Beveiliging in Azure Data Lake Storage Gen1
Veel ondernemingen profiteren van big data analyses voor zakelijke inzichten om ze te helpen slimme beslissingen te nemen. Een organisatie kan een complexe en gereguleerde omgeving hebben, met een toenemend aantal diverse gebruikers. Het is essentieel dat een onderneming ervoor zorgt dat kritieke bedrijfsgegevens veiliger worden opgeslagen, met het juiste toegangsniveau dat aan afzonderlijke gebruikers wordt verleend. Azure Data Lake Storage Gen1 is ontworpen om te voldoen aan deze beveiligingsvereisten. In dit artikel leert u meer over de beveiligingsmogelijkheden van Data Lake Storage Gen1, waaronder:
- Verificatie
- Autorisatie
- Netwerkisolatie
- Gegevensbeveiliging
- Controleren
Verificatie- en identiteitsbeheer
Verificatie is het proces waarbij de identiteit van een gebruiker wordt geverifieerd wanneer de gebruiker communiceert met Data Lake Storage Gen1 of met een service die verbinding maakt met Data Lake Storage Gen1. Voor identiteitsbeheer en verificatie maakt Data Lake Storage Gen1 gebruik van Azure Active Directory,een uitgebreide cloudoplossing voor identiteits- en toegangsbeheer die het beheer van gebruikers en groepen vereenvoudigt.
Elk Azure-abonnement kan worden gekoppeld aan een exemplaar van Azure Active Directory. Alleen gebruikers en service-identiteiten die zijn gedefinieerd in uw Azure Active Directory-service hebben toegang tot uw Data Lake Storage Gen1-account met behulp van de Azure Portal, opdrachtregelprogramma's of via clienttoepassingen die uw organisatie bouwt met behulp van de Data Lake Storage Gen1 SDK. Belangrijke voordelen van het gebruik Azure Active Directory als een gecentraliseerd mechanisme voor toegangsbeheer zijn:
- Vereenvoudigd levenscyclusbeheer voor identiteiten. De identiteit van een gebruiker of een service (een service-principal-identiteit) kan snel worden gemaakt en snel worden ingetrokken door het account in de directory te verwijderen of uit te schakelen.
- Meervoudige verificatie. Meervoudige verificatie biedt een extra beveiligingslaag voor aanmeldingen en transacties van gebruikers.
- Verificatie vanaf elke client via een standaard open protocol, zoals OAuth of OpenID.
- Federatie met adreslijstservices voor ondernemingen en cloudidentiteitsproviders.
Autorisatie en toegangsbeheer
Nadat Azure Active Directory een gebruiker heeft geverifieerd zodat de gebruiker toegang heeft tot Data Lake Storage Gen1, beheert autorisatie de toegangsmachtigingen voor Data Lake Storage Gen1. Data Lake Storage Gen1 scheidt autorisatie voor accountgerelateerde en gegevensgerelateerde activiteiten op de volgende manier:
- Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) voor accountbeheer
- POSIX ACL voor toegang tot gegevens in de store
Azure RBAC voor accountbeheer
Er zijn standaard vier basisrollen gedefinieerd voor Data Lake Storage Gen1. De rollen staan verschillende bewerkingen toe op een Data Lake Storage Gen1-account via de Azure Portal, PowerShell-cmdlets en REST API's. De rollen Eigenaar en Inzender kunnen verschillende beheerfuncties uitvoeren op het account. U kunt de rol Lezer toewijzen aan gebruikers die alleen accountbeheergegevens bekijken.
