Implementare la sicurezza per l'accesso ai dati
HDInsight è un servizio PaaS e il modello più implementato è la separazione completa del calcolo dall'archiviazione. In questi modelli la sicurezza dell'accesso ai dati consente di proteggere i dati inattivi e il traffico tra HDInsight e il livello di dati. Queste aree di sicurezza esulano dalla sfera delle funzionalità di sicurezza specifiche di HDInsight e vengono ottenute attraverso le funzionalità di sicurezza disponibili nei servizi di archiviazione e di rete di Azure. Di seguito è riportato un elenco di consigli su come garantire la sicurezza dell'accesso ai dati nei cluster HDInsight. È possibile scegliere di implementare tutti questi consigli o solo alcuni in base al caso d'uso.
Consentire solo le richieste di archiviazione da connessioni protette
Il trasferimento sicuro consente le richieste provenienti da connessioni protette (HTTPS) e rifiuta eventuali connessioni provenienti da HTTP. Prima di creare il cluster, è necessario abilitare un trasferimento sicuro. Fare clic sul pulsante "Select Secure Transfer required” (Seleziona trasferimento sicuro richiesto) e spostare il dispositivo di scorrimento su "Abilitato". Informazioni sulle procedure consigliate per la sicurezza per ADLSG2, come il trasferimento sicuro.
Implementare gli elenchi di controllo di accesso (ACL) per ADLS Gen2
Il modello di controllo di accesso di ADLS Gen2 supporta sia il controllo degli accessi in base al ruolo di Azure che il controllo di accesso come POSIX. È possibile scegliere di implementare il modello ACL a livello POSIX per HDInsight in modo da configurare l'autenticazione pass-through per file e cartelle. Ogni file o directory in ADLS Gen2 dispone di autorizzazioni distinte per queste identità.
- Utente proprietario
- Gruppo proprietario
- Utenti non anonimi
- Gruppi con nome
- Entità servizio denominate
- Identità gestite denominate
- Il controllo di accesso a livello POSIX per i file e le cartelle di ADLS Gen2 può quindi essere concesso a utenti e gruppi del dominio HDInsight e queste autorizzazioni verranno rispettate da tutti i servizi HDInsight durante l’accesso. Altre informazioni sul controllo di accesso in Azure Data Lake Storage Gen2.
Firewall di archiviazione di Azure
Il firewall di archiviazione di Azure usa i criteri di rete “deny-all, permit-by-exception” per garantire che solo le entità consentite elencate possano ottenere l'accesso all'account di archiviazione. I firewall di archiviazione possono essere configurati in modo da consentire l'accesso all'account da un indirizzo IP attendibile fisso o da un intervallo predeterminato di indirizzi IP attendibili. Per abilitare funzionalità come la registrazione, assicurarsi che i servizi Microsoft attendibili possano accedere all’account di archiviazione. È possibile abilitare Firewall di Azure nell'account di archiviazione dal pannello Firewall e reti virtuali come illustrato di seguito.
Transport Layer Security (TLS) per un client di archiviazione esterno al cluster HDInsight
L'abilitazione di TLS nell'account di archiviazione garantisce che i dati in transito da e verso l'account di archiviazione siano crittografati. Archiviazione di Azure usa TLS 1.2 negli endpoint HTTPS pubblici, ma TLS 1.0 e TLS 1.1 continuano a essere supportati per la compatibilità con le versioni precedenti. Per assicurare una connessione sicura e conforme ad Archiviazione di Azure, prima di inviare richieste per l’uso del servizio di archiviazione di Azure è necessario abilitare TLS 1.2 o una versione successiva sul lato client. In questo caso TLS 1.2 è già abilitato per impostazione predefinita quando un account di archiviazione scambia dati con HDInsight, quindi non è necessario eseguire operazioni specifiche per abilitarlo. Altre informazioni su TLS sicuro per i client di archiviazione di Azure.
Endpoint servizio di rete virtuale
HDInsight supporta gli endpoint servizio di rete virtuale per Archiviazione BLOB di Azure, Azure Data Lake Storage Gen2, Cosmos DB e il database SQL. Nel contesto della sicurezza di HDInsight, è possibile configurare gli endpoint servizio di rete virtuale negli account di archiviazione, nei metastore del cluster e in Cosmos DB in modo da consentire l'accesso solo dalla subnet HDInsight. Il traffico tra queste entità e HDInsight rimane sempre nel backbone di Azure. Nell'account di archiviazione è possibile abilitare gli endpoint servizio di rete virtuale dal pannello Firewall e reti virtuali facendo clic su Add existing/new virtual network (Aggiungi rete virtuale esistente/nuova), scegliendo il pulsante di opzione Allow access from to Selected Network (Consenti l'accesso da/verso la rete selezionata) e specificando informazioni sulle rete virtuale da cui deve essere consentito l'accesso. In questo caso occorre inserire la rete virtuale e le subnet HDInsight da cui si desidera accedere a questo account di archiviazione. Nell'esempio seguente l'account di archiviazione sarà in grado di accedere al traffico solo dalle tre subnet HDInsight specificate in modo esplicito.
Per i database SQL, è possibile configurare gli endpoint servizio di rete virtuale dal pannello Firewall e reti virtuali.
Altre informazioni sugli endpoint servizio di rete virtuale in Azure.
Chiavi gestite dal cliente
Crittografia dei dati inattivi in un requisito chiave per la sicurezza negli scenari dei Big Data. Archiviazione di Azure consente di crittografare tutti i dati in un account di archiviazione usando, per impostazione predefinita, chiavi gestite da Microsoft. I clienti possono tuttavia scegliere di portare le loro chiavi per sfruttare il controllo aggiuntivo sui dati. Dal portale viene usato il pannello Crittografia nell’account di archiviazione per determinare le impostazioni chiave nell’account di archiviazione. Scegliere Usa chiave personalizzata, quindi selezionare un URI della chiave oppure selezionare una chiave da Azure Key Vault. Altre informazioni sulle chiavi gestite dai clienti per Archiviazione di Azure.
Analogamente, per i cluster Kafka, quando si crea il cluster per crittografare tutti i dati inattivi dei broker, è possibile portare la propria chiave.