نظرة عامة على أمان المؤسسة في Azure HDInsight على AKS
هام
هذه الميزة في وضع المعاينة حاليًا. تتضمن شروط الاستخدام التكميلية لمعاينات Microsoft Azure المزيد من الشروط القانونية التي تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو قيد المعاينة أو التي لم يتم إصدارها بعد في التوفر العام. للحصول على معلومات حول هذه المعاينة المحددة، راجع معلومات معاينة Azure HDInsight على AKS. للأسئلة أو اقتراحات الميزات، يرجى إرسال طلب على AskHDInsight مع التفاصيل ومتابعتنا لمزيد من التحديثات على مجتمع Azure HDInsight.
يوفر Azure HDInsight على AKS الأمان بشكل افتراضي، وهناك عدة طرق لتلبية احتياجات أمان المؤسسة.
تغطي هذه المقالة بنية الأمان الشاملة وحلول الأمان من خلال تقسيمها إلى أربع ركائز أمان تقليدية: أمان المحيط والمصادقة والتخويل والتشفير.
هندسة الأمان
يتطلب استعداد المؤسسة لأي برنامج فحوصات أمنية صارمة لمنع ومعالجة التهديدات التي قد تنشأ. يوفر HDInsight على AKS نموذج أمان متعدد الطبقات لحمايتك على طبقات متعددة. تستخدم بنية الأمان أساليب التخويل الحديثة باستخدام MSI. يتم الوصول إلى التخزين بالكامل من خلال MSI، ويتم الوصول إلى قاعدة البيانات من خلال اسم المستخدم/كلمة المرور. يتم تخزين كلمة المرور في Azure Key Vault، والتي يحددها العميل. تجعل هذه الميزة الإعداد قويا وآمنا بشكل افتراضي.
يوضح الرسم التخطيطي أدناه بنية تقنية عالية المستوى للأمان في HDInsight على AKS.
حزمة أمان المؤسسات
تتمثل إحدى طرق النظر في أمان المؤسسة في تقسيم حلول الأمان إلى أربع مجموعات رئيسية استنادا إلى نوع التحكم. تسمى هذه المجموعات أيضا ركائز الأمان وهي من الأنواع التالية: أمان المحيط والمصادقة والتخويل والتشفير.
أمان المحيط
يتم تحقيق أمان المحيط في HDInsight على AKS من خلال الشبكات الظاهرية. يمكن لمسؤول المؤسسة إنشاء نظام مجموعة داخل شبكة ظاهرية (VNET) واستخدام مجموعات أمان الشبكة (NSG) لتقييد الوصول إلى الشبكة الظاهرية.
المصادقة
يوفر HDInsight على AKS المصادقة المستندة إلى معرف Microsoft Entra لتسجيل الدخول إلى نظام المجموعة ويستخدم الهويات المدارة (MSI) لتأمين وصول نظام المجموعة إلى الملفات في Azure Data Lake Storage Gen2. الهوية المدارة هي ميزة من ميزات معرف Microsoft Entra التي توفر خدمات Azure بمجموعة من بيانات الاعتماد المدارة تلقائيا. باستخدام هذا الإعداد، يمكن لموظفي المؤسسة تسجيل الدخول إلى عقد نظام المجموعة باستخدام بيانات اعتماد المجال الخاصة بهم. تسمح الهوية المدارة من معرف Microsoft Entra لتطبيقك بالوصول بسهولة إلى موارد Microsoft Entra المحمية الأخرى مثل Azure Key Vault والتخزين وSQL Server وقاعدة البيانات. الهوية التي تديرها منصة Azure ولا تتطلب منك توفير أي أسرار أو تدويرها. هذا الحل هو مفتاح لتأمين الوصول إلى HDInsight الخاص بك على مجموعة AKS والموارد التابعة الأخرى. تجعل الهويات المُدارة تطبيقك أكثر أماناً من خلال التخلص من البيانات السرية من تطبيقك، مثل معلومات تسجيل الدخول في سلاسل الاتصال.
يمكنك إنشاء هوية مدارة يعينها المستخدم، وهو مورد Azure مستقل، كجزء من عملية إنشاء نظام المجموعة، والتي تدير الوصول إلى الموارد التابعة.
التصريح
تعتبر أفضل الممارسات التي تتبعها معظم الشركات هي التأكد من أنه ليس كل موظف لديه حق الوصول الكامل إلى جميع موارد المؤسسة. وبالمثل، يمكن للمسؤول تعريف نهج التحكم في الوصول المستند إلى الدور لموارد نظام المجموعة.
يمكن لمالكي الموارد تكوين التحكم في الوصول استنادا إلى الدور (RBAC). يسمح لك تكوين نهج RBAC بربط الأذونات بدور في المؤسسة. تسهل هذه الطبقة من التجريد ضمان حصول الأشخاص على الأذونات اللازمة فقط لأداء مسؤوليات عملهم. التخويل الذي تديره أدوار ARM لإدارة نظام المجموعة (مستوى التحكم) والوصول إلى بيانات نظام المجموعة (مستوى البيانات) التي تديرها إدارة الوصول إلى نظام المجموعة.
