Azure HDInsight での Enterprise セキュリティ パッケージとはWhat is Enterprise Security Package in Azure HDInsight

これまでに、Azure HDInsight では、単一ユーザーのローカル管理者のみをサポートしていました。これは、小規模なアプリケーション チームや部門に適していました。In the past, Azure HDInsight supported only a single user: local admin. This worked great for smaller application teams or departments. Apache Hadoop ベースのワークロードがエンタープライズ部門に普及するに伴い、Active Directory ベースの認証、マルチユーザーのサポート、ロールベースのアクセス制御などのエンタープライズ レベルの機能の必要性がますます重要になっています。As Apache Hadoop-based workloads gained more popularity in the enterprise sector, the need for enterprise-grade capabilities like Active Directory-based authentication, multi-user support, and role-based access control became increasingly important.

Active Directory ドメインに参加する HDInsight クラスターを、Enterprise セキュリティ パッケージ (ESP) を使用して作成できます。You can create an HDInsight cluster with Enterprise Security Package (ESP) that's joined to an Active Directory domain. その後、Azure Active Directory を介した認証を通じて HDInsight クラスターにサインインできる企業の従業員の一覧を構成できるようになります。You can then configure a list of employees from the enterprise who can authenticate through Azure Active Directory to sign in to the HDInsight cluster. 社外のユーザーは、HDInsight クラスターにサインインすることもアクセスすることもできません。No one from outside the enterprise can sign in or access the HDInsight cluster.

エンタープライズ管理者は、Apache Ranger を使用して Apache Hive のセキュリティを確保するためのロールベースのアクセス制御 (RBAC) を構成できます。The enterprise admin can configure role-based access control (RBAC) for Apache Hive security by using Apache Ranger. RBAC を構成すると、必要な内容へのデータ アクセスのみに制限されます。Configuring RBAC restricts data access to only what's needed. 最後に、管理者は従業員によるデータ アクセスとアクセス制御ポリシーに加えられた変更を監査できます。Finally, the admin can audit the data access by employees and any changes done to access control policies. その後、管理者は企業リソースにおいて高度なガバナンスを実現できます。The admin can then achieve a high degree of governance of their corporate resources.

注意

Apache Oozie は、ESP クラスターで使用できるようになりました。Apache Oozie is now enabled on ESP clusters. Oozie Web UI にアクセスするには、トンネリングを有効にする必要があります。To access the Oozie web UI, users should enable tunneling.

エンタープライズ セキュリティには、境界セキュリティ、認証、承認、暗号化の 4 つの大きな柱があります。Enterprise security contains four major pillars: perimeter security, authentication, authorization, and encryption.

エンタープライズ セキュリティの 4 つの柱での Enterprise セキュリティ パッケージ HDInsight クラスターの利点.

境界セキュリティPerimeter security

HDInsight の境界セキュリティは、仮想ネットワークと Azure VPN Gateway サービスを使用して実現されます。Perimeter security in HDInsight is achieved through virtual networks and the Azure VPN Gateway service. エンタープライズ管理者は、仮想ネットワーク内に ESP クラスターを作成し、ネットワーク セキュリティ グループ (ファイアウォール規則) を使用して仮想ネットワークへのアクセスを制限できます。An enterprise admin can create an ESP cluster inside a virtual network and use network security groups (firewall rules) to restrict access to the virtual network. HDInsight クラスターと通信できるのは、受信ファイアウォール規則で定義されている IP アドレスだけです。Only the IP addresses defined in the inbound firewall rules will be able to communicate with the HDInsight cluster. この構成では、境界セキュリティを提供します。This configuration provides perimeter security.

境界セキュリティのもう 1 つの層は、VPN Gateway サービスを使用して実現されます。Another layer of perimeter security is achieved through the VPN Gateway service. ゲートウェイは、HDInsight クラスターへのすべての受信要求に対する防御の最前線として機能します。The gateway acts as first line of defense for any incoming request to the HDInsight cluster. ゲートウェイでは要求を受け取り、検証して、クラスター内の他のノードに渡す要求のみを許可します。It accepts the request, validates it, and only then allows the request to pass to the other nodes in cluster. この方法では、ゲートウェイは境界セキュリティをクラスター内の他のノードとデータ ノードに提供します。In this way, the gateway provides perimeter security to other name and data nodes in the cluster.

