Sicurezza in Archivio Azure Data LakeSecurity in Azure Data Lake Store

Molte aziende sfruttano l'analisi di Big Data per una visione completa dell'attività e per prendere decisioni appropriate.Many enterprises are taking advantage of big data analytics for business insights to help them make smart decisions. Un'organizzazione potrebbe presentare un ambiente complesso e regolamentato, con un numero crescente di utenti diversi.An organization might have a complex and regulated environment, with an increasing number of diverse users. Per un'azienda è essenziale assicurarsi che i dati critici vengano archiviati in modo più sicuro e con un corretto livello di accesso concesso ai singoli utenti.It is vital for an enterprise to make sure that critical business data is stored more securely, with the correct level of access granted to individual users. Azure Data Lake Store è progettato per contribuire a soddisfare questi requisiti di sicurezza.Azure Data Lake Store is designed to help meet these security requirements. Questo articolo fornisce informazioni sulle funzionalità di sicurezza di Data Lake Store, tra cui:In this article, learn about the security capabilities of Data Lake Store, including:

  • AutenticazioneAuthentication
  • AuthorizationAuthorization
  • Isolamento reteNetwork isolation
  • Protezione datiData protection
  • ControlloAuditing

Autenticazione e gestione delle identitàAuthentication and identity management

L'autenticazione è il processo con il quale l'identità di un utente viene verificata durante l'interazione con Data Lake Store o con qualsiasi servizio che si collega ad Data Lake Store.Authentication is the process by which a user's identity is verified when the user interacts with Data Lake Store or with any service that connects to Data Lake Store. Per la gestione delle identità e l'autenticazione, Data Lake Store usa Azure Active Directory, una soluzione cloud globale per la gestione delle identità e dell'accesso che semplifica la gestione di utenti e gruppi.For identity management and authentication, Data Lake Store uses Azure Active Directory, a comprehensive identity and access management cloud solution that simplifies the management of users and groups.

Ogni sottoscrizione Azure può essere associata a un'istanza di Azure Active Directory.Each Azure subscription can be associated with an instance of Azure Active Directory. Solo gli utenti e le identità del servizio definite nel servizio Azure Active Directory possono accedere all'account di Data Lake Store usando il portale di Azure, gli strumenti da riga di comando o le applicazioni client create dall'organizzazione con Azure Data Lake Store SDK.Only users and service identities that are defined in your Azure Active Directory service can access your Data Lake Store account, by using the Azure portal, command-line tools, or through client applications your organization builds by using the Azure Data Lake Store SDK. I vantaggi principali dell'uso di Azure Active Directory come meccanismo di controllo di accesso centralizzato sono:Key advantages of using Azure Active Directory as a centralized access control mechanism are:

  • Gestione semplificata del ciclo di vita dell'identità.Simplified identity lifecycle management. L'identità di un utente o un servizio (un'identità dell'entità servizio) può essere creata e revocata in modo rapido semplicemente eliminando o disabilitando l'account nella directory.The identity of a user or a service (a service principal identity) can be quickly created and quickly revoked by simply deleting or disabling the account in the directory.
  • Autenticazione a più fattoriMulti-factor authentication. Multi-Factor Authentication offre un livello di sicurezza aggiuntivo per l'accesso degli utenti e le transazioni.Multi-factor authentication provides an additional layer of security for user sign-ins and transactions.
  • Autenticazione da qualsiasi client usando un protocollo aperto standard, ad esempio OAuth oppure OpenID.Authentication from any client through a standard open protocol, such as OAuth or OpenID.
  • Federazione con provider di identità cloud e servizi di directory dell'organizzazione.Federation with enterprise directory services and cloud identity providers.

