Azure Data Lake Storage 1. Nesil'de güvenlik
Birçok kuruluş, akıllı kararlar almalarına yardımcı olmak için iş içgörüleri için büyük veri analizinden yararlanmaktadır. Bir kuruluşun karmaşık ve düzenlenmiş bir ortamı olabilir ve artan sayıda farklı kullanıcı olabilir. Bir kuruluşun kritik iş verilerinin, tek tek kullanıcılara verilen doğru erişim düzeyiyle daha güvenli bir şekilde depolandığından emin olması çok önemlidir. Azure Data Lake Storage 1. Nesil, bu güvenlik gereksinimlerini karşılamaya yardımcı olmak için tasarlanmıştır. Bu makalede, aşağıdakiler dahil olmak üzere Data Lake Storage 1. Nesil güvenlik özellikleri hakkında bilgi edinin:
- Kimlik Doğrulaması
- Yetkilendirme
- Ağ yalıtımı
- Veri koruma
- Denetim
Kimlik doğrulaması ve kimlik yönetimi
Kimlik doğrulaması, kullanıcı Data Lake Storage 1. Nesil veya Data Lake Storage 1. Nesil bağlanan herhangi bir hizmetle etkileşim kurduğunda kullanıcının kimliğinin doğrulandığı işlemdir. Kimlik yönetimi ve kimlik doğrulaması için Data Lake Storage 1. Nesil, kullanıcı ve grupların yönetimini basitleştiren kapsamlı bir kimlik ve erişim yönetimi bulut çözümü olan Microsoft Entra ID kullanır.
Her Azure aboneliği bir Microsoft Entra ID örneğiyle ilişkilendirilebilir. Yalnızca Microsoft Entra hizmetinizde tanımlanan kullanıcılar ve hizmet kimlikleri Data Lake Storage 1. Nesil hesabınıza erişmek için Azure portal, komut satırı araçlarını veya kuruluşunuzun derlediği istemci uygulamalarını kullanarak sdk'Data Lake Storage 1. Nesil. merkezi erişim denetimi mekanizması olarak Microsoft Entra ID kullanmanın başlıca avantajları şunlardır:
- Basitleştirilmiş kimlik yaşam döngüsü yönetimi. Bir kullanıcının veya hizmetin (hizmet sorumlusu kimliği) kimliği, dizindeki hesabı silerek veya devre dışı bırakarak hızlı bir şekilde oluşturulabilir ve hızlı bir şekilde iptal edilebilir.
- Çok faktörlü kimlik doğrulaması. Çok faktörlü kimlik doğrulaması , kullanıcı oturum açma işlemleri ve işlemleri için ek bir güvenlik katmanı sağlar.
- OAuth veya OpenID gibi standart bir açık protokol aracılığıyla herhangi bir istemciden kimlik doğrulaması.
- Kurumsal dizin hizmetleri ve bulut kimliği sağlayıcılarıyla federasyon.
Yetkilendirme ve erişim denetimi
kullanıcının Data Lake Storage 1. Nesil erişebilmesi için Microsoft Entra kullanıcının kimliğini doğruladıktan sonra yetkilendirme, Data Lake Storage 1. Nesil erişim izinlerini denetler. Data Lake Storage 1. Nesil, hesapla ve veriyle ilgili etkinlikler için yetkilendirmeyi aşağıdaki şekilde ayırır:
- Hesap yönetimi için Azure rol tabanlı erişim denetimi (Azure RBAC)
- Depodaki verilere erişmek için POSIX ACL
Hesap yönetimi için Azure RBAC
varsayılan olarak Data Lake Storage 1. Nesil için dört temel rol tanımlanır. Roller, Azure portal, PowerShell cmdlet'leri ve REST API'leri aracılığıyla bir Data Lake Storage 1. Nesil hesabında farklı işlemlere izin verir. Sahip ve Katkıda Bulunan rolleri hesapta çeşitli yönetim işlevleri gerçekleştirebilir. Okuyucu rolünü yalnızca hesap yönetimi verilerini görüntüleyen kullanıcılara atayabilirsiniz.
