Biztonság Azure Data Lake Storage Gen1-ben
Számos vállalat használja ki az üzleti elemzésekhez készült big data-elemzések előnyeit, hogy intelligens döntéseket hozhassanak. Előfordulhat, hogy egy szervezet összetett és szabályozott környezettel rendelkezik, és egyre több különböző felhasználóval rendelkezik. A vállalatok számára elengedhetetlen, hogy a kritikus fontosságú üzleti adatok biztonságosabban legyenek tárolva, az egyes felhasználók számára megfelelő szintű hozzáféréssel. Azure Data Lake Storage Gen1 úgy lett kialakítva, hogy megfeleljen ezeknek a biztonsági követelményeknek. Ebben a cikkben megismerheti a Data Lake Storage Gen1 biztonsági képességeit, többek között a következőket:
- Hitelesítés
- Engedélyezés
- Hálózatelkülönítés
- Adatvédelem
- Naplózás
Hitelesítés és identitáskezelés
A hitelesítés az a folyamat, amellyel a felhasználó identitását ellenőrzi a rendszer, amikor a felhasználó Data Lake Storage Gen1 vagy bármely olyan szolgáltatással kommunikál, amely Data Lake Storage Gen1 csatlakozik. Az identitáskezeléshez és a hitelesítéshez Data Lake Storage Gen1 a Microsoft Entra ID, egy átfogó identitás- és hozzáférés-kezelési felhőmegoldást használ, amely leegyszerűsíti a felhasználók és csoportok kezelését.
Minden Azure-előfizetés társítható egy Microsoft Entra ID-példányhoz. Csak a Microsoft Entra szolgáltatásban definiált felhasználók és szolgáltatásidentitások férhetnek hozzá a Data Lake Storage Gen1 fiókjához a Azure Portal, parancssori eszközök vagy a szervezet által a Data Lake Storage Gen1 SDK használatával létrehozott ügyfélalkalmazások használatával. A Microsoft Entra ID központi hozzáférés-vezérlési mechanizmusként való használatának fő előnyei a következők:
- Egyszerűsített identitáséletciklus-kezelés. Egy felhasználó vagy szolgáltatás identitása (szolgáltatásnév-identitás) gyorsan létrehozható és gyorsan visszavonható, ha egyszerűen törli vagy letiltja a fiókot a címtárban.
- Többtényezős hitelesítés. A többtényezős hitelesítés további biztonsági réteget biztosít a felhasználói bejelentkezésekhez és tranzakciókhoz.
- Hitelesítés bármely ügyféltől standard nyílt protokollon keresztül, például OAuth vagy OpenID.
- Összevonás vállalati címtárszolgáltatásokkal és felhőalapú identitásszolgáltatókkal.
Engedélyezés és hozzáférés-vezérlés
Miután Microsoft Entra hitelesít egy felhasználót, hogy a felhasználó hozzáférhessen Data Lake Storage Gen1, az engedélyezés szabályozza Data Lake Storage Gen1 hozzáférési engedélyeit. Data Lake Storage Gen1 a fiókhoz és az adatokhoz kapcsolódó tevékenységek engedélyezését a következő módon választja el:
- Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) fiókkezeléshez
- POSIX ACL az áruházban lévő adatok eléréséhez
Azure RBAC fiókkezeléshez
Alapértelmezés szerint négy alapvető szerepkör van definiálva a Data Lake Storage Gen1 számára. A szerepkörök különböző műveleteket engedélyeznek egy Data Lake Storage Gen1-fiókon a Azure Portal, a PowerShell-parancsmagok és a REST API-k segítségével. A tulajdonosi és közreműködői szerepkörök számos felügyeleti funkciót hajthatnak végre a fiókon. Az Olvasó szerepkört hozzárendelheti azokhoz a felhasználókhoz, akik csak a fiókkezelési adatokat tekintik meg.