Autorizzazione e controllo di accessoAuthorization and access control

Dopo che Azure Active Directory ha autenticato un utente in modo che possa accedere ad Azure Data Lake Store, l'autorizzazione controlla le autorizzazioni di accesso per Data Lake Store.After Azure Active Directory authenticates a user so that the user can access Azure Data Lake Store, authorization controls access permissions for Data Lake Store. Data Lake Store separa l'autorizzazione per le attività relative all'account e relative ai dati nel modo seguente:Data Lake Store separates authorization for account-related and data-related activities in the following manner:

Controllo degli accessi in base al ruolo per la gestione degli accountRBAC for account management

Quattro ruoli di base vengono definiti per Data Lake Store per impostazione predefinita.Four basic roles are defined for Data Lake Store by default. I ruoli permettono di eseguire diverse operazioni su un account Data Lake Store con il portale di Azure, cmdlet di PowerShell e API REST.The roles permit different operations on a Data Lake Store account via the Azure portal, PowerShell cmdlets, and REST APIs. I ruoli Proprietario e Collaboratore possono eseguire un'ampia gamma di funzioni di amministrazione sull'account.The Owner and Contributor roles can perform a variety of administration functions on the account. È possibile assegnare il ruolo Lettore agli utenti limitati alla sola interazione con i dati.You can assign the Reader role to users who only interact with data.

Ruoli Controllo degli accessi in base al ruoloRBAC roles

Si noti che anche se per la gestione degli account vengono assegnati i ruoli, alcuni ruoli incidono sull'accesso ai dati.Note that although roles are assigned for account management, some roles affect access to data. È necessario usare gli elenchi di controllo di accesso (ACL) alle operazioni che un utente può eseguire nel file system.You need to use ACLs to control access to operations that a user can perform on the file system. La tabella seguente mostra un riepilogo dei diritti di gestione e dei diritti di accesso ai dati per questi ruoli predefiniti.The following table shows a summary of management rights and data access rights for the default roles.

RuoliRoles Diritti di gestioneManagement rights Diritti di accesso ai datiData access rights SpiegazioneExplanation
Nessun ruolo assegnatoNo role assigned NoneNone Regolato da ACLGoverned by ACL Gli utenti non possono usare il portale di Azure o i cmdlet di Azure PowerShell per esplorare Data Lake Store.The user cannot use the Azure portal or Azure PowerShell cmdlets to browse Data Lake Store. L'utente può usare solo gli strumenti da riga di comando.The user can use command-line tools only.
ProprietarioOwner TuttiAll TuttiAll Il ruolo di Proprietario è un utente avanzato.The Owner role is a superuser. Questo ruolo può gestire tutto e ha l'accesso completo ai dati.This role can manage everything and has full access to data.
ReaderReader Sola letturaRead-only Regolato da ACLGoverned by ACL Il ruolo Lettore può visualizzare tutti gli elementi riguardanti la gestione degli account, ad esempio l'utente assegnato a un determinato ruolo,The Reader role can view everything regarding account management, such as which user is assigned to which role. ma non prevede la possibilità di apportare modifiche.The Reader role can't make any changes.
CollaboratoreContributor Tutti tranne quelli di aggiunta e rimozione dei ruoliAll except add and remove roles Regolato da ACLGoverned by ACL Il ruolo Collaboratore può gestire alcuni aspetti di un account, ad esempio le distribuzioni e la creazione e la gestione di avvisi,The Contributor role can manage some aspects of an account, such as deployments and creating and managing alerts. ma non prevede la possibilità di aggiungere o rimuovere ruoli.The Contributor role cannot add or remove roles.
Amministratore accessi utenteUser Access Administrator Aggiunta e rimozione dei ruoliAdd and remove roles Regolato da ACLGoverned by ACL Il ruolo Amministratore accessi utente può gestire l'accesso degli utenti agli account.The User Access Administrator role can manage user access to accounts.

Per istruzioni, vedere Assegnare utenti o gruppi di sicurezza ad account di Azure Data Lake Store.For instructions, see Assign users or security groups to Data Lake Store accounts.

