描述 HDInsight 的安全性領域
身為負責打造 HDInsight 叢集企業安全性的資料結構設計師,您必須了解各種威脅媒介,以及如何滿足這些需求。
企業安全性和共同責任模型
安全性是 Azure 的基礎屬性,可針對實體資料中心、基礎結構和作業提供多層安全性,且會有數千名網路安全性專家主動監視以保護客戶的資料和資產。 若要深入了解,請探索 Azure 合規性認證。 Azure HDInsight 叢集的安全性需由 Microsoft 與客戶共同負責。 下表會依各個領域來列出所肩負的責任。
| 客戶 | Azure (HDInsight 服務提供者) |
|---|---|
| 資料存取安全性 | 實體基礎結構 |
| 應用程式/中介軟體安全性 | 虛擬化基礎結構 |
| 作業系統安全性 | |
| 網路安全性 |
HDInsight 和大部分的 Azure 服務一樣,會由 Microsoft 負責提供實體和虛擬化基礎結構的安全性。
實體基礎結構安全性是指 Azure 分散在全球各地的資料中心基礎結構安全性,其會遵守業界的主要標準,例如 ISO/IEC 27001:2013 和 NIST SP 800-53。 其會採用多層式方法,將未經授權存取實體資料中心資源的風險降至最低。 其中的某些安全性層包括
- 在抵達前先提出存取要求並獲得核准。
- 監視設施周邊的活動。
- 雙因素驗證,包括可驗證使用者身分識別的生物特徵辨識。
- 資料中心內受限的需求型最低限度存取。 如果您有興趣深入了解 Microsoft 資料中心如何操作及保護客戶的實體資產,請閱讀資料中心實體安全性一節。
虛擬化基礎結構安全性由可用性 SLA、網路架構、作業、監視、完整性和資料保護所組成。 請移至 Azure 基礎架構安全性文件,以全面性地了解 Azure 如何保護虛擬基礎結構資產。
在後續各節中,我們將就客戶所負責的安全性領域來討論其設計方法和建議做法。