AuthenticationAuthentication

エンタープライズ管理者は、ESP を使用する HDInsight クラスターを仮想ネットワークに作成できます。An enterprise admin can create a HDInsight cluster with ESP in a virtual network. HDInsight クラスターのノードはすべて、企業が管理するドメインに参加することになります。All the nodes of the HDInsight cluster are joined to the domain that the enterprise manages. これは、Azure Active Directory Domain Services を使用して実現されます。This is achieved through the use of Azure Active Directory Domain Services.

この設定により、企業の従業員は、ドメイン資格情報を使用してクラスター ノードにサインインできます。With this setup, enterprise employees can sign in to the cluster nodes by using their domain credentials. また、ドメイン資格情報を使用して、クラスターと対話する他の承認済みエンドポイント (Apache Ambari Views、ODBC、JDBC、PowerShell、REST API など) で認証することもできます。They can also use their domain credentials to authenticate with other approved endpoints like Apache Ambari Views, ODBC, JDBC, PowerShell, and REST APIs to interact with the cluster. 管理者は、これらのエンドポイントを使用してクラスターを操作するユーザーの数の制限を完全に制御できます。The admin has full control over limiting the number of users who interact with the cluster via these endpoints.

AuthorizationAuthorization

ほとんどの企業では、すべての従業員がすべてのエンタープライズ リソースにはアクセスできないようにするベスト プラクティスに従っています。A best practice that most enterprises follow is making sure that not every employee has access to all enterprise resources. 同様に、管理者はクラスター リソースのロールベースのアクセス制御ポリシーを定義できます。Likewise, the admin can define role-based access control policies for the cluster resources.

たとえば、管理者は Apache Ranger を構成して Hive のアクセス制御ポリシーを設定できます。For example, the admin can configure Apache Ranger to set access control policies for Hive. この機能により、従業員は仕事を順調に進めるために必要な量のデータにのみアクセスできます。This functionality ensures that employees can access only as much data as they need to be successful in their jobs. クラスターへの SSH アクセスも管理者だけに制限されます。SSH access to the cluster is also restricted to only the administrator.

監査Auditing

リソースにおいて許可されていないアクセスや意図しないアクセスを追跡するには、クラスター リソース、およびデータへのアクセスをすべて監査する必要があります。Auditing of all access to the cluster resources, and the data, is necessary to track unauthorized or unintentional access of the resources. HDInsight クラスター リソースを許可されていないユーザーから保護し、データをセキュリティで保護することが重要です。It's as important as protecting the HDInsight cluster resources from unauthorized users and securing the data.

管理者は HDInsight クラスター リソースとデータへのすべてのアクセスを表示し、レポートを作成できます。The admin can view and report all access to the HDInsight cluster resources and data. また、管理者は Apache Ranger のサポートされているエンドポイントで作成されたアクセス制御ポリシーのすべての変更を表示し、レポートを作成することもできます。The admin can also view and report all changes to the access control policies created in Apache Ranger supported endpoints.

ESP を使用する HDInsight クラスターでは、使い慣れた Apache Ranger UI を使用して監査ログを検索します。A HDInsight cluster with ESP uses the familiar Apache Ranger UI to search audit logs. バックエンドでは、Ranger はログの保存と検索に Apache Solr を使用します。On the back end, Ranger uses Apache Solr for storing and searching the logs.

暗号化Encryption

データの保護は、組織のセキュリティとコンプライアンス要件を満たすために重要です。Protecting data is important for meeting organizational security and compliance requirements. 許可されていない従業員からデータへのアクセスを制限すると共に、暗号化する必要があります。Along with restricting access to data from unauthorized employees, you should encrypt it.

HDInsight クラスターのデータ ストア (Azure BLOB ストレージおよび Azure Data Lake Storage Gen1/Gen2) はどちらも、保存データの透過的なサーバー側暗号化をサポートしています。Both data stores for HDInsight clusters--Azure Blob storage and Azure Data Lake Storage Gen1/Gen2--support transparent server-side encryption of data at rest. セキュリティで保護された HDInsight クラスターは、この保存データのサーバー側暗号化の機能とシームレスに連携します。Secure HDInsight clusters will seamlessly work with this capability of server-side encryption of data at rest.

次の手順Next steps