Übersicht über die Unternehmenssicherheit in Azure HDInsightOverview of enterprise security in Azure HDInsight

Azure HDInsight bietet eine Reihe von Methoden, um Ihre Sicherheitsanforderungen im Unternehmen zu erfüllen.Azure HDInsight offers a number of methods to address your enterprise security needs. Die meisten dieser Lösungen sind standardmäßig nicht aktiviert.Most of these solutions are not activated by default. Diese Flexibilität ermöglicht es Ihnen, die Sicherheitsfeatures auszuwählen, die für Sie am wichtigsten sind, und hilft Ihnen zu vermeiden, das Sie für nicht erforderliche Features bezahlen.This flexibility allows you to choose the security features that are most important to you, and helps you to avoid paying for features that you don't want. Dies bedeutet auch, dass Sie dafür verantwortlich sind, sicherzustellen, dass die richtigen Lösungen für Ihr Setup und Ihre Umgebung aktiviert sind.This also means that it is your responsibility to make sure that the correct solutions are enabled for your setup and environment.

Dieser Artikel befasst sich mit Sicherheitslösungen, indem die Sicherheitslösungen nach den vier traditionellen Sicherheitssäulen gegliedert werden: Umgebungssicherheit, Authentifizierung, Autorisierung und Verschlüsselung.This article looks at security solutions by dividing security solutions along the lines of four traditional security pillars: perimeter security, authentication, authorization, and encryption.

Dieser Artikel stellt auch das Azure HDInsight Enterprise-Sicherheitspaket (ESP) vor, das Active Directory-basierte Authentifizierung, Unterstützung mehrerer Benutzer und die rollenbasierte Zugriffssteuerung für HDInsight-Cluster bietet.This article also introduces the Azure HDInsight Enterprise Security Package (ESP), which provides Active Directory-based authentication, multi-user support, and role-based access control for HDInsight clusters.

Enterprise-SicherheitssäulenEnterprise security pillars

Eine Art der Betrachtung der Unternehmenssicherheit unterteilt Sicherheitslösungen in vier Hauptgruppen, die sich nach der Art der Kontrolle richten.One way of looking at enterprise security divides security solutions into four main groups based on the type of control. Diese Gruppen werden auch als Sicherheitssäulen bezeichnet und sind die folgenden: Umkreissicherheit, Authentifizierung, Autorisierung und Verschlüsselung.These groups are also called security pillars and are the following: perimeter security, authentication, authorization, and encryption.

UmgebungssicherheitPerimeter security

Die Umgebungssicherheit in HDInsight wird mithilfe von virtuellen Netzwerken erreicht.Perimeter security in HDInsight is achieved through virtual networks. Ein Unternehmensadministrator kann einen Cluster in einem virtuellen Netzwerk (VNET) erstellen und den Zugriff auf das virtuelle Netzwerk mithilfe von Netzwerksicherheitsgruppen (NSG) beschränken.An enterprise admin can create a cluster inside a virtual network(VNET) and use network security groups(NSG) to restrict access to the virtual network. Es können nur die zulässigen IP-Adressen in den eingehenden NSG-Regeln mit dem HDInsight-Cluster kommunizieren.Only the allowed IP addresses in the inbound NSG rules will be able to communicate with the HDInsight cluster. Diese Konfiguration bietet Umgebungssicherheit.This configuration provides perimeter security.

Alle Cluster, die in einem VNET bereitgestellt werden, verfügen auch über einen privaten Endpunkt, der sich auf eine private IP-Adresse innerhalb des VNET auflöst, um privaten HTTP-Zugriff auf die Clustergateways zu ermöglichen.All clusters deployed in a VNET will also have a private endpoint that resolves to a private IP inside the VNET for private HTTP access to the cluster gateways.

AuthenticationAuthentication

Das Enterprise-Sicherheitspaket von HDInsight unterstützt die Active Directory-basierte Authentifizierung, Unterstützung mehrerer Benutzer und rollenbasierte Zugriffssteuerung.The Enterprise Security Package from HDInsight provides Active Directory-based authentication, multi-user support, and role-based access control. Die Active Directory-Integration wird durch die Verwendung von Azure Active Directory Domain Services erreicht.The Active Directory integration is achieved through the use of Azure Active Directory Domain Services. Mit diesen Funktionen können Sie einen HDInsight-Cluster erstellen, der in eine verwaltete Active Directory-Domäne eingebunden ist.With these capabilities, you can create an HDInsight cluster that's joined to a managed Active Directory domain. Sie können dann eine Liste mit Mitarbeitern des Unternehmens konfigurieren, die eine Authentifizierung und Anmeldung am Cluster durchführen können.You can then configure a list of employees from the enterprise who can authenticate and sign in to the cluster.

