Gambaran umum keamanan perusahaan di Microsoft Azure HDInsight

Azure HDInsight menawarkan sejumlah metode untuk memenuhi kebutuhan keamanan perusahaan Anda. Sebagian besar solusi ini tidak diaktifkan secara default. Fleksibilitas ini memungkinkan Anda untuk memilih fitur keamanan yang paling penting bagi Anda dan membantu Anda menghindari membayar fitur yang tidak Anda inginkan. Fleksibilitas ini juga berarti Anda bertanggung jawab untuk memastikan solusi yang benar diaktifkan untuk pengaturan dan lingkungan Anda.

Artikel ini membahas solusi keamanan dengan membagi solusi keamanan menjadi empat pilar keamanan tradisional: keamanan perimeter, autentikasi, otorisasi, dan enkripsi.

Artikel ini juga memperkenalkan Paket Keamanan Perusahaan Azure HDInsight (ESP)yang menyediakan autentikasi berbasis Direktori Aktif, dukungan multi-pengguna, dan kontrol akses berbasis peran untuk kluster HDInsight.

Pilar keamanan perusahaan

Salah satu cara mengamati keamanan perusahaan yaitu dengan membagi solusi keamanan menjadi empat kelompok utama berdasarkan jenis kontrol. Kelompok-kelompok ini juga disebut pilar keamanan yang terdiri dari jenis berikut: keamanan perimeter autentikasi, otorisasi, dan enkripsi.

Keamanan perimeter

Keamanan perimeter di HDInsight dicapai melalui jaringan virtual. Admin perusahaan dapat membuat kluster di dalam jaringan virtual (VNET) dan menggunakan NSG (network security groups/grup keamanan jaringan) untuk membatasi akses ke jaringan virtual. Hanya alamat IP yang diizinkan dalam aturan NSG masuk yang dapat berkomunikasi dengan kluster HDInsight. Konfigurasi ini menyediakan keamanan perimeter.

Semua kluster yang diterapkan di VNET juga akan memiliki titik akhir privat. Titik akhir mendorong IP privat di dalam VNET untuk memberikan akses HTTP pribadi bagi gateway kluster.

Autentikasi

Paket Keamanan Perusahaan dari HDInsight menyediakan autentikasi berbasis Direktori Aktif, dukungan multi-pengguna, dan kontrol akses berbasis peran. Integrasi Direktori Aktif dicapai melalui penggunaan Microsoft Entra Domain Services. Dengan kemampuan ini, Anda dapat membuat kluster HDInsight yang digabung dengan domain Direktori Aktif. Kemudian konfigurasikan daftar karyawan dari perusahaan yang dapat mengautentikasi ke kluster.

Dengan pengaturan ini, karyawan perusahaan dapat masuk ke node kluster dengan menggunakan kredensial domain mereka. Mereka juga dapat menggunakan kredensial domain mereka untuk autentikasi dengan titik akhir lain yang disetujui. Seperti Apache Ambari Views, ODBC, JDBC, PowerShell, dan REST API untuk berinteraksi dengan kluster.

Authorization

Praktik terbaik yang diikuti sebagian besar perusahaan adalah memastikan bahwa tidak setiap karyawan memiliki akses penuh ke semua sumber daya perusahaan. Demikian juga, admin dapat menentukan kebijakan kontrol akses berbasis peran untuk sumber daya kluster. Tindakan ini hanya tersedia di kluster ESP.

Admin Hadoop dapat mengkonfigurasi RBAC (role-based access control/kontrol akses berbasis peran). Konfigurasi mengamankan Apache Hive, HBase, dan Kafka dengan plugin Apache Ranger. Mengkonfigurasi kebijakan RBAC memungkinkan Anda untuk mengaitkan izin dengan peran dalam organisasi. Lapisan abstraksi ini memudahkan untuk memastikan bahwa karyawan hanya memiliki izin yang diperlukan untuk melakukan tanggung jawab kerja mereka. Ranger juga memungkinkan Anda untuk mengaudit akses data karyawan dan setiap perubahan yang dilakukan untuk mengakses kebijakan kontrol.

Misalnya, admin dapat mengkonfigurasi Apache Ranger untuk mengatur kebijakan kontrol akses untuk Apache Hive. Fungsionalitas ini memastikan pemfilteran tingkat baris dan tingkat kolom (masking data). Dan memfilter data sensitif dari pengguna yang tidak berwenang.

