الأمان في Azure Data Lake Storage Gen1
تستفيد العديد من الشركات من تحليلات البيانات الضخمة للحصول على رؤى الأعمال لمساعدتها على اتخاذ قرارات ذكية. قد يكون لدى المؤسسة بيئة معقدة ومنظمة ، مع عدد متزايد من المستخدمين المتنوعين. من الأهمية بمكان أن تتأكد المؤسسة من تخزين بيانات الأعمال الهامة بشكل أكثر أمانا ، مع منح المستوى الصحيح من الوصول للمستخدمين الفرديين. تم تصميم Azure Data Lake Storage Gen1 للمساعدة في تلبية متطلبات الأمان هذه. في هذه المقالة، تعرف على إمكانات الأمان Data Lake Storage Gen1، بما في ذلك:
- المصادقة
- التخويل
- عزل الشبكة
- حماية البيانات
- التدقيق
المصادقة وإدارة الهوية
المصادقة هي العملية التي يتم من خلالها التحقق من هوية المستخدم عندما يتفاعل المستخدم مع Data Lake Storage Gen1 أو مع أي خدمة تتصل Data Lake Storage Gen1. لإدارة الهوية والمصادقة، تستخدم Data Lake Storage Gen1 Azure Active Directory، وهو حل سحابي شامل لإدارة الهوية والوصول يبسط إدارة المستخدمين والمجموعات.
يمكن إقران كل اشتراك في Azure بمثيل من Azure Active Directory. يمكن فقط للمستخدمين وهويات الخدمة التي تم تعريفها في خدمة Azure Active Directory الوصول إلى حساب Data Lake Storage Gen1 الخاص بك، باستخدام مدخل Azure أو أدوات سطر الأوامر أو من خلال تطبيقات العميل التي تنشئها مؤسستك باستخدام Data Lake Storage Gen1 SDK. المزايا الرئيسية لاستخدام Azure Active Directory كآلية مركزية للتحكم في الوصول هي:
- إدارة مبسطة لدورة حياة الهوية. يمكن إنشاء هوية مستخدم أو خدمة (هوية أساسية للخدمة) بسرعة وإلغاؤها بسرعة بمجرد حذف الحساب أو تعطيله في الدليل.
- مصادقة متعددة العوامل. توفر المصادقة متعددة العوامل طبقة إضافية من الأمان لعمليات تسجيل دخول المستخدم ومعاملاته.
- المصادقة من أي عميل من خلال بروتوكول مفتوح قياسي ، مثل OAuth أو OpenID.
- الاتحاد مع خدمات دليل المؤسسة وموفري الهوية السحابية.
التفويض والتحكم في الوصول
بعد أن يقوم Azure Active Directory بمصادقة مستخدم بحيث يمكن للمستخدم الوصول إلى Data Lake Storage Gen1، يتحكم التخويل في أذونات الوصول Data Lake Storage Gen1. Data Lake Storage Gen1 يفصل بين الإذن بالأنشطة المتعلقة بالحساب والأنشطة المتصلة بالبيانات على النحو التالي:
- Azure role-based access control (Azure RBAC) for Account Management
- POSIX ACL للوصول إلى البيانات في المتجر
Azure RBAC for Account Management
يتم تحديد أربعة أدوار أساسية Data Lake Storage Gen1 بشكل افتراضي. تسمح الأدوار بعمليات مختلفة على حساب Data Lake Storage Gen1 عبر مدخل Azure و PowerShell cmdlets وواجهات برمجة تطبيقات REST. يمكن لأدوار المالك والمساهم تنفيذ مجموعة متنوعة من وظائف الإدارة على الحساب. يمكنك تعيين دور القارئ للمستخدمين الذين يعرضون بيانات إدارة الحساب فقط.
