Wat is de Enterprise-beveiligingspakket in Azure HDInsightWhat is Enterprise Security Package in Azure HDInsight

In het verleden, Azure HDInsight slechts één gebruiker ondersteund: lokale beheerder. Dit werkte heel goed voor kleinere toepassingsteams of afdelingen.In the past, Azure HDInsight supported only a single user: local admin. This worked great for smaller application teams or departments. Als Apache Hadoop gebaseerde workloads opgedaan populairder in de enterprise-sector, de noodzaak voor ondersteuning van geavanceerde mogelijkheden, zoals Active Directory gebaseerde verificatie, meerdere gebruikers, en op rollen gebaseerd toegangsbeheer steeds belangrijker.As Apache Hadoop-based workloads gained more popularity in the enterprise sector, the need for enterprise-grade capabilities like Active Directory-based authentication, multi-user support, and role-based access control became increasingly important.

U kunt een HDInsight-cluster maken met Enterprise Security Package (ESP) die lid van een Active Directory-domein is.You can create an HDInsight cluster with Enterprise Security Package (ESP) that's joined to an Active Directory domain. U kunt vervolgens een lijst met werknemers van de onderneming die zich via Azure Active Directory verifiëren kunnen te melden bij het HDInsight-cluster configureren.You can then configure a list of employees from the enterprise who can authenticate through Azure Active Directory to sign in to the HDInsight cluster. Niemand van buiten de onderneming kunt aanmelden of toegang tot het HDInsight-cluster.No one from outside the enterprise can sign in or access the HDInsight cluster.

De enterprise-beheerder op rollen gebaseerd toegangsbeheer (RBAC) kunt configureren voor Apache Hive-beveiliging met behulp van Apache Ranger.The enterprise admin can configure role-based access control (RBAC) for Apache Hive security by using Apache Ranger. RBAC configureren toegang wordt beperkt tot gegevens alleen wat u nodig hebt.Configuring RBAC restricts data access to only what's needed. De beheerder kan ten slotte de toegang tot de gegevens door werknemers en eventuele wijzigingen worden aangebracht aan het beleid voor toegangsbeheer controleren.Finally, the admin can audit the data access by employees and any changes done to access control policies. De beheerder kan vervolgens een hoge mate van beheer van hun bedrijfsbronnen behalen.The admin can then achieve a high degree of governance of their corporate resources.

Apache Oozie is nu ingeschakeld op ESP-clusters.Apache Oozie is now enabled on ESP clusters. Voor toegang tot de Oozie-webgebruikersinterface, gebruikers moeten inschakelen tunneling.To access the Oozie web UI, users should enable tunneling.

Bedrijfsbeveiliging bestaat uit vier belangrijke onderdelen: perimeterbeveiliging, verificatie, autorisatie en versleuteling.Enterprise security contains four major pillars: perimeter security, authentication, authorization, and encryption.

Voordelen van Enterprise Security Package HDInsight-clusters in de vier pijlers van beveiliging voor bedrijven..

PerimeterbeveiligingPerimeter security

Perimeterbeveiliging in HDInsight wordt bereikt door middel van virtuele netwerken en de Azure VPN-Gateway-service.Perimeter security in HDInsight is achieved through virtual networks and the Azure VPN Gateway service. Een enterprise-beheerder kan een ESP-cluster in een virtueel netwerk maken en gebruiken van netwerkbeveiligingsgroepen (firewallregels) toegang te beperken tot het virtuele netwerk.An enterprise admin can create an ESP cluster inside a virtual network and use network security groups (firewall rules) to restrict access to the virtual network. Alleen de IP-adressen die zijn gedefinieerd in de firewallregels voor binnenkomend verkeer is mogelijk om te communiceren met het HDInsight-cluster.Only the IP addresses defined in the inbound firewall rules will be able to communicate with the HDInsight cluster. Deze configuratie biedt perimeterbeveiliging.This configuration provides perimeter security.

Een andere perimeterbeveiligingslaag wordt bereikt via de VPN-Gateway-service.Another layer of perimeter security is achieved through the VPN Gateway service. De gateway fungeert als eerste verdedigingslinie voor elke inkomende aanvraag voor het HDInsight-cluster.The gateway acts as first line of defense for any incoming request to the HDInsight cluster. Deze worden aanvragen geaccepteerd, wordt deze gevalideerd en alleen vervolgens kan de aanvraag worden doorgegeven aan de andere knooppunten in het cluster.It accepts the request, validates it, and only then allows the request to pass to the other nodes in cluster. De gateway biedt op deze manier perimeterbeveiliging naar een andere naam- en gegevensknooppunten in het cluster.In this way, the gateway provides perimeter security to other name and data nodes in the cluster.

