Sicurezza di rete per Azure Esplora dati
I cluster Esplora dati di Azure sono progettati per essere accessibili usando URL pubblici. Chiunque abbia un'identità valida in un cluster può accedervi da qualsiasi posizione. In qualità di organizzazione, la protezione dei dati può essere una delle attività con priorità più alta. Di conseguenza, è possibile limitare e proteggere l'accesso al cluster o anche consentire l'accesso al cluster solo tramite la rete virtuale privata. Per raggiungere questo obiettivo, è possibile usare una delle opzioni seguenti:
- Endpoint privato (scelta consigliata)
- Inserimento della rete virtuale (VNet)
È consigliabile usare endpoint privati per proteggere l'accesso di rete al cluster. Questa opzione presenta molti vantaggi rispetto all'inserimento di reti virtuali che comportano un sovraccarico di manutenzione inferiore, tra cui un processo di distribuzione più semplice e più affidabile per le modifiche della rete virtuale.
La sezione seguente illustra come proteggere il cluster usando endpoint privati e inserimento di reti virtuali.
Endpoint privato
Un endpoint privato è un'interfaccia di rete che usa indirizzi IP privati dalla rete virtuale. Questa interfaccia di rete consente di connettersi privatamente e in modo sicuro al cluster basato su collegamento privato di Azure. Abilitando un endpoint privato, si porta il servizio nella rete virtuale.
Per distribuire correttamente il cluster in un endpoint privato, è necessario solo un set di indirizzi IP privati.
Nota
Gli endpoint privati non sono supportati per un cluster inserito in una rete virtuale.
Inserimento di reti virtuali
Importante
Si consideri una soluzione basata su endpoint privato di Azure per implementare la sicurezza di rete con Azure Esplora dati. È meno soggetta a errori e fornisce parità di funzionalità.
L'inserimento della rete virtuale consente di distribuire direttamente il cluster in una rete virtuale. È possibile accedere privatamente al cluster dall'interno della rete virtuale e tramite un gateway VPN o Azure ExpressRoute da reti locali. L'inserimento di un cluster in una rete virtuale consente di gestire tutto il traffico. Ciò include il traffico per accedere al cluster e a tutte le relative esportazioni o inserimento dati. Inoltre, l'utente è responsabile di consentire a Microsoft di accedere al cluster per la gestione e il monitoraggio dell'integrità.
Per inserire correttamente il cluster in una rete virtuale, è necessario configurare la rete virtuale per soddisfare i requisiti seguenti:
- È necessario delegare la subnet a Microsoft.Kusto/clusters per abilitare il servizio e definire le precondizioni per la distribuzione sotto forma di criteri di finalità di rete
- La subnet deve essere ridimensionata correttamente per supportare la crescita futura dell'utilizzo del cluster
- Per gestire il cluster sono necessari due indirizzi IP pubblici e assicurarsi che sia integro
- Facoltativamente, se si usa un'appliance firewall aggiuntiva per proteggere la rete, è necessario consentire al cluster di connettersi a un set di nomi di dominio completi (FQDN) per il traffico in uscita
Endpoint privato e inserimento di reti virtuali
L'inserimento di reti virtuali può comportare un sovraccarico di manutenzione elevato, in seguito a dettagli di implementazione, ad esempio la gestione degli elenchi FQDN nei firewall o la distribuzione di indirizzi IP pubblici in un ambiente con restrizioni. È quindi consigliabile usare un endpoint privato per connettersi al cluster.
La tabella seguente illustra come implementare le funzionalità correlate alla sicurezza di rete in base a un cluster inserito in una rete virtuale o protetto tramite un endpoint privato.
| Funzionalità | Endpoint privato | Inserimento di reti virtuali |
|---|---|---|
| Filtro degli indirizzi IP in ingresso | Gestire l'accesso pubblico | Creare una regola del gruppo di sicurezza di rete in ingresso |
| Accesso transitivo ad altri servizi (Archiviazione, Hub eventi e così via) | Creare un endpoint privato gestito | Creare un endpoint privato per la risorsa |
| Limitazione dell'accesso in uscita | Usare i criteri di callout o AllowedFQDNList | Usare un'appliance virtuale per filtrare il traffico in uscita della subnet |
Contenuti correlati
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per