Azure HDInsight 中的企業安全性概觀

Azure HDInsight 提供許多方法來因應企業安全性需求。 根據預設,這些解決方案大多不會啟動。 這種彈性可讓您選擇最重要的安全性功能,並協助您避免支付您不想要的功能費用。 這種彈性也表示您有責任確保為設定和環境啟用正確的解決方案。

本文將安全性解決方案分成四個傳統安全性要素,以探討安全性解決方案:周邊安全性、驗證、授權和加密。

本文也介紹 Azure HDInsight 企業安全性套件 (ESP), 其提供 HDInsight 叢集的 Active Directory 型驗證、多使用者支援和角色型存取控制。

企業安全性要素

查看企業安全性的其中一種方式會根據控制類型,將安全性解決方案分成四個主要群組。 這些群組也稱為安全性要素,而且是下列類型:周邊安全性、驗證、授權和加密。

周邊安全性

HDInsight 中的周邊安全性是透過 虛擬網路 達成。 企業管理員可以在虛擬網路 (VNET) 內建立叢集,並使用網路安全性群組 (NSG) 來限制對虛擬網路的存取。 只有輸入 NSG 規則中允許的 IP 位址可以與 HDInsight 叢集通訊。 此設定提供周邊安全性。

部署在 VNET 中的所有叢集也會有私人端點。 端點會解析為 VNET 內的私人 IP,以存取叢集閘道的私人 HTTP。

驗證

HDInsight 的企業安全性套件 提供 Active Directory 型驗證、多使用者支援,以及角色型存取控制。 Active Directory 整合是透過使用 Microsoft Entra Domain Services 來達成。 透過這些功能,您可以建立已加入 Active Directory 網域的 HDInsight 叢集。 然後,設定企業中可向叢集進行驗證的員工清單。

透過此設定,企業員工可以使用其網域認證登入叢集節點。 他們也可以使用其網域認證來向其他已核准的端點進行驗證。 如同 Apache Ambari 檢視、ODBC、JDBC、PowerShell 和 REST API,以與叢集互動。

授權

大多數企業遵循的最佳做法是確保並非所有員工都能完整存取所有企業資源。 同樣地,系統管理員可以定義叢集資源的角色型存取控制原則。 此動作僅適用于 ESP 叢集。

Hadoop 系統管理員可以設定角色型存取控制 (RBAC)。 這些設定會使用 Apache Ranger 外掛程式保護 Apache Hive HBase Kafka 。 設定 RBAC 原則可讓您將許可權與組織中的角色產生關聯。 這一層抽象概念可讓您更輕鬆地確保人員只有執行工作責任所需的許可權。 Ranger 也可讓您稽核員工的資料存取,以及對存取控制原則所做的任何變更。

例如,系統管理員可以設定 Apache Ranger 來設定 Hive 的存取控制原則。 這項功能可確保資料列層級和資料行層級篩選(資料遮罩)。 並篩選未經授權的使用者敏感性資料。

稽核

稽核叢集資源存取是必要的,才能追蹤未經授權或無意存取資源。 保護叢集資源不受未經授權的存取同樣重要。

系統管理員可以檢視和報告 HDInsight 叢集資源和資料的所有存取權。 系統管理員可以檢視和報告存取控制原則的變更。

若要存取 Apache Ranger 和 Ambari 稽核記錄,以及 ssh 存取記錄, 請啟用 Azure 監視器 並檢視提供稽核記錄的資料表。

加密

保護資料對於符合組織安全性和合規性需求很重要。 除了限制未經授權的員工存取資料之外,您應該加密資料。

HDInsight 支援使用平臺管理和 客戶管理的金鑰 進行待用資料加密。 傳輸中的資料加密會使用 TLS 和 IPSec 來處理。 如需詳細資訊,請參閱 Azure HDInsight 傳輸中的加密。

合規性

Azure 合規性供應專案是以各種類型的保證為基礎,包括正式認證。 此外,證明、驗證和授權。 獨立協力廠商審計公司所產生的評估。 Microsoft 所產生的合約修訂、自我評量和客戶指引檔。 如需 HDInsight 合規性資訊,請參閱 Microsoft 信任中心

責任分擔模式

下圖摘要說明主要系統安全性區域,以及每個區域可供您使用的安全性解決方案。 它也會強調哪些安全性領域是您作為客戶的責任。 以及哪些區域是 HDInsight 作為服務提供者的責任。

HDInsight shared responsibilities diagram

下表提供每種安全性解決方案類型資源的連結。

安全性區域 可用的解決方案 責任方
資料存取安全性 設定 Azure Data Lake 儲存體 Gen1 和 Gen2 的存取控制清單 ACL 客戶
在儲存體帳戶上啟用「需要安全傳輸」 屬性。 客戶
設定 Azure 儲存體防火牆 和虛擬網路 客戶
設定 Azure Cosmos DB 和 Azure SQL DB 的 Azure 虛擬網路服務端點 客戶
確定 已啟用傳輸 中的加密功能,以使用 TLS 和 IPSec 進行叢集內部通訊。 客戶
設定 客戶管理的金鑰 以進行Azure 儲存體加密 客戶
使用 客戶加密箱控制對資料的存取Azure 支援 客戶
應用程式和中介軟體安全性 與 Microsoft Entra Domain Services 整合並 設定 ESP 或使用 HIB 進行 OAuth 驗證 客戶
設定 Apache Ranger 授權 原則 客戶
使用 Azure 監視器記錄 客戶
作業系統安全性 使用最近的安全基礎映像建立叢集 客戶
確保 作業系統定期修補 客戶
確定 VM 的 CMK 磁片加密 客戶
網路安全性 設定 虛擬網路
設定 輸入網路安全性群組 (NSG) 規則 私人連結 客戶
使用防火牆設定 輸出流量限制 客戶
設定 叢集節點之間傳輸 中的 IPSec 加密 客戶
虛擬化基礎結構 N/A HDInsight (雲端提供者)
實體基礎結構安全性 N/A HDInsight (雲端提供者)

下一步