In dieser Konfiguration können sich Mitarbeiter des Unternehmens mit ihren Domänenanmeldeinformationen bei den Clusterknoten anmelden.With this setup, enterprise employees can sign in to the cluster nodes by using their domain credentials. Darüber hinaus können sie sich mit ihren Domänenanmeldeinformationen auch bei anderen genehmigten Endpunkten wie Apache Ambari Views, ODBC, JDBC, PowerShell und REST-APIs authentifizieren, um mit dem Cluster zu interagieren.They can also use their domain credentials to authenticate with other approved endpoints like Apache Ambari Views, ODBC, JDBC, PowerShell, and REST APIs to interact with the cluster.

AuthorizationAuthorization

In den meisten Unternehmen hat es sich bewährt, dass nicht jeder Mitarbeiter Zugriff auf alle Unternehmensressourcen hat.A best practice that most enterprises follow is making sure that not every employee has access to all enterprise resources. Analog dazu kann der Administrator für die Clusterressourcen Richtlinien für die rollenbasierte Zugriffssteuerung definieren.Likewise, the admin can define role-based access control policies for the cluster resources. Dies ist nur in den ESP-Clustern verfügbar.This is only available in the ESP clusters.

Der Hadoop-Administrator kann die rollenbasierte Zugriffssteuerung (RBAC) konfigurieren, um Apache Hive, HBase und Kafka mit diesen Plug-Ins in Apache Ranger zu sichern.The hadoop admin can configure role-based access control (RBAC) to secure Apache Hive, HBase and Kafka using those plugins in Apache Ranger. Durch die Konfiguration von RBAC-Richtlinien können Sie Berechtigungen einer Rolle in der Organisation zuordnen.Configuring RBAC policies allows you to associate permissions with a role in the organization. Diese Abstraktionsebene erleichtert die Sicherstellung, dass Personen nur über die Berechtigungen verfügen, die sie zur Erfüllung ihrer beruflichen Aufgaben benötigen.This layer of abstraction makes it easier to ensure that people have only the permissions needed to perform their work responsibilities. Mit Ranger können Sie auch den Datenzugriff von Mitarbeitern und alle Änderungen an den Zugriffssteuerungsrichtlinien überwachen.Ranger also allows you to audit the data access of employees and any changes done to access control policies.

So kann der Administrator etwa Apache Ranger zum Festlegen von Zugriffssteuerungsrichtlinien für Hive konfigurieren.For example, the admin can configure Apache Ranger to set access control policies for Hive. Diese Funktionalität gewährleistet die Filterung auf Zeilen- und Spaltenebene (Datenmaskierung) und filtert die sensiblen Daten von nicht autorisierten Benutzern.This functionality ensures row-level and column-level filtering (data masking) and filters the sensitive data from unauthorized users.

ÜberwachungAuditing

Die Überwachung des gesamten Zugriffs auf die Clusterressourcen und der Daten ist erforderlich, um unbefugten oder versehentlichen Zugriff auf die Ressourcen nachzuverfolgen.Auditing of all access to the cluster resources, and the data, is necessary to track unauthorized or unintentional access of the resources. Dies ist ebenso wichtig wie der Schutz der HDInsight-Clusterressourcen vor nicht autorisierten Benutzern und das Sichern von Daten.It's as important as protecting the HDInsight cluster resources from unauthorized users and securing the data.

Der Administrator kann sämtliche Zugriffe auf die Ressourcen und Daten des HDInsight-Clusters anzeigen und entsprechende Berichte erstellen.The admin can view and report all access to the HDInsight cluster resources and data. Außerdem kann er sämtliche Änderungen an den Zugriffssteuerungsrichtlinien anzeigen, die an von Apache Ranger unterstützten Endpunkten vorgenommen werden, und entsprechende Berichte erstellen.The admin can also view and report all changes to the access control policies created in Apache Ranger supported endpoints.

Aktivieren Sie Azure Monitor, und zeigen Sie die Tabellen mit Überwachungsdatensätzen an, um auf Überwachungsprotokolle von Apache Ranger und Ambari sowie SSH-Zugriffsprotokolle zuzugreifen.To access Apache Ranger and Ambari audit logs as well as ssh access logs, enable Azure Monitor and view the tables that provide auditing records.