Vegye figyelembe, hogy bár a szerepkörök a fiókkezeléshez vannak hozzárendelve, egyes szerepkörök hatással vannak az adatokhoz való hozzáférésre. Az ACL-eket kell használnia a felhasználó által a fájlrendszerben végrehajtható műveletekhez való hozzáférés szabályozásához. Az alábbi táblázat az alapértelmezett szerepkörök felügyeleti jogosultságainak és adathozzáférési jogosultságainak összegzését mutatja be.
| Szerepkörök | Felügyeleti jogosultságok | Adathozzáférési jogosultságok | Magyarázat |
|---|---|---|---|
| Nincs hozzárendelve szerepkör | None | Az ACL szabályozza | A felhasználó nem használhatja a Azure Portal vagy Azure PowerShell parancsmagokat a Data Lake Storage Gen1 böngészéséhez. A felhasználó csak parancssori eszközöket használhat. |
| Tulajdonos | Mind | Mind | A Tulajdonos szerepkör egy felügyelő. Ez a szerepkör mindent képes kezelni, és teljes hozzáféréssel rendelkezik az adatokhoz. |
| Olvasó | Csak olvasható | Az ACL szabályozza | Az Olvasó szerepkör mindent megtekinthet a fiókkezeléssel kapcsolatban, például azt, hogy melyik felhasználó melyik szerepkörhöz van hozzárendelve. Az Olvasó szerepkör nem tud módosításokat végezni. |
| Közreműködő | Szerepkörök hozzáadása és eltávolítása kivételével | Az ACL szabályozza | A Közreműködő szerepkör kezelheti a fiókok bizonyos aspektusait, például az üzembe helyezéseket, valamint a riasztások létrehozását és kezelését. A Közreműködő szerepkör nem tud szerepköröket hozzáadni vagy eltávolítani. |
| Felhasználói hozzáférés rendszergazdája | Szerepkörök hozzáadása és eltávolítása | Az ACL szabályozza | A Felhasználói hozzáférés rendszergazdája szerepkör kezelheti a fiókokhoz való felhasználói hozzáférést. |
Útmutatásért lásd: Felhasználók vagy biztonsági csoportok hozzárendelése Data Lake Storage Gen1 fiókokhoz.
ACL-ek használata fájlrendszereken végzett műveletekhez
Data Lake Storage Gen1 egy hierarchikus fájlrendszer, például a Hadoop Elosztott fájlrendszer (HDFS), és támogatja a POSIX ACL-eket. Szabályozza az olvasási (r), írási (w) és végrehajtási (x) engedélyeket a Tulajdonos szerepkör erőforrásaihoz, a Tulajdonosok csoporthoz, valamint a többi felhasználóhoz és csoporthoz. A Data Lake Storage Gen1 ACL-ek engedélyezhetők a gyökérmappában, az almappákban és az egyes fájlokon. Az ACL-ek Data Lake Storage Gen1 környezetben való működésével kapcsolatos további információkért lásd: Hozzáférés-vezérlés a Data Lake Storage Gen1.
Javasoljuk, hogy biztonsági csoportok használatával definiáljon ACL-eket több felhasználó számára. Adjon hozzá felhasználókat egy biztonsági csoporthoz, majd rendelje hozzá a fájlhoz vagy mappához tartozó ACL-eket. Ez akkor hasznos, ha hozzárendelt engedélyeket szeretne megadni, mert a hozzárendelt engedélyekhez legfeljebb 28 bejegyzés adható meg. A Data Lake Storage Gen1-ben tárolt adatok Microsoft Entra biztonsági csoportok használatával történő hatékonyabb védelméről további információt a Felhasználók vagy biztonsági csoportok hozzárendelése ACL-ként a Data Lake Storage Gen1 fájlrendszerhez című témakörben talál.
Hálózatelkülönítés
A Data Lake Storage Gen1 segítségével szabályozhatja az adattárhoz való hozzáférést a hálózati szinten. Létrehozhat tűzfalakat, és meghatározhat egy IP-címtartományt a megbízható ügyfelek számára. Ip-címtartomány esetén csak a megadott tartományon belüli IP-címmel rendelkező ügyfelek csatlakozhatnak Data Lake Storage Gen1.
Az Azure-beli virtuális hálózatok (VNet) támogatják a Data Lake Gen 1 szolgáltatáscímkéinek használatát. A szolgáltatáscímke egy adott Azure-szolgáltatás IP-címelőtagjainak egy csoportját jelöli. A Microsoft kezeli a szolgáltatáscímke által lefedett címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor. További információ: Azure-szolgáltatáscímkék áttekintése.
