Biztonság az Azure Data Explorer-ban
Ez a cikk bevezetést nyújt az Azure Data Explorer biztonságába, hogy segítsen megvédeni adatait és erőforrásait a felhőben, és kielégítse vállalata biztonsági igényeit. Fontos, hogy a fürtök biztonságban legyenek. A fürtök biztonságossá tétele egy vagy több Olyan Azure-szolgáltatást tartalmaz, amely tartalmazza a biztonságos hozzáférést és a tárolást. Ez a cikk információkat nyújt a fürt biztonságának megőrzéséhez.
A vállalat vagy szervezet megfelelőségével kapcsolatos további forrásokért tekintse meg az Azure megfelelőségi dokumentációját.
Hálózati biztonság
A hálózati biztonság olyan követelmény, amelyet számos, biztonságtudatos vállalati ügyfelünk közösen használ. A szándék az, hogy elkülönítse a hálózati forgalmat, és korlátozza az Azure Data Explorer és a megfelelő kommunikáció támadási felületét. Ezért letilthatja a nem Azure Data Explorer hálózati szegmensekből származó forgalmat, és biztosíthatja, hogy csak az ismert forrásokból érkező forgalom érje el az Azure Data Explorer végpontokat. Ebbe beletartozik a helyszíni vagy az Azure-on kívüli forgalom is, egy Azure-beli célhellyel és fordítva. Az Azure Data Explorer a következő funkciókat támogatja a cél eléréséhez:
Kifejezetten ajánlott privát végpontok használata a fürthöz való hálózati hozzáférés biztonságossá tételéhez. Ez a lehetőség számos előnnyel rendelkezik a virtuális hálózat injektálásával szemben, ami alacsonyabb karbantartási többletterhelést eredményez, beleértve az egyszerűbb üzembehelyezési folyamatot, valamint a virtuális hálózatok változásainak robusztusabb használatát.
Identitás- és hozzáférés-vezérlés
Szerepkör alapú hozzáférés-vezérlés
Szerepköralapú hozzáférés-vezérlés (RBAC) használatával elkülönítheti a feladatokat, és csak a fürtfelhasználók számára biztosíthatja a szükséges hozzáférést. Ahelyett, hogy mindenki számára korlátlan engedélyeket ad a fürtön, csak az adott szerepkörökhöz rendelt felhasználók hajthatnak végre bizonyos műveleteket. Az Azure Portaladatbázisainak hozzáférés-vezérlését az Azure CLI vagy Azure PowerShell használatával konfigurálhatja.
Azure-erőforrások felügyelt identitásai
A felhőalkalmazások létrehozásakor gyakori kihívás a hitelesítő adatok kezelése a kódban a felhőszolgáltatásokhoz való hitelesítéshez. A hitelesítő adatok biztonságának megőrzése fontos feladat. A hitelesítő adatokat nem szabad fejlesztői munkaállomásokon tárolni, és nem szabad a verziókövetésbe beadni. Az Azure Key Vault módot kínál a hitelesítő adatok, titkos kódok és egyéb kulcsok biztonságos tárolására, azonban a kódnak hitelesítenie kell magát a Key Vaultban az adatok lekéréséhez.
Az Azure-erőforrások Microsoft Entra felügyelt identitásai funkció megoldja ezt a problémát. A szolgáltatás automatikusan felügyelt identitást biztosít az Azure-szolgáltatások számára Microsoft Entra-azonosítóban. Az identitással bármilyen olyan szolgáltatásban végezhet hitelesítést, amely támogatja a Microsoft Entra hitelesítést, beleértve a Key Vault is, anélkül, hogy a kódban hitelesítő adatokat használ. A szolgáltatással kapcsolatos további információkért lásd: Felügyelt identitások az Azure-erőforrásokhoz – áttekintési oldal.
Adatvédelem
Azure-lemeztitkosítás
Az Azure Disk Encryption segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Kötettitkosítást biztosít a fürt virtuális gépeinek operációs rendszerének és adatlemezeinek. Az Azure Disk Encryption integrálható az Azure Key Vault is, amely lehetővé teszi a lemeztitkosítási kulcsok és titkos kódok vezérlését és kezelését, valamint a virtuálisgép-lemezeken lévő összes adat titkosítását.
Felhasználó által kezelt kulcsok az Azure Key Vaulttal
Alapértelmezés szerint az adatok a Microsoft által felügyelt kulcsokkal lesznek titkosítva. A titkosítási kulcsok további szabályozásához megadhatja az ügyfél által kezelt kulcsokat az adattitkosításhoz. Az adatok titkosítását saját kulcsokkal kezelheti a tárterület szintjén. Az ügyfél által felügyelt kulcs a gyökérszintű titkosítási kulcshoz való hozzáférés védelmére és szabályozására szolgál, amely az összes adat titkosítására és visszafejtésére szolgál. Az ügyfél által kezelt kulcsok nagyobb rugalmasságot biztosítanak a hozzáférés-vezérlések létrehozásához, elforgatásához, letiltásához és visszavonásához. Továbbá az adatok védelméhez használt titkosítási kulcsok naplózására is lehetősége van.