VerificatieAuthentication

Een bedrijfsbeheerder een HDInsight-cluster kunt maken met ESP in een virtueel netwerk.An enterprise admin can create a HDInsight cluster with ESP in a virtual network. Alle knooppunten van het HDInsight-cluster zijn gekoppeld aan het domein dat wordt beheerd via het bedrijf.All the nodes of the HDInsight cluster are joined to the domain that the enterprise manages. Dit wordt bereikt met behulp van Azure Active Directory Domain Services.This is achieved through the use of Azure Active Directory Domain Services.

Met deze instelling kunnen enterprise werknemers zich aanmelden op de clusterknooppunten met behulp van hun domeinreferenties.With this setup, enterprise employees can sign in to the cluster nodes by using their domain credentials. Ze kunnen hun domeinreferenties ook gebruiken om te verifiëren bij andere goedgekeurde eindpunten, zoals Apache Ambari-weergaven, ODBC, JDBC, PowerShell en REST-API's om te communiceren met het cluster.They can also use their domain credentials to authenticate with other approved endpoints like Apache Ambari Views, ODBC, JDBC, PowerShell, and REST APIs to interact with the cluster. De beheerder heeft volledige controle over het beperken van het aantal gebruikers die met het cluster via deze eindpunten werken.The admin has full control over limiting the number of users who interact with the cluster via these endpoints.

AutorisatieAuthorization

Een best practice die volgen op de meeste bedrijven is ervoor te zorgen dat niet alle werknemers toegang tot alle bedrijfsresources heeft.A best practice that most enterprises follow is making sure that not every employee has access to all enterprise resources. De beheerder kan ook op rollen gebaseerd beleid voor toegangsbeheer voor de clusterresources definiëren.Likewise, the admin can define role-based access control policies for the cluster resources.

De beheerder kan bijvoorbeeld Apache Ranger configureren om toegangscontrolebeleid in te stellen voor Hive.For example, the admin can configure Apache Ranger to set access control policies for Hive. Deze functionaliteit zorgt ervoor dat werknemers toegang heeft tot alleen gegevens die ze nodig hebben om succesvol in hun werk te zijn.This functionality ensures that employees can access only as much data as they need to be successful in their jobs. SSH-toegang tot het cluster is ook beperkt tot alleen de beheerder.SSH access to the cluster is also restricted to only the administrator.

ControlerenAuditing

Controle van alle toegang tot de resources van het cluster en de gegevens is die nodig zijn om bij te houden van onbevoegde of onbedoelde toegang van de resources.Auditing of all access to the cluster resources, and the data, is necessary to track unauthorized or unintentional access of the resources. Het is net zo belangrijk als de HDInsight-clusterresources te beveiligen tegen onbevoegde gebruikers en de gegevens te beveiligen.It's as important as protecting the HDInsight cluster resources from unauthorized users and securing the data.

De beheerder kan weergeven en rapporteren van alle toegang tot het HDInsight-clusterresources en gegevens.The admin can view and report all access to the HDInsight cluster resources and data. De beheerder kan ook weergeven en rapporteren van alle wijzigingen aan het beleid voor toegangsbeheer in Apache Ranger ondersteunde eindpunten hebt gemaakt.The admin can also view and report all changes to the access control policies created in Apache Ranger supported endpoints.

Een HDInsight-cluster met ESP maakt gebruik van de vertrouwde Apache Ranger-gebruikersinterface om te zoeken naar de logboeken voor controle.A HDInsight cluster with ESP uses the familiar Apache Ranger UI to search audit logs. Op de back-end, Ranger maakt gebruik van Apache Solr voor het opslaan en zoeken naar Logboeken.On the back end, Ranger uses Apache Solr for storing and searching the logs.

VersleutelingEncryption

Beveiligen van gegevens is belangrijk voor vergadering beveiligings- en vereisten van de organisatie.Protecting data is important for meeting organizational security and compliance requirements. Naast het beperken van toegang tot gegevens onbevoegde werknemers, moet u het versleutelen.Along with restricting access to data from unauthorized employees, you should encrypt it.

Beide voor gegevensopslag voor HDInsight-clusters, Azure Blob storage en Azure Data Lake Storage Gen1/Gen2, ondersteuning voor transparante serverzijde versleuteling van gegevens at-rest.Both data stores for HDInsight clusters, Azure Blob storage and Azure Data Lake Storage Gen1/Gen2, support transparent server-side encryption of data at rest. Beveiligde HDInsight-clusters werken naadloos samen met deze mogelijkheid van server-side-versleuteling van data-at-rest.Secure HDInsight clusters will seamlessly work with this capability of server-side encryption of data at rest.

Volgende stappenNext steps