Az Azure Data Explorer hálózati biztonsága
Az Azure Data Explorer-fürtök nyilvános URL-címekkel érhetők el. A fürtön érvényes identitással rendelkező felhasználók bármely helyről hozzáférhetnek. Szervezetként az adatok védelme lehet az egyik legfontosabb feladat. Ezért korlátozhatja és biztonságossá teheti a fürthöz való hozzáférést, vagy akár csak a privát virtuális hálózaton keresztül is engedélyezheti a fürthöz való hozzáférést. A következő lehetőségek egyikével érheti el ezt a célt:
Erősen ajánlott privát végpontok használata a fürthöz való hálózati hozzáférés biztonságossá tételéhez. Ez a lehetőség számos előnnyel rendelkezik a virtuális hálózat injektálásával szemben, ami alacsonyabb karbantartási többletterhelést eredményez, beleértve az egyszerűbb üzembehelyezési folyamatot és a virtuális hálózatok változásainak robusztusabb kezelését.
Az alábbi szakasz bemutatja, hogyan védheti meg a fürtöt privát végpontokkal és virtuális hálózati injektálással.
Privát végpont
A privát végpontok olyan hálózati adapterek, amelyek a virtuális hálózat magánhálózati IP-címeit használják. Ez a hálózati adapter privátan és biztonságosan csatlakoztatja önt a Azure Private Link által működtetett fürthöz. Privát végpont engedélyezésével a virtuális hálózatába vonja be a szolgáltatást.
A fürt privát végponton való sikeres üzembe helyezéséhez csak magánhálózati IP-címekre van szükség.
Megjegyzés
A privát végpontok nem támogatottak a virtuális hálózatba ágyazott fürtök esetében.
Virtuális hálózat injektálás
Fontos
Fontolja meg egy Azure-beli privát végpontalapú megoldást a hálózati biztonság Azure Data Explorer való implementálására. Ez kevésbé hibalehetőség, és szolgáltatás paritást biztosít.
A virtuális hálózat injektálásával közvetlenül üzembe helyezheti a fürtöt egy virtuális hálózaton. A fürt privát módon elérhető a virtuális hálózaton belülről és VPN-átjárón keresztül, vagy azure ExpressRoute-ból a helyszíni hálózatokról. Ha egy fürtöt egy virtuális hálózatba injektál, az összes adatforgalmát kezelheti. Ez magában foglalja a fürt eléréséhez szükséges forgalmat, valamint annak összes adatbetöltését vagy exportálását. Emellett ön a felelős azért, hogy a Microsoft hozzáférjen a fürthöz a felügyelet és az állapotfigyelés céljából.
Ahhoz, hogy sikeresen injektálhassa a fürtöt egy virtuális hálózatba, konfigurálnia kell a virtuális hálózatot a következő követelményeknek megfelelően:
- A szolgáltatás engedélyezéséhez és az üzembe helyezés előfeltételeinek meghatározásához az alhálózatot a Microsoft.Kusto/fürtökre kell delegálnia hálózati szándékszabályzatok formájában
- Az alhálózatot megfelelően kell méretezni a fürt használatának jövőbeli növekedéséhez
- A fürt kezeléséhez és kifogástalan állapotának biztosításához két nyilvános IP-cím szükséges
- Ha további tűzfalberendezést használ a hálózat védelméhez, engedélyeznie kell, hogy a fürt teljes tartománynevek (FQDN-k) készletéhez csatlakozzon a kimenő forgalomhoz
Privát végpont és virtuális hálózati injektálás
A virtuális hálózatok injektálása magas karbantartási többletterheléshez vezethet, például a teljes tartománynév-listák tűzfalakban való karbantartása vagy a nyilvános IP-címek korlátozott környezetben való üzembe helyezése miatt. Ezért javasoljuk, hogy privát végpontot használjon a fürthöz való csatlakozáshoz.
Az alábbi táblázat bemutatja, hogyan valósíthatók meg a hálózatbiztonsággal kapcsolatos funkciók egy virtuális hálózatba ágyazott vagy privát végponttal védett fürt alapján.
| Szolgáltatás | Privát végpont | Virtuális hálózat injektálás |
|---|---|---|
| Bejövő IP-címek szűrése | Nyilvános hozzáférés kezelése | Bejövő hálózati biztonsági csoport szabályának létrehozása |
| Tranzitív hozzáférés más szolgáltatásokhoz (Storage, Event Hubs stb.) | Felügyelt privát végpont létrehozása | Privát végpont létrehozása az erőforráshoz |
| Kimenő hozzáférés korlátozása | Ábrafelirat-szabályzatok vagy az AllowedFQDNList használata | Virtuális berendezés használata az alhálózat kimenő forgalmának szűréséhez |