Uso degli ACL per le operazioni sui file systemUsing ACLs for operations on file systems

Data Lake Store è un file system gerarchico come HDFS (Hadoop Distributed File System) e supporta gli elenchi di controllo di accesso POSIX.Data Lake Store is a hierarchical file system like Hadoop Distributed File System (HDFS), and it supports POSIX ACLs. Controlla le autorizzazioni di lettura (r), scrittura (w) ed esecuzione (w) per le risorse per il ruolo Proprietario, per il gruppo Proprietari e per altri utenti e gruppi.It controls read (r), write (w), and execute (x) permissions to resources for the Owner role, for the Owners group, and for other users and groups. Nella versione di anteprima pubblica di Data Lake Store (la versione corrente) gli elenchi di controllo di accesso possono essere abilitati nella cartella radice, nelle sottocartelle e nei singoli file.In the Data Lake Store Public Preview (the current release), ACLs can be enabled on the root folder, on subfolders, and on individual files. Per altre informazioni sul funzionamento degli elenchi di controllo di accesso nel contesto di Data Lake Store, vedere Controllo di accesso in Data Lake Store.For more information on how ACLs work in context of Data Lake Store, see Access control in Data Lake Store.

È consigliabile definire gli elenchi di controllo di accesso per più utenti usando gruppi di sicurezza.We recommend that you define ACLs for multiple users by using security groups. Aggiungere gli utenti a un gruppo di sicurezza, quindi assegnare gli elenchi di controllo di accesso per il file o una cartella a tale gruppo di sicurezza.Add users to a security group, and then assign the ACLs for a file or folder to that security group. Ciò è utile quando si vuole fornire l'accesso personalizzato, perché si è limitati all'aggiunta di un massimo di nove voci per l'accesso personalizzato.This is useful when you want to provide custom access, because you are limited to adding a maximum of nine entries for custom access. Per altre informazioni su come proteggere meglio i dati archiviati in Data Lake Store usando i gruppi di sicurezza di Azure Active Directory, vedere Assegnare utenti o gruppi di sicurezza come elenchi di controllo di accesso al file system di Azure Data Lake Store.For more information about how to better secure data stored in Data Lake Store by using Azure Active Directory security groups, see Assign users or security group as ACLs to the Azure Data Lake Store file system.

Elencare gli accessi standard e personalizzatiList standard and custom access

Isolamento reteNetwork isolation

Usare Data Lake Store per aiutare a controllare l'accesso all'archivio dati a livello di rete.Use Data Lake Store to help control access to your data store at the network level. È possibile stabilire firewall e definire un intervallo di indirizzi IP per i client attendibili.You can establish firewalls and define an IP address range for your trusted clients. Con un intervallo di indirizzi IP, solo i client con indirizzo IP compreso nell'intervallo definito possono connettersi a Data Lake Store.With an IP address range, only clients that have an IP address within the defined range can connect to Data Lake Store.

Impostazioni del firewall e accesso IPFirewall settings and IP access

Protezione datiData protection

Azure Data Lake Store protegge i dati durante tutto il loro ciclo di vita.Azure Data Lake Store protects your data throughout its life cycle. Per i dati in transito, Data Lake Store usa il protocollo TLS (Transport Layer Security) standard per proteggere i dati trasmessi in rete.For data in transit, Data Lake Store uses the industry-standard Transport Layer Security (TLS) protocol to secure data over the network.

Crittografia in Data Lake StoreEncryption in Data Lake Store

Data Lake Store fornisce anche la crittografia per i dati archiviati nell'account.Data Lake Store also provides encryption for data that is stored in the account. È possibile scegliere di crittografare i dati oppure di fare a meno della crittografia.You can chose to have your data encrypted or opt for no encryption. Se si opta per la crittografia, i dati archiviati in Data Lake Store vengono crittografati prima essere archiviati in supporti persistenti.If you opt in for encryption, data stored in Data Lake Store is encrypted prior to storing on persistent media. In questo caso, Data Lake Store crittografa automaticamente i dati prima di renderli persistenti e li decrittografa prima di recuperarli. L'accesso ai dati, quindi, risulta totalmente trasparente per il client.In such a case, Data Lake Store automatically encrypts data prior to persisting and decrypts data prior to retrieval, so it is completely transparent to the client accessing the data. Per la crittografia/decrittografia dei dati, infatti, non è necessaria alcuna modifica di codice sul lato client.There is no code change required on the client side to encrypt/decrypt data.

