Přehled podnikového zabezpečení ve službě Azure HDInsight
Azure HDInsight nabízí řadu metod pro řešení vašich potřeb podnikového zabezpečení. Většina těchto řešení není ve výchozím nastavení aktivována. Tato flexibilita vám umožní zvolit funkce zabezpečení, které jsou pro vás nejdůležitější, a pomůže vám vyhnout se placení funkcí, které nechcete. Tato flexibilita také znamená, že je vaší zodpovědností zajistit, aby byla pro vaše nastavení a prostředí povolena správná řešení.
Tento článek popisuje řešení zabezpečení a dělí řešení zabezpečení na čtyři tradiční pilíře zabezpečení: hraniční zabezpečení, ověřování, autorizace a šifrování.
Tento článek také zavádí Azure HDInsight balíček zabezpečení podniku (ESP), která poskytuje ověřování založené na službě Active Directory, podporu více uživatelů a řízení přístupu na základě rolí pro clustery HDInsight.
Pilíře podnikového zabezpečení
Jedním ze způsobů, jak hledat v podnikovém zabezpečení, jsou řešení zabezpečení rozdělená do čtyř hlavních skupin na základě typu ovládacího prvku. Tyto skupiny se označují také jako pilíře zabezpečení a jsou to tyto typy: zabezpečení, ověřování, autorizace a šifrování v hraniční síti.
Zabezpečení hraničních
Hraniční zabezpečení v HDInsight se dosahuje pomocí virtuálních sítí. Podnikový správce může vytvořit cluster ve virtuální síti (VNET) a používat skupiny zabezpečení sítě (NSG) k omezení přístupu k virtuální síti. S clusterem HDInsight můžou komunikovat jenom povolené IP adresy v příchozích NSG pravidlech. Tato konfigurace poskytuje hraniční zabezpečení.
Všechny clustery nasazené ve virtuální síti budou mít také privátní koncový bod. Koncový bod se přeloží na soukromou IP adresu v rámci virtuální sítě pro privátní přístup HTTP ke branám clusteru.
Authentication
Balíček zabezpečení podniku ze služby HDInsight poskytuje ověřování založené na službě Active Directory, podporu více uživatelů a řízení přístupu na základě rolí. Integrace služby Active Directory se dosahuje pomocí Azure Active Directory Domain Services. S těmito možnostmi můžete vytvořit cluster HDInsight připojený k doméně služby Active Directory. Pak nakonfigurujte seznam zaměstnanců z podnikového, který se může ověřit v clusteru.
V rámci této instalace se zaměstnanci v podniku můžou přihlašovat k uzlům clusteru pomocí svých přihlašovacích údajů do domény. Můžou také použít svoje přihlašovací údaje do domény k ověření s jinými schválenými koncovými body. Podobně jako zobrazení Apache Ambari, rozhraní ODBC, JDBC, PowerShell a rozhraní REST API pro interakci s clusterem.
Autorizace
V souladu s osvědčenými postupy se zajišťují, že ne každý zaměstnanec má úplný přístup ke všem podnikovým prostředkům. Správce může podobně definovat zásady řízení přístupu na základě rolí pro prostředky clusteru. Tato akce je k dispozici pouze v clusterech ESP.
Správce Hadoop může nakonfigurovat řízení přístupu na základě role (RBAC). Konfigurace zabezpečeného podregistruApache, HBAa Kafka s moduly plug-in Apache Ranger. Konfigurace zásad RBAC vám umožní přidružit oprávnění k roli v organizaci. Tato vrstva abstrakce usnadňuje zajištění, že uživatelé mají pouze oprávnění potřebná k tomu, aby mohli provádět své pracovní úkoly. Ranger také umožňuje auditovat přístup k datům zaměstnanců a jakékoli změny provedené v zásadách řízení přístupu.
Správce může například nakonfigurovat Apache Ranger, aby nastavil zásady řízení přístupu pro Hive. Tato funkce zajišťuje filtrování na úrovni řádků a sloupců (maskování dat). A filtruje citlivá data od neautorizovaných uživatelů.
Auditování
Auditování přístupu k prostředkům clusteru je nezbytné ke sledování neautorizovaného nebo neúmyslného přístupu k prostředkům. Je to důležité jako ochrana prostředků clusteru před neoprávněným přístupem.