Audit

Mengaudit akses sumber daya kluster diperlukan untuk melacak akses sumber daya yang tidak berwenang atau tidak disengaja. Hal ini sama pentingnya dengan melindungi sumber daya kluster dari akses yang tidak berwenang.

Admin dapat melihat dan melaporkan semua akses ke sumber daya dan data kluster HDInsight. Admin dapat melihat dan melaporkan perubahan pada kebijakan kontrol akses.

Untuk mengakses log audit Apache Ranger dan Ambari, dan log akses ssh, aktifkan Azure Monitor dan tampilkan tabel yang menyediakan catatan audit.

Enkripsi

Melindungi data juga penting untuk memenuhi persyaratan keamanan dan kepatuhan organisasi. Seiring dengan pembatasan akses ke data dari karyawan yang tidak berwenang, Anda juga harus mengenkripsinya.

HDInsight mendukung enkripsi data saat tidak aktif dengan kunci yang dikelola platform dan dikelola pelanggan. Enkripsi data dalam transit ditangani dengan TLS dan IPSec. Lihat Enkripsi saat transit untuk Azure HDInsight untuk informasi selengkapnya.

Kepatuhan

Penawaran kepatuhan Azure didasarkan pada berbagai jenis jaminan, termasuk sertifikasi formal. Juga, pengesahan, validasi, dan otorisasi. Penilaian dihasilkan oleh perusahaan audit pihak ketiga yang independen. Amandemen kontraktual, penilaian mandiri, dan dokumen panduan pelanggan dibuat oleh Microsoft. Untuk informasi kepatuhan HDInsight, lihat Pusat Kepercayaan Microsoft.

Model tanggung jawab bersama

Gambar berikut ini merangkum area keamanan sistem utama dan solusi keamanan yang masing-masing tersedia untuk Anda. Gambar ini juga menyoroti area keamanan mana yang menjadi tanggung jawab Anda sebagai pelanggan. Dan area mana yang menjadi tanggung jawab HDInsight sebagai penyedia layanan.

HDInsight shared responsibilities diagram.

Tabel berikut ini menyediakan tautan ke sumber daya untuk tiap-tiap tipe solusi keamanan.

Area keamanan Solusi tersedia Pihak yang bertanggung jawab
Keamanan Akses Data KonfigurasikanACL daftar kontrol akses untuk Azure Data Lake Storage Gen1 dan Gen2 Pelanggan
Aktifkan properti "Transfer aman diperlukan" pada akun penyimpanan. Pelanggan
Konfigurasikan firewall Azure Storage dan jaringan virtual Pelanggan
Mengonfigurasi titik akhir layanan jaringan virtual Azure untuk Azure Cosmos DB dan Azure SQL DB Pelanggan
Pastikan bahwa fitur Enkripsi dalam transit diaktifkan untuk menggunakan TLS dan IPSec untuk komunikasi intra-kluster. Pelanggan
KonfigurasikanKunci yang dikelola pelanggan untuk enkripsi Azure Storage Pelanggan
Kontrol akses ke data Anda dengan dukungan Azure menggunakan kotak kunci Pelanggan Pelanggan
Keamanan aplikasi dan middleware Mengintegrasikan dengan Microsoft Entra Domain Services dan Mengonfigurasi ESP atau menggunakan HIB untuk Autentikasi OAuth Pelanggan
Konfigurasikan kebijakan Otorisasi Apache Ranger Pelanggan
Gunakan log Azure Monitor Pelanggan
Keamanan sistem operasi Buat kluster dengan gambar dasar aman terbaru Pelanggan
Pastikan Patching OS pada interval berkala Pelanggan
Pastikan enkripsi disk CMK untuk komputer virtual Pelanggan
Keamanan jaringan Konfigurasikan jaringan virtual
KonfigurasikanAturan NSG (network security group/grup keamanan jaringan masuk) atau tautan privat Pelanggan
KonfigurasikanPembatasan lalu lintas keluar dengan Firewall Pelanggan
Konfigurasikan enkripsi IPSec dalam transit antar node kluster Pelanggan
Infrastruktur yang divirtualisasi T/A HDInsight (Penyedia cloud)
Keamanan infrastruktur fisik T/A HDInsight (Penyedia cloud)

Langkah berikutnya