Sécurité réseau pour Azure Data Explorer
Les clusters Azure Data Explorer sont conçus pour être accessibles via des URL publiques. Tout utilisateur disposant d’une identité valide sur un cluster peut y accéder à partir de n’importe quel emplacement. La sécurisation des données peut être l’une de vos tâches prioritaires en tant qu’organisation. Ainsi, vous pouvez limiter et sécuriser l’accès à votre cluster, ou même autoriser uniquement l’accès à votre cluster via votre réseau virtuel privé. Pour atteindre cet objectif, vous pouvez utiliser l’une des options suivantes :
Nous vous recommandons vivement d’utiliser des points de terminaison privés pour sécuriser l’accès réseau à votre cluster. Cette option présente de nombreux avantages par rapport à l’injection sur réseau virtuel car elle réduit la surcharge de maintenance, avec notamment un processus de déploiement plus simple et une plus grande robustesse aux changements de réseau virtuel.
La section suivante explique comment sécuriser votre cluster avec des points de terminaison privés et l’injection sur réseau virtuel.
Point de terminaison privé
Un point de terminaison privé est une interface réseau qui utilise des adresses IP privées de votre réseau virtuel. Cette interface réseau vous connecte de manière privée et sécurisée à votre cluster avec Azure Private Link. En activant un point de terminaison privé, vous intégrez le service à votre réseau virtuel.
Pour déployer correctement votre cluster dans un point de terminaison privé, vous avez besoin uniquement d’un ensemble d’adresses IP privées.
Notes
Les points de terminaison privés ne sont pas pris en charge pour un cluster injecté dans un réseau virtuel.
Injection sur le réseau virtuel
Important
Envisagez une solution basée sur un point de terminaison privé Azure pour implémenter la sécurité réseau avec Azure Data Explorer. Elle est moins sujette aux erreurs et fournit une parité des fonctionnalités.
L’injection sur le réseau virtuel vous permet de déployer directement votre cluster dans un réseau virtuel. Le cluster est accessible en privé au sein du réseau virtuel et via une passerelle VPN, ou via Azure ExpressRoute à partir de réseaux locaux. L’injection d’un cluster dans un réseau virtuel vous permet de gérer tout son trafic. Cela inclut le trafic permettant d’accéder au cluster et à toutes ses exportations ou ingestion de données. En outre, vous êtes responsable de permettre à Microsoft d’accéder au cluster pour la gestion et le monitoring de l’intégrité.
Pour injecter correctement votre cluster dans un réseau virtuel, vous devez configurer votre réseau virtuel afin de répondre aux exigences suivantes :
- Vous devez déléguer le sous-réseau à Microsoft.Kusto/clusters pour activer le service et définir ses conditions préalables pour le déploiement sous la forme de stratégies d’intention de réseau
- Le sous-réseau doit être mis à l’échelle correctement pour prendre en charge la croissance future de l’utilisation du cluster
- Deux adresses IP publiques sont requises pour gérer le cluster et s’assurer qu’il est sain
- Éventuellement, si vous utilisez une appliance de pare-feu supplémentaire pour sécuriser votre réseau, vous devez autoriser votre cluster à se connecter à un ensemble de noms de domaine complets (FQDN) pour le trafic sortant
Injection de point de terminaison privé ou de réseau virtuel
L’injection de réseau virtuel peut entraîner une surcharge de maintenance élevée, en raison de détails d’implémentation tels que la gestion des listes de noms de domaine complets dans les pare-feu ou le déploiement d’adresses IP publiques dans un environnement restreint. Par conséquent, nous vous recommandons d’utiliser un point de terminaison privé pour vous connecter à votre cluster.
Le tableau suivant montre comment les fonctionnalités liées à la sécurité réseau peuvent être implémentées s’il s’agit d’un cluster injecté dans un réseau virtuel ou sécurisé via un point de terminaison privé.
| Fonctionnalité | Point de terminaison privé | Injection sur le réseau virtuel |
|---|---|---|
| Filtrage d’adresse IP entrante | Gérer l’accès public | Créer une règle de groupe de sécurité réseau de trafic entrant |
| Accès transitif à d’autres services (Stockage, Event Hubs, etc.) | Créer un point de terminaison privé managé | Créer un point de terminaison privé vers la ressource |
| Restriction de l’accès sortant | Utiliser des stratégies de légende ou AllowedFQDNList | Utiliser une appliance virtuelle pour filtrer le trafic sortant du sous-réseau |
Contenu connexe
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour