Beveiliging in Azure Data Lake Storage Gen1
Veel ondernemingen maken gebruik van big data-analyses voor zakelijke inzichten om slimme beslissingen te nemen. Een organisatie kan een complexe en gereguleerde omgeving hebben, met een toenemend aantal diverse gebruikers. Het is essentieel voor een onderneming om ervoor te zorgen dat kritieke bedrijfsgegevens veiliger worden opgeslagen, met het juiste toegangsniveau dat wordt verleend aan individuele gebruikers. Azure Data Lake Storage Gen1 is ontworpen om te voldoen aan deze beveiligingsvereisten. In dit artikel vindt u meer informatie over de beveiligingsmogelijkheden van Data Lake Storage Gen1, waaronder:
- Verificatie
- Autorisatie
- Netwerkisolatie
- Gegevensbescherming
- Controleren
Verificatie- en identiteitsbeheer
Verificatie is het proces waarmee de identiteit van een gebruiker wordt geverifieerd wanneer de gebruiker communiceert met Data Lake Storage Gen1 of met een service die verbinding maakt met Data Lake Storage Gen1. Voor identiteitsbeheer en verificatie maakt Data Lake Storage Gen1 gebruik van Microsoft Entra ID, een uitgebreide cloudoplossing voor identiteits- en toegangsbeheer die het beheer van gebruikers en groepen vereenvoudigt.
Elk Azure-abonnement kan worden gekoppeld aan een exemplaar van Microsoft Entra ID. Alleen gebruikers en service-identiteiten die zijn gedefinieerd in uw Microsoft Entra-service, hebben toegang tot uw Data Lake Storage Gen1-account met behulp van de Azure Portal, opdrachtregelprogramma's of via clienttoepassingen die uw organisatie bouwt met behulp van de Data Lake Storage Gen1 SDK. De belangrijkste voordelen van het gebruik van Microsoft Entra ID als gecentraliseerd mechanisme voor toegangsbeheer zijn:
- Vereenvoudigd beheer van identiteitslevenscyclus. De identiteit van een gebruiker of service (een service-principal-identiteit) kan snel worden gemaakt en snel worden ingetrokken door het account in de directory te verwijderen of uit te schakelen.
- Meervoudige verificatie. Meervoudige verificatie biedt een extra beveiligingslaag voor aanmeldingen en transacties van gebruikers.
- Verificatie van elke client via een standaard open protocol, zoals OAuth of OpenID.
- Federatie met zakelijke adreslijstservices en cloud-id-providers.
Autorisatie en toegangsbeheer
Nadat Microsoft Entra een gebruiker heeft geverifieerd zodat de gebruiker toegang heeft tot Data Lake Storage Gen1, beheert autorisatie de toegangsmachtigingen voor Data Lake Storage Gen1. Data Lake Storage Gen1 scheidt autorisatie voor accountgerelateerde en gegevensgerelateerde activiteiten op de volgende manier:
- Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) voor accountbeheer
- POSIX ACL voor toegang tot gegevens in het archief
Azure RBAC voor accountbeheer
Er worden standaard vier basisrollen gedefinieerd voor Data Lake Storage Gen1. De rollen staan verschillende bewerkingen toe op een Data Lake Storage Gen1-account via de Azure Portal, PowerShell-cmdlets en REST API's. De rollen Eigenaar en Inzender kunnen verschillende beheerfuncties voor het account uitvoeren. U kunt de rol Lezer toewijzen aan gebruikers die alleen accountbeheergegevens bekijken.