Adatvédelem
Data Lake Storage Gen1 védi az adatokat az életciklusa során. Az átvitt adatok esetében Data Lake Storage Gen1 az iparági szabványnak megfelelő Transport Layer Security (TLS 1.2) protokollt használja az adatok hálózaton keresztüli védelméhez.
Data Lake Storage Gen1 a fiókban tárolt adatok titkosítását is biztosítja. Dönthet úgy, hogy titkosítja az adatokat, vagy választhatja a titkosítás nélküli lehetőséget. Ha a titkosítást választja, a Data Lake Storage Gen1 tárolt adatok titkosítva lesznek az állandó adathordozókon való tárolás előtt. Ilyen esetben Data Lake Storage Gen1 automatikusan titkosítja az adatokat az adatok megőrzése és visszafejtése előtt a lekérés előtt, így teljesen átlátható az adatokhoz hozzáférő ügyfél számára. Az ügyféloldalon nincs szükség kódmódosításra az adatok titkosításához/visszafejtéséhez.
A kulcskezeléshez a Data Lake Storage Gen1 két módot biztosít a fő titkosítási kulcsok (MEK-k) kezeléséhez, amelyek a Data Lake Storage Gen1 tárolt adatok visszafejtéséhez szükségesek. Engedélyezheti Data Lake Storage Gen1 számára a MEK-k kezelését, vagy megtarthatja a MEK-k tulajdonjogát az Azure Key Vault-fiókjával. A kulcskezelés módját Data Lake Storage Gen1-fiók létrehozásakor adja meg. A titkosítással kapcsolatos konfigurációk biztosításáról az Első lépések Azure Data Lake Storage Gen1 használatával az Azure Portalon című témakörben talál további információt.
Tevékenység és diagnosztikai naplók
A tevékenység- vagy diagnosztikai naplókat attól függően használhatja, hogy fiókkezeléssel vagy adattal kapcsolatos tevékenységekhez keres naplókat.
- A fiókkezeléssel kapcsolatos tevékenységek Azure Resource Manager API-kat használnak, és tevékenységnaplókon keresztül jelennek meg a Azure Portal.
- Az adathoz kapcsolódó tevékenységek WebHDFS REST API-kat használnak, és diagnosztikai naplókon keresztül jelennek meg a Azure Portal.
Tevékenységnapló
A szabályozásoknak való megfelelés érdekében a szervezetnek megfelelő naplózási naplókra lehet szüksége a fiókkezelési tevékenységekről, ha konkrét incidenseket kell feltárnia. Data Lake Storage Gen1 beépített monitorozással rendelkezik, és naplózza az összes fiókkezelési tevékenységet.
A fiókkezelési auditnaplókhoz tekintse meg és válassza ki a naplózni kívánt oszlopokat. A tevékenységnaplókat az Azure Storage-ba is exportálhatja.
A tevékenységnaplók használatával kapcsolatos további információkért lásd: Tevékenységnaplók megtekintése az erőforrásokon végzett műveletek naplózásához.
Diagnosztikai naplók
Engedélyezheti az adathozzáférés naplózását és a diagnosztikai naplózást a Azure Portal, és elküldheti a naplókat egy Azure Blob Storage-fiókba, egy eseményközpontba vagy az Azure Monitor-naplókba.
A diagnosztikai naplók Data Lake Storage Gen1 való használatával kapcsolatos további információkért lásd: Diagnosztikai naplók elérése Data Lake Storage Gen1.
Összefoglalás
A nagyvállalati ügyfelek biztonságos és könnyen használható adatelemzési felhőplatformot igényelnek. A Data Lake Storage Gen1 célja, hogy segítse ezeket a követelményeket identitáskezeléssel és hitelesítéssel Microsoft Entra integráció, ACL-alapú engedélyezés, hálózatelkülönítés, adatátviteli és inaktív adattitkosítás, valamint naplózás útján.
Ha új funkciókat szeretne látni Data Lake Storage Gen1, küldje el visszajelzését a Data Lake Storage Gen1 UserVoice fórumon.