Hesap yönetimi için roller atanmış olsa da bazı rollerin verilere erişimi etkilediğini unutmayın. Bir kullanıcının dosya sisteminde gerçekleştirebileceği işlemlere erişimi denetlemek için ACL'leri kullanmanız gerekir. Aşağıdaki tabloda, varsayılan roller için yönetim haklarının ve veri erişim haklarının özeti gösterilmektedir.
| Roller | Yönetim hakları | Veri erişim hakları | Açıklama |
|---|---|---|---|
| Rol atanmadı | Hiçbiri | ACL tarafından yönetilir | Kullanıcı Data Lake Storage 1. Nesil göz atmak için Azure portal veya Azure PowerShell cmdlet'lerini kullanamaz. Kullanıcı yalnızca komut satırı araçlarını kullanabilir. |
| Sahip | Tümü | Tümü | Sahip rolü bir süper kullanıcıdır. Bu rol her şeyi yönetebilir ve verilere tam erişime sahiptir. |
| Okuyucu | Salt okunur | ACL tarafından yönetilir | Okuyucu rolü, hangi kullanıcının hangi role atandığı gibi hesap yönetimiyle ilgili her şeyi görüntüleyebilir. Okuyucu rolü hiçbir değişiklik yapamaz. |
| Katılımcı | Rol ekleme ve kaldırma dışında tümü | ACL tarafından yönetilir | Katkıda Bulunan rolü, bir hesabın dağıtımlar ve uyarı oluşturma ve yönetme gibi bazı yönlerini yönetebilir. Katkıda Bulunan rolü rol ekleyemez veya kaldıramaz. |
| Kullanıcı Erişimi Yöneticisi | Rol ekleme ve kaldırma | ACL tarafından yönetilir | Kullanıcı Erişimi Yöneticisi rolü, hesaplara kullanıcı erişimini yönetebilir. |
Yönergeler için bkz. Data Lake Storage 1. Nesil hesaplarına kullanıcı veya güvenlik grupları atama.
Dosya sistemlerindeki işlemler için ACL'leri kullanma
Data Lake Storage 1. Nesil Hadoop Dağıtılmış Dosya Sistemi (HDFS) gibi hiyerarşik bir dosya sistemidir ve POSIX ACL'lerini destekler. Sahip rolü, Sahipler grubu ve diğer kullanıcılar ve gruplar için kaynaklara yönelik okuma (r), yazma (w) ve yürütme (x) izinlerini denetler. Data Lake Storage 1. Nesil,ACL'ler kök klasörde, alt klasörlerde ve tek tek dosyalarda etkinleştirilebilir. ACL'lerin Data Lake Storage 1. Nesil bağlamında nasıl çalıştığı hakkında daha fazla bilgi için bkz. Data Lake Storage 1. Nesil'de erişim denetimi.
Güvenlik gruplarını kullanarak birden çok kullanıcının ACL'lerini tanımlamanızı öneririz. Kullanıcıları bir güvenlik grubuna ekleyin ve ardından bir dosya veya klasörün ACL'lerini bu güvenlik grubuna atayın. Atanan izinler için en fazla 28 girişle sınırlı olduğunuzdan, atanan izinleri sağlamak istediğinizde bu yararlı olur. Microsoft Entra güvenlik gruplarını kullanarak Data Lake Storage 1. Nesil'de depolanan verilerin güvenliğini daha iyi sağlama hakkında daha fazla bilgi için bkz. kullanıcıları veya güvenlik grubunu Data Lake Storage 1. Nesil dosya sistemine ACL olarak atama.
Ağ yalıtımı
Veri deponuza erişimi ağ düzeyinde denetlemenize yardımcı olması için Data Lake Storage 1. Nesil kullanın. Güvenlik duvarları oluşturabilir ve güvenilen istemcileriniz için bir IP adresi aralığı tanımlayabilirsiniz. IP adresi aralığıyla, yalnızca tanımlı aralık içinde BIR IP adresi olan istemciler Data Lake Storage 1. Nesil bağlanabilir.
Azure sanal ağları (VNet), Data Lake 1. Nesil için hizmet etiketlerini destekler. Hizmet etiketi, belirli bir Azure hizmetinden bir grup IP adresi ön ekini temsil eder. Microsoft, hizmet etiketi tarafından kapsadığı adres ön eklerini yönetir ve adresler değiştikçe hizmet etiketini otomatik olarak güncelleştirir. Daha fazla bilgi için bkz. Azure hizmet etiketlerine genel bakış.