لاحظ أنه على الرغم من تعيين الأدوار لإدارة الحساب، إلا أن بعض الأدوار تؤثر على الوصول إلى البيانات. تحتاج إلى استخدام قوائم التحكم في الوصول للتحكم في الوصول إلى العمليات التي يمكن للمستخدم تنفيذها على نظام الملفات. يعرض الجدول التالي ملخصا لحقوق الإدارة وحقوق الوصول إلى البيانات للأدوار الافتراضية.
| الأدوار | حقوق الإدارة | حقوق الوصول إلى البيانات | التوضيح |
|---|---|---|---|
| لم يتم تعيين أي دور | بلا | يحكمها دوري أبطال آسيا | لا يمكن للمستخدم استخدام مدخل Azure أو cmdlets Azure PowerShell لاستعراض Data Lake Storage Gen1. يمكن للمستخدم استخدام أدوات سطر الأوامر فقط. |
| مالك | الكل | الكل | دور المالك هو مستخدم متميز. يمكن لهذا الدور إدارة كل شيء ولديه حق الوصول الكامل إلى البيانات. |
| القارئ | «Read-only» | يحكمها دوري أبطال آسيا | يمكن لدور القارئ عرض كل ما يتعلق بإدارة الحساب، مثل المستخدم الذي تم تعيينه لأي دور. لا يمكن لدور القارئ إجراء أي تغييرات. |
| مساهم | الكل باستثناء إضافة الأدوار وإزالتها | يحكمها دوري أبطال آسيا | يمكن لدور المساهم إدارة بعض جوانب الحساب، مثل عمليات النشر وإنشاء التنبيهات وإدارتها. يتعذر على دور المساهم إضافة أدوار أو إزالتها. |
| مسؤول وصول المستخدم | إضافة أدوار وإزالتها | يحكمها دوري أبطال آسيا | يمكن لدور مسؤول وصول المستخدم إدارة وصول المستخدم إلى الحسابات. |
للحصول على التعليمات، راجع تعيين مستخدمين أو مجموعات أمان إلى حسابات Data Lake Storage Gen1.
استخدام قوائم التحكم في الوصول للعمليات على أنظمة الملفات
Data Lake Storage Gen1 هو نظام ملفات هرمي مثل نظام الملفات الموزعة Hadoop (HDFS) ، ويدعم POSIX ACLs. فهو يتحكم في أذونات القراءة (r) والكتابة (w) وتنفيذ (x) للموارد لدور المالك ومجموعة المالكين وللمستخدمين والمجموعات الأخرى. في Data Lake Storage Gen1، يمكن تمكين قوائم التحكم في الوصول على المجلد الجذر وعلى المجلدات الفرعية وعلى الملفات الفردية. لمزيد من المعلومات حول كيفية عمل قوائم التحكم في الوصول في سياق Data Lake Storage Gen1، راجع التحكم في الوصول في Data Lake Storage Gen1.
نوصي بتعريف قوائم التحكم بالوصول لعدة مستخدمين باستخدام مجموعات الأمان. إضافة مستخدمين إلى مجموعة أمان، ثم تعيين قوائم التحكم بالوصول لملف أو مجلد إلى مجموعة الأمان هذه. يكون هذا مفيدا عندما تريد توفير أذونات معينة، لأنك تقتصر على 28 إدخالا كحد أقصى للأذونات المعينة. لمزيد من المعلومات حول كيفية تأمين البيانات المخزنة في Data Lake Storage Gen1 بشكل أفضل باستخدام مجموعات أمان Azure Active Directory، راجع تعيين مستخدمين أو مجموعة أمان كقوائم تحكم بالوصول إلى نظام الملفات Data Lake Storage Gen1.
عزل الشبكة
استخدم Data Lake Storage Gen1 للمساعدة في التحكم في الوصول إلى مخزن البيانات على مستوى الشبكة. يمكنك إنشاء جدران حماية وتحديد نطاق عناوين IP لعملائك الموثوق بهم. باستخدام نطاق عناوين IP، يمكن فقط للعملاء الذين لديهم عنوان IP ضمن النطاق المحدد الاتصال Data Lake Storage Gen1.
تدعم الشبكات الظاهرية Azure (VNet) علامات الخدمة ل Data Lake Gen 1. تمثل علامة الخدمة مجموعة من بادئات عنوان IP من خدمة Azure معينة. تُدير Microsoft بادئات العناوين التي تشملها علامة الخدمة، كما تُحدّث علامة الخدمة تلقائيًا مع تغيير العناوين. لمزيد من المعلومات، راجع نظرة عامة على علامات خدمة Azure.