Houd er rekening mee dat hoewel rollen zijn toegewezen voor accountbeheer, sommige rollen van invloed zijn op de toegang tot gegevens. U moet ACL's gebruiken om de toegang te bepalen tot bewerkingen die een gebruiker op het bestandssysteem kan uitvoeren. In de volgende tabel ziet u een overzicht van beheerrechten en gegevenstoegangsrechten voor de standaardrollen.
| Rollen | Beheerrechten | Rechten voor gegevenstoegang | Uitleg |
|---|---|---|---|
| Er is geen rol toegewezen | Geen | Beheerd door ACL | De gebruiker kan de cmdlets Azure Portal of Azure PowerShell gebruiken om door Data Lake Storage Gen1 te bladeren. De gebruiker kan alleen opdrachtregelprogramma's gebruiken. |
| Eigenaar | Alles | Alles | De rol Eigenaar is een superuser. Deze rol kan alles beheren en heeft volledige toegang tot gegevens. |
| Lezer | Alleen-lezen | Beheerd door ACL | De rol Lezer kan alles weergeven met betrekking tot accountbeheer, zoals welke gebruiker aan welke rol is toegewezen. De rol Lezer kan geen wijzigingen aanbrengen. |
| Inzender | Alle behalve rollen toevoegen en verwijderen | Beheerd door ACL | De rol Inzender kan bepaalde aspecten van een account beheren, zoals implementaties en het maken en beheren van waarschuwingen. De rol Inzender kan geen rollen toevoegen of verwijderen. |
| Beheerder van gebruikerstoegang | Rollen toevoegen en verwijderen | Beheerd door ACL | De rol Gebruikerstoegangbeheerder kan gebruikerstoegang tot accounts beheren. |
Zie Gebruikers of beveiligingsgroepen toewijzen aan Data Lake Storage Gen1-accounts voor instructies.
ACL's gebruiken voor bewerkingen op bestandssystemen
Data Lake Storage Gen1 is een hiërarchisch bestandssysteem zoals Hadoop Distributed File System (HDFS) en ondersteunt POSIX ACL's. Hiermee worden leesmachtigingen (r), schrijven (w) en uitvoeren (x) voor resources voor de rol Eigenaar, voor de groep Eigenaren en voor andere gebruikers en groepen. In Data Lake Storage Gen1 kunnen ACL's worden ingeschakeld in de hoofdmap, in submappen en in afzonderlijke bestanden. Zie Toegangsbeheer in Data Lake Storage Gen1 voor meer informatie over hoe ACL's werken in de context van Data Lake Storage Gen1.
U wordt aangeraden ACL's voor meerdere gebruikers te definiëren met behulp van beveiligingsgroepen. Voeg gebruikers toe aan een beveiligingsgroep en wijs vervolgens de ACL's voor een bestand of map toe aan die beveiligingsgroep. Dit is handig als u toegewezen machtigingen wilt verlenen, omdat u maximaal 28 vermeldingen voor toegewezen machtigingen hebt. Zie Assign users or security group as ACL's to the Data Lake Storage Gen1 file system (Gebruikers of beveiligingsgroepen als ACL's toewijzen aan het Data Lake Storage Gen1-bestandssysteem) voor meer informatie over het beter beveiligen van gegevens die zijn opgeslagen in Data Lake Storage Gen1met behulp van Azure Active Directory-beveiligingsgroepen.
Netwerkisolatie
Gebruik Data Lake Storage Gen1 om de toegang tot uw gegevensopslag op netwerkniveau te controleren. U kunt firewalls tot stand brengen en een IP-adresbereik definiëren voor uw vertrouwde clients. Met een IP-adresbereik kunnen alleen clients met een IP-adres binnen het gedefinieerde bereik verbinding maken met Data Lake Storage Gen1.
Virtuele Azure-netwerken (VNet) ondersteunen servicetags voor Data Lake Gen 1. Een servicetag vertegenwoordigt een groep IP-adres voorvoegsels van een bepaalde Azure-service. Microsoft beheert de adres-voorvoegsels die worden omvat door de servicetag en werkt de servicetag automatisch bij wanneer adressen worden gewijzigd. Zie Overzicht van Azure-servicetags voor meer informatie.