Veri koruma
Data Lake Storage 1. Nesil, verilerinizi yaşam döngüsü boyunca korur. aktarımdaki veriler için Data Lake Storage 1. Nesil ağ üzerinden verilerin güvenliğini sağlamak için endüstri standardı Aktarım Katmanı Güvenliği (TLS 1.2) protokollerini kullanır.
Data Lake Storage 1. Nesil ayrıca hesapta depolanan veriler için şifreleme sağlar. Verilerinizin şifrelenmesini tercih edebilir ya da şifrelemeyi kabul etmeyebilirsiniz. Şifrelemeyi kabul ederseniz, Data Lake Storage 1. Nesil depolanan veriler kalıcı medyada depolanmadan önce şifrelenir. Böyle bir durumda, Data Lake Storage 1. Nesil verileri kalıcı hale getirmeden önce otomatik olarak şifreler ve verileri almadan önce şifresini çözer, bu nedenle verilere erişen istemci için tamamen saydamdır. İstemci tarafında verileri şifrelemek/şifresini çözmek için kod değişikliği gerekmez.
Anahtar yönetimi için Data Lake Storage 1. Nesil ana şifreleme anahtarlarınızı (MEK) yönetmek için iki mod sağlar ve bu modlar Data Lake Storage 1. Nesil depolanan verilerin şifresini çözmek için gereklidir. MEK'leri sizin için Data Lake Storage 1. Nesil yönetmesine izin verebilir veya Azure Key Vault hesabınızı kullanarak MEK'lerin sahipliğini korumayı seçebilirsiniz. Data Lake Storage 1. Nesil hesabı oluştururken anahtar yönetimi modunu belirtirsiniz. Şifrelemeyle ilgili yapılandırma sağlama hakkında daha fazla bilgi için bkz. Azure Portal'ı kullanarak Azure Data Lake Storage 1. Nesil'i kullanmaya başlama.
Etkinlik ve tanılama günlükleri
Hesap yönetimiyle ilgili etkinliklerin veya veriyle ilgili etkinliklerin günlüklerini aramanıza bağlı olarak etkinlik veya tanılama günlüklerini kullanabilirsiniz.
- Hesap yönetimiyle ilgili etkinlikler Azure Resource Manager API'lerini kullanır ve etkinlik günlükleri aracılığıyla Azure portal gösterilir.
- Veriyle ilgili etkinlikler WebHDFS REST API'lerini kullanır ve tanılama günlükleri aracılığıyla Azure portal ortaya konur.
Etkinlik günlüğü
Düzenlemelere uymak için bir kuruluş, belirli olayları incelemesi gerekiyorsa hesap yönetimi etkinliklerinin yeterli denetim kayıtlarını gerektirebilir. Data Lake Storage 1. Nesil yerleşik izleme özelliğine sahiptir ve tüm hesap yönetimi etkinliklerini günlüğe kaydeder.
Hesap yönetimi denetim kayıtları için, günlüğe kaydetmek istediğiniz sütunları görüntüleyin ve seçin. Etkinlik günlüklerini Azure Depolama'ya da aktarabilirsiniz.
Etkinlik günlükleriyle çalışma hakkında daha fazla bilgi için bkz. Kaynaklardaki eylemleri denetlemek için etkinlik günlüklerini görüntüleme.
Tanılama günlükleri
Azure portal veri erişim denetimini ve tanılama günlüğünü etkinleştirebilir ve günlükleri bir Azure Blob depolama hesabına, olay hub'ına veya Azure İzleyici günlüklerine gönderebilirsiniz.
Data Lake Storage 1. Nesil ile tanılama günlükleriyle çalışma hakkında daha fazla bilgi için bkz. Data Lake Storage 1. Nesil için tanılama günlüklerine erişme.
Özet
Kurumsal müşteriler, güvenli ve kullanımı kolay bir veri analizi bulut platformu talep eder. Data Lake Storage 1. Nesil, Microsoft Entra tümleştirmesi, ACL tabanlı yetkilendirme, ağ yalıtımı, aktarım sırasında ve bekleyen veri şifrelemesi ve denetim aracılığıyla kimlik yönetimi ve kimlik doğrulaması yoluyla bu gereksinimlerin giderilmesine yardımcı olmak için tasarlanmıştır.
Data Lake Storage 1. Nesil'da yeni özellikler görmek istiyorsanız, Data Lake Storage 1. Nesil UserVoice forumunda bize geri bildiriminizi gönderin.