的身分識別設定必要的 Get、 Unwrap Key和 Wrap Key 許可權。
更新金鑰版本
常見的案例是更新作為客戶自控金鑰的金鑰版本。 根據叢集加密的設定方式,叢集中的客戶管理金鑰會自動更新,或必須手動更新。
撤銷客戶自控金鑰的存取權
若要撤銷客戶自控金鑰的存取權,請使用 PowerShell 或 Azure CLI。 如需詳細資訊,請參閱 Azure Key Vault PowerShell 或 Azure Key Vault CLI。 撤銷存取會封鎖存取叢集儲存體層級中的所有資料,因為 Azure Data Explorer因此無法存取加密金鑰。
注意
當 Azure Data Explorer識別客戶管理金鑰的存取權遭到撤銷時,它會自動暫停叢集以刪除任何快取的資料。 一旦傳回金鑰的存取權,叢集就會自動繼續。