Houd er rekening mee dat hoewel rollen zijn toegewezen voor accountbeheer, sommige rollen van invloed zijn op de toegang tot gegevens. U moet ACL's gebruiken om de toegang tot bewerkingen te beheren die een gebruiker op het bestandssysteem kan uitvoeren. In de volgende tabel ziet u een overzicht van beheerrechten en rechten voor gegevenstoegang voor de standaardrollen.
| Rollen | Beheerrechten | Toegangsrechten voor gegevens | Uitleg |
|---|---|---|---|
| Er is geen rol toegewezen | Geen | Beheerd door ACL | De gebruiker kan de cmdlets Azure Portal of Azure PowerShell niet gebruiken om door Data Lake Storage Gen1 te bladeren. De gebruiker kan alleen opdrachtregelprogramma's gebruiken. |
| Eigenaar | Alles | Alles | De rol Eigenaar is een superuser. Deze rol kan alles beheren en heeft volledige toegang tot gegevens. |
| Lezer | Alleen-lezen | Beheerd door ACL | De rol Lezer kan alles met betrekking tot accountbeheer bekijken, zoals welke gebruiker aan welke rol is toegewezen. De rol Lezer kan geen wijzigingen aanbrengen. |
| Inzender | Alles behalve rollen toevoegen en verwijderen | Beheerd door ACL | De rol Inzender kan bepaalde aspecten van een account beheren, zoals implementaties en het maken en beheren van waarschuwingen. De rol Inzender kan geen rollen toevoegen of verwijderen. |
| Beheerder van gebruikerstoegang | Rollen toevoegen en verwijderen | Beheerd door ACL | De rol Beheerder van gebruikerstoegang kan gebruikerstoegang tot accounts beheren. |
Zie Gebruikers of beveiligingsgroepen toewijzen aan Data Lake Storage Gen1-accounts voor instructies.
ACL's gebruiken voor bewerkingen op bestandssystemen
Data Lake Storage Gen1 is een hiërarchisch bestandssysteem zoals Hadoop Distributed File System (HDFS) en ondersteunt POSIX-ACL's. Het beheert leesmachtigingen (r), schrijven (w) en uitvoeringsmachtigingen (x) voor resources voor de rol Eigenaar, voor de groep Eigenaren en voor andere gebruikers en groepen. In Data Lake Storage Gen1 kunnen ACL's worden ingeschakeld voor de hoofdmap, voor submappen en voor afzonderlijke bestanden. Zie Toegangsbeheer in Data Lake Storage Gen1 voor meer informatie over de werking van ACL's in de context van Data Lake Storage Gen1.
U wordt aangeraden ACL's voor meerdere gebruikers te definiëren met behulp van beveiligingsgroepen. Voeg gebruikers toe aan een beveiligingsgroep en wijs vervolgens de ACL's voor een bestand of map toe aan die beveiligingsgroep. Dit is handig wanneer u toegewezen machtigingen wilt opgeven, omdat u bent beperkt tot maximaal 28 vermeldingen voor toegewezen machtigingen. Zie Gebruikers of beveiligingsgroep als ACL's toewijzen aan het Data Lake Storage Gen1 bestandssysteem voor meer informatie over het beter beveiligen van gegevens die zijn opgeslagen in Data Lake Storage Gen1 met behulp van Microsoft Entra beveiligingsgroepen.
Netwerkisolatie
Gebruik Data Lake Storage Gen1 om de toegang tot uw gegevensarchief op netwerkniveau te beheren. U kunt firewalls instellen en een IP-adresbereik definiëren voor uw vertrouwde clients. Met een IP-adresbereik kunnen alleen clients met een IP-adres binnen het gedefinieerde bereik verbinding maken met Data Lake Storage Gen1.
Virtuele Azure-netwerken (VNet) ondersteunen servicetags voor Data Lake Gen 1. Een servicelabel vertegenwoordigt een groep IP-adresvoorvoegsels van een bepaalde Azure-service. Microsoft beheert de adresvoorvoegsels die worden omsloten door de servicetag en werkt de servicetag automatisch bij wanneer adressen veranderen. Zie Overzicht van Azure-servicetags voor meer informatie.
Gegevensbescherming
Data Lake Storage Gen1 beschermt uw gegevens gedurende de hele levenscyclus. Voor gegevens die onderweg zijn, gebruikt Data Lake Storage Gen1 het industriestandaard TLS 1.2-protocol (Transport Layer Security) om gegevens via het netwerk te beveiligen.