أدوار إدارة نظام المجموعة (أدوار وحدة التحكم / ARM)
| الإجراء | HDInsight على مجموعة نظام مجموعة AKS مسؤول | HDInsight على نظام مجموعة AKS مسؤول |
|---|---|---|
| إنشاء / حذف تجمع نظام المجموعة | ✅ | |
| تعيين الإذن والأدوار على تجمع نظام المجموعة | ✅ | |
| إنشاء/حذف نظام المجموعة | ✅ | ✅ |
| إدارة نظام المجموعة | ✅ | |
| إدارة التكوين | ✅ | |
| إجراءات البرنامج النصي | ✅ | |
| إدارة المكتبات | ✅ | |
| مراقبة | ✅ | |
| إجراءات التحجيم | ✅ |
الأدوار المذكورة أعلاه من منظور عمليات ARM. لمزيد من المعلومات، راجع منح مستخدم حق الوصول إلى موارد Azure باستخدام مدخل Azure - Azure RBAC.
الوصول إلى نظام المجموعة (مستوى البيانات)
يمكنك السماح للمستخدمين، وكيانات الخدمة، والهوية المدارة بالوصول إلى نظام المجموعة من خلال المدخل أو باستخدام ARM.
يتيح هذا الوصول
- عرض المجموعات وإدارة المهام.
- تنفيذ جميع عمليات المراقبة والإدارة.
- تنفيذ عمليات التحجيم التلقائي وتحديث عدد العقد.
لم يتم توفير الوصول ل
- حذف نظام المجموعة
هام
سيتطلب أي مستخدم تمت إضافته حديثا دورا إضافيا من "Azure Kubernetes Service RBAC Reader" لعرض حالة الخدمة.
التدقيق
يعتبر التدقيق للوصول إلى موارد المجموعة ضروري لتعقب الوصول غير المصرح به أو غير مقصود للموارد. إنه مهم لأنه يضمن حماية موارد المجموعة من الوصول غير المصرح به.
يمكن لمسؤول مجموعة الموارد عرض والإبلاغ عن جميع الوصول إلى HDInsight على موارد نظام مجموعة AKS والبيانات باستخدام سجل النشاط. يمكن للمسؤول عرض التغييرات التي تم إدخالها على نهج التحكم في الوصول والإبلاغ عنها.
التشفير
تُعد حماية البيانات مهمة لتلبية متطلبات الأمان والامتثال التنظيمية. إلى جانب تقييد الوصول إلى البيانات من الموظفين غير المصرح لهم، يجب تشفيرها. يتم تشفير التخزين والأقراص (قرص نظام التشغيل وقرص البيانات المستمر) المستخدم من قبل عقد نظام المجموعة والحاويات. يتم تشفير البيانات الموجودة في Azure Storage وفك تشفيرها بشفافية باستخدام تشفير AES 256 بت، وهو أحد أقوى تشفيرات الكتلة المتوفرة، وهو متوافق مع FIPS 140-2. يتم تمكين تشفير تخزين Azure لجميع حسابات التخزين، ما يجعل البيانات آمنة بشكل افتراضي، لا تحتاج إلى تعديل التعليمات البرمجية أو التطبيقات للاستفادة من تشفير Azure Storage. تتم معالجة تشفير البيانات أثناء النقل باستخدام TLS 1.2.
التوافق
تستند عروض التوافق Azure على أنواع مختلفة من الضمانات، بما في ذلك الشهادات الرسمية. أيضا، الشهادات، عمليات التحقق من صحة، والتراخيص. التقييمات التي أنتجتها شركات مستقلة لمراجعة حسابات الأطراف الأخرى. التعديلات التعاقدية والتقييمات الذاتية ومستندات إرشادات العملاء التي تنتجها Microsoft. للحصول على معلومات توافق HDInsight على AKS، راجع مركز توثيق Microsoft ونظرة عامة على توافق Microsoft Azure.
نموذج المسؤولية المشتركة
تلخص الصورة التالية مناطق أمان النظام الرئيسية وحلول الأمان المتوفرة لك. كما يسلط الضوء على مجالات الأمان التي هي مسؤولياتك كعميل والمجالات التي هي مسؤولية HDInsight على AKS كموفر الخدمة.
يوفر الجدول التالي الروابط إلى الموارد لكل نوع من أنواع حلول الأمان.
| منطقة أمنية | لا تتوفر إجراءات | الطرف المسؤول |
|---|---|---|
| أمان الوصول إلى البيانات | تكوين قوائم التحكم بالوصول لقوائم ACLs ل Azure Data Lake Storage Gen2 | العميل |
| تمكين خاصية النقل الآمن المطلوبة على التخزين | العميل | |
| تكوينAzure Storage firewalls والشبكات الظاهرية | العميل | |
| أمان نظام التشغيل | إنشاء مجموعات باستخدام أحدث HDInsight على إصدارات AKS | العميل |
| أمن الشبكة | تكوين شبكة ظاهرية | |
| تكوين حركة المرور باستخدام قواعد جدار الحماية | العميل | |
| تكوين حركة المرور الصادرة المطلوبة | العميل |