Az Azure Key Vault használatával tárolhatja az ügyfél által kezelt kulcsokat. Létrehozhat saját kulcsokat, és tárolhatja őket egy kulcstartóban, vagy használhat egy Azure Key Vault API-t a kulcsok létrehozásához. Az Azure Data Explorer-fürtnek és az Azure Key Vault-nak ugyanabban a régióban kell lennie, de különböző előfizetésekben lehetnek. Az Azure Key Vault kapcsolatos további információkért lásd: Mi az az Azure Key Vault?. Az ügyfél által felügyelt kulcsokkal kapcsolatos részletes leírásért lásd: Ügyfél által felügyelt kulcsok az Azure Key Vault. Ügyfél által felügyelt kulcsok konfigurálása az Azure Data Explorer-fürtben a Portál, a C#, az Azure Resource Manager sablon, a parancssori felület vagy a PowerShell használatával
Megjegyzés
Az ügyfél által felügyelt kulcsok az Azure-erőforrások felügyelt identitásaira támaszkodnak, amely az Microsoft Entra-azonosító egyik funkciója. Ha ügyfél által felügyelt kulcsokat szeretne konfigurálni a Azure Portal, konfiguráljon egy felügyelt identitást a fürthöz az Azure Data Explorer-fürt felügyelt identitásainak konfigurálása című cikkben leírtak szerint.
Ügyfél által felügyelt kulcsok tárolása az Azure Key Vault
Ha engedélyezni szeretné az ügyfél által felügyelt kulcsokat egy fürtön, használja az Azure Key Vault a kulcsok tárolásához. Engedélyeznie kell a Helyreállítható törlés és a Törlés tiltása tulajdonságot is a kulcstartón. A kulcstartónak ugyanabban a régióban kell lennie, mint a fürtnek. Az Azure Data Explorer felügyelt identitásokat használ az Azure-erőforrásokhoz a kulcstartóban való hitelesítéshez a titkosítási és visszafejtési műveletekhez. A felügyelt identitások nem támogatják a címtárak közötti forgatókönyveket.
Ügyfél által felügyelt kulcsok rotálása
Az ügyfél által felügyelt kulcsokat az Azure Key Vault a megfelelőségi szabályzatoknak megfelelően forgathatja el. Kulcs elforgatásához az Azure Key Vault frissítse a kulcs verzióját, vagy hozzon létre egy új kulcsot, majd frissítse a fürtöt az adatok titkosításához az új kulcs URI-jának használatával. Ezeket a lépéseket az Azure CLI-vel vagy a portálon teheti meg. A kulcs rotálása nem váltja ki a fürtben meglévő adatok újratitkosítását.
Kulcs elforgatásakor általában ugyanazt az identitást adja meg, amelyet a fürt létrehozásakor használ. Igény szerint konfigurálhat egy új, felhasználó által hozzárendelt identitást a kulcshozzáféréshez, vagy engedélyezheti és megadhatja a fürt rendszer által hozzárendelt identitását.
Megjegyzés
Győződjön meg arról, hogy a kulcshozzáféréshez konfigurált identitáshoz be van állítva a szükséges Beolvasási, Kicsomagolási kulcs és Sortörési kulcs engedély.
Kulcsverzió frissítése
Gyakori forgatókönyv az ügyfél által felügyelt kulcsként használt kulcs verziójának frissítése. A fürttitkosítás konfigurálásának módjától függően a fürt ügyfél által felügyelt kulcsa automatikusan frissül, vagy manuálisan kell frissíteni.
Az ügyfél által felügyelt kulcsokhoz való hozzáférés visszavonása
Az ügyfél által felügyelt kulcsokhoz való hozzáférés visszavonásához használja a PowerShellt vagy az Azure CLI-t. További információ: Azure Key Vault PowerShell vagy Azure Key Vault CLI. A hozzáférés visszavonása blokkolja a fürt tárolási szintjén lévő összes adathoz való hozzáférést, mivel a titkosítási kulcsot az Azure Data Explorer következésképpen nem érheti el.
Megjegyzés
Amikor az Azure Data Explorer megállapítja, hogy az ügyfél által felügyelt kulcshoz való hozzáférés vissza van vonva, automatikusan felfüggeszti a fürtöt a gyorsítótárazott adatok törléséhez. A kulcshoz való hozzáférés visszaadása után a fürt automatikusan folytatódik.