In merito alla gestione delle chiavi, Data Lake Store offre due modalità per la gestione delle chiavi di crittografia master (MEK) necessarie per decrittografare i dati archiviati in Data Lake Store.For key management, Data Lake Store provides two modes for managing your master encryption keys (MEKs), which are required for decrypting any data that is stored in the Data Lake Store. È possibile affidare la gestione delle chiavi MEK a Data Lake Store oppure mantenere la proprietà delle chiavi MEK usando il proprio account dell'insieme di credenziali delle chiavi di Azure.You can either let Data Lake Store manage the MEKs for you, or choose to retain ownership of the MEKs using your Azure Key Vault account. La modalità di gestione delle chiavi viene specificata durante la creazione dell'account di Data Lake Store.You specify the mode of key management while while creating a Data Lake Store account. Per altre informazioni su come specificare la configurazione relativa alla crittografia, vedere Introduzione ad Azure Data Lake Store tramite il portale di Azure.For more information on how to provide encryption-related configuration, see Get started with Azure Data Lake Store using the Azure Portal.

Log di controllo e diagnosticaAuditing and diagnostic logs

È possibile usare i log di diagnostica o di controllo a seconda che si stiano cercando log relativi alle attività correlate alla gestione o alle attività correlate ai dati.You can use auditing or diagnostic logs, depending on whether you are looking for logs for management-related activities or data-related activities.

  • Le attività correlate alla gestione usano le API di Azure Resource Manager e vengono rilevate nel portale di Azure con i log di controllo.Management-related activities use Azure Resource Manager APIs and are surfaced in the Azure portal via audit logs.
  • Le attività correlate ai dati usano le API REST WebHDFS e vengono rilevate nel portale di Azure con i log di diagnostica.Data-related activities use WebHDFS REST APIs and are surfaced in the Azure portal via diagnostic logs.

Log di controlloAuditing logs

Per conformità alle normative, un'organizzazione potrebbe richiedere audit trail adeguati nel caso fosse necessario approfondire specifici eventi imprevisti.To comply with regulations, an organization might require adequate audit trails if it needs to dig into specific incidents. Data Lake Store prevede monitoraggio e controllo integrati e registra tutte le attività di gestione dell'account.Data Lake Store has built-in monitoring and auditing, and it logs all account management activities.

Per gli audit trail di gestione account, visualizzare e scegliere le colonne che si vogliono registrare.For account management audit trails, view and choose the columns that you want to log. È anche possibile esportare i log di controllo in Archiviazione di Azure.You also can export audit logs to Azure Storage.

Log di controlloAudit logs

Log di diagnosticaDiagnostic logs

È possibile impostare gli audit trail dell'accesso ai dati nel portale di Azure (in Impostazioni di diagnostica) e creare un account di archiviazione BLOB di Azure in cui archiviare i log.You can set data access audit trails in the Azure portal (in Diagnostic Settings) and create an Azure Blob storage account where the logs are stored.

Log di diagnosticaDiagnostic logs

Dopo aver configurato le impostazioni di diagnostica, è possibile visualizzare i log nella scheda Log di diagnostica .After you configure diagnostic settings, you can view the logs on the Diagnostic Logs tab.

Per altre informazioni sull'uso dei log di diagnostica con Azure Data Lake Store, vedere Accesso ai log di diagnostica per Azure Data Lake Store.For more information on working with diagnostic logs with Azure Data Lake Store, see Access diagnostic logs for Data Lake Store.

RiepilogoSummary

I clienti aziendali richiedono una piattaforma cloud di analisi dei dati protetta e facile da usare.Enterprise customers demand a data analytics cloud platform that is secure and easy to use. Azure Data Lake Store è progettato per aiutare a soddisfare questi requisiti con la gestione delle identità e l'autenticazione con l'integrazione di Azure Active Directory, l'autorizzazione basata su elenchi di controllo di accesso, l'isolamento della rete, la crittografia dei dati in transito e inattivi (disponibile in futuro) e il controllo.Azure Data Lake Store is designed to help address these requirements through identity management and authentication via Azure Active Directory integration, ACL-based authorization, network isolation, data encryption in transit and at rest (coming in the future), and auditing.

Se si vogliono vedere nuove funzionalità in Data Lake Store, inviare commenti e suggerimenti al forum UserVoice di Data Lake Store.If you want to see new features in Data Lake Store, send us your feedback in the Data Lake Store UserVoice forum.

Vedere ancheSee also