Správce může zobrazit a ohlásit veškerý přístup k prostředkům a datům clusteru HDInsight. Správce může zobrazit a ohlásit změny v zásadách řízení přístupu.
Pro přístup k protokolům auditu Apache Ranger a Ambari a k protokolům přístupu SSH povolte Azure monitor a zobrazte tabulky, které poskytují záznamy auditování.
Šifrování
Ochrana dat je důležitá pro splnění požadavků organizace na zabezpečení a dodržování předpisů. Společně s omezením přístupu k datům z neautorizovaných zaměstnanců byste ji měli zašifrovat.
HDInsight podporuje šifrování dat v klidovém umístění s použitím spravovaných i zákaznických klíčůspravovaných platformou. Šifrování dat při přenosu se zpracovává pomocí TLS i IPSec. Další informace najdete v tématu šifrování při přenosu pro Azure HDInsight .
Dodržování předpisů
Nabídky dodržování předpisů Azure vycházejí z různých typů ujištění, včetně formálních certifikací. Také ověření identity, ověřování a autorizace. Posouzení vytvářené nezávisle auditory třetích stran. Smluvní změny, samy posouzení a dokumenty o doporučení pro zákazníky, které vytvořil Microsoft. Informace o kompatibilitě HDInsight najdete na webu Microsoft Trust Center a v tématu přehled dodržování předpisů Microsoft Azure.
Model sdílené odpovědnosti
Následující obrázek shrnuje hlavní oblasti zabezpečení systému a řešení zabezpečení, která jsou pro vás k dispozici. Také zvýrazňuje, které oblasti zabezpečení jsou vaší zodpovědností jako zákazník. A které oblasti jsou zodpovědností služby HDInsight jako poskytovatele služeb.
Následující tabulka obsahuje odkazy na prostředky pro jednotlivé typy řešení zabezpečení.
| Oblast zabezpečení | Dostupná řešení | Zodpovědná strana |
|---|---|---|
| Zabezpečení přístupu k datům | Konfigurace seznamů řízení přístupu seznamy ACL pro Azure Data Lake Storage Gen1 a Gen2 | Zákazník |
| U účtů úložiště Povolte vlastnost "vyžaduje zabezpečený přenos" . | Zákazník | |
| Konfigurace Azure Storage bran firewall a virtuálních sítí | Zákazník | |
| Konfigurace koncových bodů služby virtuální sítě Azure pro Cosmos DB a Azure SQL DB | Zákazník | |
| Zajistěte, aby funkce šifrování v rámci přenosu povolila používání protokolu TLS a protokolu IPSec pro komunikaci mezi clustery. | Zákazník | |
| Konfigurace klíčů spravovaných zákazníkem pro šifrování Azure Storage | Zákazník | |
| Řízení přístupu k datům prostřednictvím podpory Azure pomocí bezpečnostního modulu zákazníka | Zákazník | |
| Zabezpečení aplikací a middlewaru | Integrace s AAD-DS a Konfigurace protokolu ESP nebo použití Hib pro ověřování OAuth | Zákazník |
| Konfigurace zásad autorizace Apache Ranger | Zákazník | |
| Použití protokolů Azure monitor | Zákazník | |
| Zabezpečení operačního systému | Vytváření clusterů s nejnovější zabezpečenou základní imagí | Zákazník |
| Zajistěte, aby byly opravy operačního systému v pravidelných intervalech | Zákazník | |
| Zajištění CMKho šifrování disků pro virtuální počítače | Zákazník | |
| Zabezpečení sítě | Konfigurace virtuální sítě | |
| Konfigurace pravidel skupiny zabezpečení příchozí sítě (NSG) nebo privátního odkazu | Zákazník | |
| Konfigurace omezení odchozích přenosů pomocí brány firewall | Zákazník | |
| Konfigurace šifrování IPSec při přenosu mezi uzly clusteru | Zákazník | |
| Virtualizovaná infrastruktura | – | HDInsight (poskytovatel cloudu) |
| Zabezpečení fyzické infrastruktury | – | HDInsight (poskytovatel cloudu) |