Data Lake Storage Gen1 biedt ook versleuteling voor gegevens die zijn opgeslagen in het account. U kunt ervoor kiezen de gegevens te versleutelen of niet te versleutelen. Als u kiest voor versleuteling, worden gegevens die zijn opgeslagen in Data Lake Storage Gen1 versleuteld voordat ze worden opgeslagen op permanente media. In een dergelijk geval versleutelt Data Lake Storage Gen1 automatisch gegevens voordat ze worden behouden en ontsleutelt gegevens voordat ze worden opgehaald, zodat het volledig transparant is voor de client die toegang heeft tot de gegevens. Er is geen codewijziging vereist aan de clientzijde om gegevens te versleutelen/ontsleutelen.
Voor sleutelbeheer biedt Data Lake Storage Gen1 twee modi voor het beheren van uw hoofdversleutelingssleutels (MEK's), die vereist zijn voor het ontsleutelen van gegevens die zijn opgeslagen in Data Lake Storage Gen1. U kunt Data Lake Storage Gen1 de mek's voor u laten beheren of ervoor kiezen om het eigendom van de MEK's te behouden met behulp van uw Azure Key Vault-account. U geeft de modus voor sleutelbeheer op tijdens het maken van een Data Lake Storage Gen1-account. Zie Get started with Azure Data Lake Storage Gen1 using the Azure Portal (Aan de slag met Azure Data Lake Storage Gen1 met behulp van de Azure-portal) voor meer informatie over het bieden van versleutelingsgerelateerde configuraties.
Diagnostische en activiteitslogboeken
U kunt activiteiten- of diagnostische logboeken gebruiken, afhankelijk van of u op zoek bent naar logboeken voor activiteiten met betrekking tot accountbeheer of gegevensgerelateerde activiteiten.
- Accountbeheergerelateerde activiteiten maken gebruik van Azure Resource Manager API's en worden weergegeven in de Azure Portal via activiteitenlogboeken.
- Gegevensgerelateerde activiteiten maken gebruik van WebHDFS REST API's en worden weergegeven in de Azure Portal via diagnostische logboeken.
Activiteitenlogboek
Om te voldoen aan regelgeving, kan een organisatie adequate audittrails van accountbeheeractiviteiten vereisen als ze zich moeten verdiepen in specifieke incidenten. Data Lake Storage Gen1 heeft ingebouwde bewaking en registreert alle accountbeheeractiviteiten.
Voor audittrails voor accountbeheer bekijkt en kiest u de kolommen die u wilt registreren. U kunt ook activiteitenlogboeken exporteren naar Azure Storage.
Zie Activiteitenlogboeken weergeven om acties voor resources te controleren voor meer informatie over het werken met activiteitenlogboeken.
Logboeken met diagnostische gegevens
U kunt audit- en diagnostische logboekregistratie voor gegevenstoegang inschakelen in de Azure Portal en de logboeken verzenden naar een Azure Blob Storage-account, een Event Hub of Azure Monitor-logboeken.
Zie Toegang tot diagnostische logboeken voor Data Lake Storage Gen1 voor meer informatie over het werken met diagnostische logboeken met Data Lake Storage Gen1.
Samenvatting
Zakelijke klanten willen een cloudplatform voor gegevensanalyse dat veilig en eenvoudig te gebruiken is. Data Lake Storage Gen1 is ontworpen om aan deze vereisten te voldoen via identiteitsbeheer en verificatie via Microsoft Entra-integratie, ACL-gebaseerde autorisatie, netwerkisolatie, gegevensversleuteling tijdens overdracht en at-rest en controle.
Als u nieuwe functies in Data Lake Storage Gen1 wilt zien, stuurt u ons uw feedback op het Data Lake Storage Gen1 UserVoice-forum.