حماية البيانات
يحمي Data Lake Storage Gen1 بياناتك طوال دورة حياتها. بالنسبة للبيانات أثناء النقل، تستخدم Data Lake Storage Gen1 بروتوكول أمان طبقة النقل (TLS 1.2) المتوافق مع معايير الصناعة لتأمين البيانات عبر الشبكة.
يوفر Data Lake Storage Gen1 تشفير البيانات المخزنة في الحساب. يمكنك اختيار تشفير بياناتك أو اختيار عدم التشفير. إذا اشتركت في التشفير، تشفير البيانات المخزنة في Data Lake Storage Gen1 قبل تخزينها على الوسائط المستمرة. في مثل هذه الحالة ، يقوم Data Lake Storage Gen1 تلقائيا بتشفير البيانات قبل الاستمرار وفك تشفير البيانات قبل استرجاعها ، لذلك فهي شفافة تماما للعميل الذي يصل إلى البيانات. لا يوجد تغيير في التعليمات البرمجية مطلوب على جانب العميل لتشفير / فك تشفير البيانات.
لإدارة المفاتيح، يوفر Data Lake Storage Gen1 وضعين لإدارة مفاتيح التشفير الرئيسية (MEKs)، وهما مطلوبان لفك تشفير أي بيانات مخزنة في Data Lake Storage Gen1. يمكنك إما السماح Data Lake Storage Gen1 بإدارة مجاهدي خلق نيابة عنك، أو اختيار الاحتفاظ بملكية مجاهدي خلق باستخدام حساب Azure Key Vault الخاص بك. يمكنك تحديد وضع إدارة المفاتيح أثناء إنشاء حساب Data Lake Storage Gen1. لمزيد من المعلومات حول كيفية توفير التكوين المرتبط بالتشفير، راجع بدء استخدام Azure Data Lake Storage Gen1 باستخدام مدخل Azure.
سجلات النشاط والتشخيص
يمكنك استخدام سجلات النشاط أو التشخيص، بناء على ما إذا كنت تبحث عن سجلات للأنشطة المتعلقة بإدارة الحساب أو الأنشطة المتعلقة بالبيانات.
- تستخدم الأنشطة المتعلقة بإدارة الحساب واجهات برمجة تطبيقات Azure Resource Manager ويتم عرضها في مدخل Azure عبر سجلات الأنشطة.
- تستخدم الأنشطة المتعلقة بالبيانات واجهات برمجة تطبيقات WebHDFS REST ويتم عرضها في مدخل Azure عبر سجلات التشخيص.
سجل النشاط
للامتثال للوائح، قد تحتاج المنظمة إلى مسارات تدقيق كافية لأنشطة إدارة الحسابات إذا احتاجت إلى البحث في حوادث محددة. يحتوي Data Lake Storage Gen1 على مراقبة مضمنة ويسجل جميع أنشطة إدارة الحساب.
بالنسبة إلى مسارات تدقيق إدارة الحساب، يمكنك عرض الأعمدة التي تريد تسجيلها واختيارها. يمكنك أيضا تصدير سجلات النشاط إلى Azure Storage.
لمزيد من المعلومات حول استخدام سجلات الأنشطة، راجع عرض سجلات الأنشطة لتدقيق الإجراءات على الموارد.
سجلات التشخيص
يمكنك تمكين تدقيق الوصول إلى البيانات وتسجيل التشخيص في مدخل Azure وإرسال السجلات إلى حساب تخزين Azure Blob أو مركز أحداث أو سجلات Azure Monitor.
لمزيد من المعلومات حول استخدام السجلات التشخيصية باستخدام Data Lake Storage Gen1، راجع الوصول إلى السجلات التشخيصية للحصول على Data Lake Storage Gen1.
الملخص
يطلب عملاء المؤسسات منصة سحابية لتحليلات البيانات آمنة وسهلة الاستخدام. تم تصميم Data Lake Storage Gen1 للمساعدة في تلبية هذه المتطلبات من خلال إدارة الهوية والمصادقة عبر تكامل Azure Active Directory والتخويل المستند إلى ACL وعزل الشبكة وتشفير البيانات أثناء النقل وأثناء الراحة والتدقيق.
إذا كنت ترغب في رؤية ميزات جديدة في Data Lake Storage Gen1، فأرسل لنا ملاحظاتك في منتدى UserVoice Data Lake Storage Gen1.