VerschlüsselungEncryption

Der Schutz von Daten ist wichtig, um die Sicherheits- und Compliance-Anforderungen des Unternehmens zu erfüllen.Protecting data is important for meeting organizational security and compliance requirements. Sie sollten den Zugriff auf Daten durch nicht autorisierte Mitarbeitern nicht nur beschränken, sondern Sie sollten diesen auch verschlüsseln.Along with restricting access to data from unauthorized employees, you should encrypt it.

Beide Datenspeicher für HDInsight-Cluster – Azure Blob Storage und Azure Data Lake Storage Gen1/Gen2 – unterstützen die transparente serverseitige Verschlüsselung von Daten im Ruhezustand.Both data stores for HDInsight clusters, Azure Blob storage and Azure Data Lake Storage Gen1/Gen2, support transparent server-side encryption of data at rest. Sichere HDInsight-Cluster arbeiten reibungslos mit dieser Funktion zur serverseitigen Verschlüsselung ruhender Daten zusammen.Secure HDInsight clusters will seamlessly work with this capability of server-side encryption of data at rest.

Modell der gemeinsamen ZuständigkeitShared responsibility model

Die folgende Abbildung fasst die wichtigsten Systemsicherheitsbereiche und die Sicherheitslösungen zusammen, die Ihnen in den einzelnen Bereichen zur Verfügung stehen.The following image summarizes the major system security areas and the security solutions that are available to you in each. Es wird auch hervorgehoben, welche Sicherheitsbereiche in Ihrer Verantwortung als Kunde und welche Bereiche in der Verantwortung von HDInsight als Dienstanbieter liegen.It also highlights which security areas are your responsibility as a customer and which areas are the responsibility of HDInsight as the service provider.

Diagramm zu den geteilten Verantwortlichkeiten von HDInsight

Die folgende Tabelle enthält Links zu Ressourcen für jede Art von Sicherheitslösung.The following table provides links to resources for each type of security solution.

SicherheitsbereichSecurity area Verfügbare LösungenSolutions available Verantwortliche ParteiResponsible party
DatenzugriffssicherheitData Access Security Konfigurieren von Zugriffssteuerungslisten (ACLs) für Azure Data Lake Storage Gen1 und Gen2Configure access control lists ACLs for Azure Data Lake Storage Gen1 and Gen2 KundeCustomer
Aktivieren der Eigenschaft Sichere Übertragung erforderlich für SpeicherkontenEnable the "Secure transfer required" property on storage accounts. KundeCustomer
Konfigurieren von Azure Storage-Firewalls und virtuellen NetzwerkenConfigure Azure Storage firewalls and virtual networks KundeCustomer
Konfigurieren von Azure Virtual Network-Dienstendpunkten für Cosmos DB und Azure SQL-DatenbankConfigure Azure virtual network service endpoints for Cosmos DB and Azure SQL DB KundeCustomer
Sicherstellen, dass die TLS-Verschlüsselung für Daten während der Übertragung aktiviert istEnsure TLS encryption is enabled for data in transit. KundeCustomer
Konfigurieren von Kunden verwalteter Schlüssel für die Azure Storage-VerschlüsselungConfigure customer-managed keys for Azure Storage encryption KundeCustomer
Anwendungs- und Middleware-SicherheitApplication and middleware security Integrieren mit AAD-DS und Konfigurieren der AuthentifizierungIntegrate with AAD-DS and Configure Authentication KundeCustomer
Konfigurieren der Richtlinien für die Apache Ranger-AutorisierungConfigure Apache Ranger Authorization policies KundeCustomer
Verwenden von Azure Monitor-ProtokollenUse Azure Monitor logs KundeCustomer
BetriebssystemsicherheitOperating system security Erstellen von Clustern mit dem aktuellsten sicheren BasisimageCreate clusters with most recent secure base image KundeCustomer
Sicherstellen, dass das Betriebssystempatching in regelmäßigen Abständen durchgeführt wirdEnsure OS Patching on regular intervals KundeCustomer
NetzwerksicherheitNetwork security Konfigurieren eines virtuellen NetzwerksConfigure a virtual network
Konfigurieren eingehender NSG-Regeln (Netzwerksicherheitsgruppe)Configure Inbound network security group (NSG) rules KundeCustomer
Konfigurieren einer ausgehenden Datenverkehrseinschränkung mit Firewall (Vorschauversion)Configure Outbound traffic restriction with Firewall (preview) KundeCustomer
Virtualisierte InfrastrukturVirtualized infrastructure N/A HDInsight (Cloudanbieter)HDInsight (Cloud provider)
Sicherheit der physischen InfrastrukturPhysical infrastructure security N/A HDInsight (Cloudanbieter)HDInsight (cloud provider)

Nächste SchritteNext steps