Seguridad de red para Azure Data Explorer
Los clústeres de Azure Data Explorer están diseñados para ser accesibles mediante direcciones URL públicas. Cualquier persona con una identidad válida en un clúster puede acceder a este desde cualquier ubicación. La protección de datos puede ser una de las tareas más prioritarias para una organización. Para proteger a su organización, puede que desee limitar y proteger el acceso al clúster o, incluso, solo permitir el acceso al este a través de una red virtual privada. Para lograr este objetivo, puede usar una de las siguientes opciones:
- Punto de conexión privado (recomendado)
- Inserción en una red virtual (VNet)
Se recomienda encarecidamente usar puntos de conexión privados para proteger el acceso de red al clúster. Esta opción tiene muchas ventajas sobre la inserción de red virtual que da lugar a una sobrecarga de mantenimiento menor, incluido un proceso de implementación más sencillo y ser más sólido para los cambios de red virtual.
En la sección siguiente se explica cómo proteger el clúster mediante puntos de conexión privados e inserción de red virtual.
Punto de conexión privado
Un punto de conexión privado es una interfaz de red que usa direcciones IP privadas de la red virtual. Esta interfaz de red le conecta de forma privada y segura al clúster con la tecnología de Azure Private Link. Al habilitar un punto de conexión privado, incorpora el servicio a la red virtual.
Para implementar el clúster en un punto de conexión privado correctamente, solo necesitará un conjunto de direcciones IP privadas.
Nota
Los clúster insertados en una red virtual no admiten el uso de puntos de conexión privados.
Inserción de red virtual
Importante
Considere una solución basada en punto de conexión privado de Azure para implementar la seguridad de red con Azure Data Explorer. Es menos propenso a errores y proporciona paridad de características.
La inserción en una red virtual le permitirá implementar el clúster directamente en una red virtual. El clúster estará accesible de forma privada desde la propia red virtual, así como desde redes locales mediante una puerta de enlace de VPN o una instancia de Azure ExpressRoute. La inyección de un clúster en una red virtual le permite administrar todo su tráfico. Esto incluye el tráfico de acceso al clúster y a todas sus exportaciones o ingesta de datos. También tendrá la posibilidad de permitir que Microsoft acceda al clúster para su administración y el seguimiento de su estado.
Para insertar el clúster en una red virtual correctamente, deberá configurar la red virtual para que cumpla los siguientes requisitos:
- Deberá delegar la subred en Microsoft.Kusto/clusters para habilitar el servicio y definir las condiciones previas para su implementación en forma de directivas de intención de red.
- La subred deberá escalarse adecuadamente para que pueda admitir el crecimiento futuro del uso del clúster.
- Se requerirán dos direcciones IP públicas para administrar el clúster y asegurarse de que su estado de mantenimiento es correcto.
- De forma opcional, si usa un dispositivo de firewall adicional para proteger la red, deberá permitir que el clúster se conecte a un conjunto de nombres de dominio completos (FQDN) para el tráfico saliente.
Punto de conexión privado frente a inyección de red virtual
La inserción de red virtual puede provocar una sobrecarga de mantenimiento elevada, como resultado de detalles de implementación, como el mantenimiento de listas de FQDN en firewalls o la implementación de direcciones IP públicas en un entorno restringido. Por lo tanto, se recomienda usar un punto de conexión privado para conectarse al clúster.
En la siguiente tabla, se muestra cómo podrían implementarse características relacionadas con la seguridad de red enfocadas hacia un clúster insertado en una red virtual, o uno protegido mediante un punto de conexión privado.
| Característica | Punto de conexión privado | Inserción de red virtual |
|---|---|---|
| Filtrado de direcciones IP entrantes | Administración del acceso público | Creación de una regla de grupo de seguridad de red para tráfico entrante |
| Acceso transitivo a otros servicios (Storage, Event Hubs, etc.) | Creación de un punto de conexión privado administrado | Creación de un punto de conexión privado al recurso |
| Restricción del acceso al tráfico saliente | Use directivas de llamada o la propiedad AllowedFQDNList | Use una aplicación virtual para el tráfico saliente del filtro de la subred |
Contenido relacionado
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de