Gegevensbeveiliging
Data Lake Storage Gen1 beschermt uw gegevens gedurende de hele levenscyclus. Data Lake Storage Gen1 maakt gebruik van het industriestandaard Transport Layer Security(TLS 1.2)-protocol om gegevens via het netwerk te beveiligen.
Data Lake Storage Gen1 biedt ook versleuteling voor gegevens die zijn opgeslagen in het account. U kunt ervoor kiezen de gegevens te versleutelen of niet te versleutelen. Als u kiest voor versleuteling, worden gegevens die zijn opgeslagen in Data Lake Storage Gen1 versleuteld voordat ze op permanente media worden opgeslagen. In dat geval versleutelt Data Lake Storage Gen1 gegevens automatisch voordat ze worden opgeslagen en ontsleutelt het gegevens voordat ze worden opgehaald, zodat deze volledig transparant zijn voor de client die toegang heeft tot de gegevens. Er is geen codewijziging vereist aan de clientzijde om gegevens te versleutelen/ontsleutelen.
Voor sleutelbeheer biedt Data Lake Storage Gen1 twee modi voor het beheren van uw hoofdversleutelingssleutels (MEK's), die vereist zijn voor het ontsleutelen van gegevens die zijn opgeslagen in Data Lake Storage Gen1. U kunt Data Lake Storage Gen1 de MEK's voor u laten beheren of ervoor kiezen om het eigendom van de MEK's te behouden met uw Azure Key Vault account. U geeft de modus voor sleutelbeheer op tijdens het maken van een Data Lake Storage Gen1-account. Zie Aan de slag met Azure Data Lake Storage Gen1 met behulp van Azure Portal voor meer informatie over het bieden van versleutelingsgerelateerde configuratie.
Diagnostische en activiteitslogboeken
U kunt activiteiten- of diagnostische logboeken gebruiken, afhankelijk van of u logboeken zoekt voor accountbeheergerelateerde activiteiten of gegevensgerelateerde activiteiten.
- Accountbeheergerelateerde activiteiten maken gebruik van Azure Resource Manager API's en worden in de Azure Portal via activiteitenlogboeken.
- Gegevensgerelateerde activiteiten maken gebruik van WebHDFS REST API's en worden in de Azure Portal via diagnostische logboeken.
Activiteitenlogboek
Om te voldoen aan de regelgeving, kan een organisatie voldoende audittrails van accountbeheeractiviteiten nodig hebben als er dieper moet worden in specifieke incidenten. Data Lake Storage Gen1 heeft ingebouwde bewaking en registreert alle accountbeheeractiviteiten.
Voor audittrails voor accountbeheer bekijkt en kiest u de kolommen die u wilt logboeken. U kunt ook activiteitenlogboeken exporteren naar Azure Storage.
Zie Activiteitenlogboeken weergeven om acties voor resources te controleren voor meer informatie over het werken met activiteitenlogboeken.
Logboeken met diagnostische gegevens
U kunt controle van gegevenstoegang en diagnostische logboekregistratie inschakelen in de Azure Portal en de logboeken verzenden naar een Azure Blob Storage-account, een Event Hub of Azure Monitor logboeken.
Zie Toegang tot diagnostische logboeken voor Data Lake Storage Gen1 voor meer informatie over het werken met diagnostische logboeken met Data Lake Storage Gen1.
Samenvatting
Zakelijke klanten vragen een cloudplatform voor gegevensanalyse dat veilig en eenvoudig te gebruiken is. Data Lake Storage Gen1 is ontworpen om aan deze vereisten te voldoen via identiteitsbeheer en verificatie via Azure Active Directory-integratie, ACL-autorisatie, netwerkisolatie, gegevensversleuteling in transit en at-rest en controle.
Als u nieuwe functies in Data Lake Storage Gen1 wilt zien, stuurt u ons uw feedback op het Data Lake Storage Gen1 UserVoice-forum.