Keamanan jaringan untuk Azure Data Explorer

Kluster Azure Data Explorer dirancang agar dapat diakses menggunakan URL publik. Siapa pun dengan identitas yang valid pada kluster dapat mengaksesnya dari lokasi mana pun. Sebagai organisasi, mengamankan data mungkin merupakan salah satu tugas prioritas tertinggi Anda. Dengan demikian, Anda mungkin ingin membatasi dan mengamankan akses ke kluster Anda, atau bahkan hanya mengizinkan akses ke kluster Anda melalui jaringan virtual privat Anda. Anda dapat menggunakan salah satu opsi berikut untuk mencapai tujuan ini:

• Titik akhir privat (disarankan)
• Injeksi jaringan virtual (VNet)

Sebaiknya gunakan titik akhir privat untuk mengamankan akses jaringan ke kluster Anda. Opsi ini memiliki banyak keuntungan daripada injeksi jaringan virtual yang menghasilkan overhead pemeliharaan yang lebih rendah, termasuk proses penyebaran yang lebih sederhana dan lebih kuat terhadap perubahan jaringan virtual.

Bagian berikut menjelaskan cara mengamankan kluster Anda menggunakan titik akhir privat dan injeksi jaringan virtual.

Titik akhir privat

Titik akhir privat adalah antarmuka jaringan yang menggunakan alamat IP privat dari jaringan virtual Anda. Antarmuka jaringan ini menghubungkan Anda secara privat dan aman ke kluster Anda yang didukung oleh Azure Private Link. Dengan mengaktifkan titik akhir privat, Anda membawa layanan ke jaringan virtual Anda.

Agar kluster Anda berhasil disebarkan ke titik akhir privat, Anda hanya memerlukan sekumpulan alamat IP privat.

Injeksi jaringan virtual

Injeksi jaringan virtual memungkinkan Anda untuk langsung menyebarkan kluster Anda ke jaringan virtual. Kluster dapat diakses secara privat dari dalam jaringan virtual dan melalui gateway VPN, atau Azure ExpressRoute dari jaringan lokal. Menyuntikkan kluster ke jaringan virtual memungkinkan Anda mengelola semua lalu lintasnya. Ini termasuk lalu lintas untuk mengakses kluster dan semua penyerapan atau ekspor datanya. Selain itu, Anda bertanggung jawab untuk mengizinkan Microsoft mengakses kluster untuk manajemen dan pemantauan kesehatan.

Agar berhasil menyuntikkan kluster Anda ke jaringan virtual, Anda harus mengonfigurasi jaringan virtual Anda untuk memenuhi persyaratan berikut:

• Anda harus mendelegasikan subnet ke Microsoft.Kusto/clusters untuk mengaktifkan layanan dan menentukan prasyarat penyebarannya dalam bentuk kebijakan niat jaringan
• Subnet perlu diskalakan dengan baik untuk mendukung pertumbuhan penggunaan kluster di masa mendatang
• Dua alamat IP publik diperlukan untuk mengelola kluster dan memastikan bahwa itu sehat
• Secara opsional, jika Anda menggunakan appliance firewall tambahan untuk mengamankan jaringan, Anda harus mengizinkan kluster Anda terhubung ke sekumpulan Nama Domain Yang Sepenuhnya Memenuhi Syarat (FQDN) untuk lalu lintas keluar

Titik akhir privat vs. injeksi jaringan virtual

Injeksi jaringan virtual dapat menyebabkan overhead pemeliharaan yang tinggi, sebagai hasil dari detail implementasi seperti mempertahankan daftar FQDN di firewall atau menyebarkan alamat IP publik di lingkungan terbatas. Oleh karena itu, sebaiknya gunakan titik akhir privat untuk terhubung ke kluster Anda.

Tabel berikut menunjukkan bagaimana fitur terkait keamanan jaringan dapat diterapkan berdasarkan kluster yang disuntikkan ke jaringan virtual atau diamankan menggunakan titik akhir privat.

Konten terkait

• Titik Akhir Privat untuk Azure Data Explorer
• Menyebarkan Azure Data Explorer ke Virtual Network Anda