Безопасность в Azure Data Explorer

  • Статья

В этой статье содержатся общие сведения о безопасности в Azure Data Explorer, которые помогут защитить данные и ресурсы в облаке, а также обеспечить соответствие требованиям к безопасности вашего бизнеса. Важно обеспечить безопасность кластеров. Для защиты кластеров применяются одна или несколько функций Azure, которые включают безопасный доступ и хранилище. В этой статье содержатся сведения, помогающие поддерживать безопасность кластера.

Дополнительные ресурсы, связанные с соответствием требованиям для вашего бизнеса или организации, см. в документации по соответствию требованиям Azure.

Безопасность сети

Сетевая безопасность является требованием многих наших корпоративных клиентов, уделяющих внимание безопасности. Цель заключается в том, чтобы изолировать сетевой трафик и ограничить область атаки в Azure Data Explorer и соответствующие каналы связи. Таким образом вы можете блокировать трафик из сегментов сети, не относящихся к Azure Data Explorer, и гарантировать, что в конечные точки Azure Data Explorer поступает трафик только из известных источников. Сюда входит трафик из локальных сред или извне Azure, направляемый в Azure, или наоборот. Azure Data Explorer поддерживает следующие возможности, позволяющие достичь эту цель:

Мы настоятельно рекомендуем использовать частные конечные точки для защиты сетевого доступа к кластеру. У этого варианта множество преимуществ по сравнению с внедрением виртуальной сети, которые обеспечат снижение затрат на обслуживание, включая более простой процесс развертывания и большую устойчивость к изменениям виртуальной сети.

Идентификаторы и управление доступом

Управление доступом на основе ролей

Используйте управление доступом на основе ролей для разделения обязанностей и предоставления пользователям кластера только необходимых прав доступа. Вместо того чтобы предоставлять всем пользователям неограниченные разрешения в кластере, можно разрешить выполнение определенных действий только пользователям с конкретными ролям. Вы можете настроить управление доступом для базы данных на портале Azure с помощью Azure CLI или Azure PowerShell.

Управляемые удостоверения для ресурсов Azure

Распространенная проблема при создании облачных приложений — управление учетными данными в коде для проверки подлинности в облачных службах. Обеспечение безопасности учетных данных является важной задачей. Учетные данные не должны храниться на рабочих станциях разработчиков или возвращаться в систему управления версиями. Azure Key Vault позволяет обеспечить безопасное хранение учетных данных, секретов, а также других ключей, но для их получения код должен выполнять проверку подлинности в Key Vault.

Эта проблема решается с помощью функции Microsoft Entra управляемых удостоверений для ресурсов Azure. Эта функция предоставляет службам Azure автоматически управляемое удостоверение в Microsoft Entra идентификаторе. Удостоверение можно использовать для проверки подлинности в любой службе, поддерживающей проверку подлинности Microsoft Entra, включая Key Vault, без каких-либо учетных данных в коде. Дополнительные сведения об этой службе см. в статье c общими сведениями об управляемых удостоверениях для ресурсов Azure.

Защита данных

Шифрование дисков Azure

Шифрование дисков Azure помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Оно обеспечивает шифрование томов для дисков ОС и данных на виртуальных машинах кластера. Шифрование дисков Azure также интегрируется с Azure Key Vault, что позволяет управлять ключами и секретами шифрования и обеспечивать шифрование всех данных на дисках виртуальных машин.

Управляемые клиентом ключи с использованием Azure Key Vault

По умолчанию данные шифруются с помощью ключей, управляемых корпорацией Майкрософт. Для дополнительного управления ключами шифрования можно предоставить ключи, управляемые клиентом, чтобы шифровать данные. Вы можете управлять шифрованием данных на уровне хранилища с помощью собственных ключей. Ключ, управляемый клиентом, применяется для защиты и контроля доступа к корневому ключу шифрования, который используется для шифрования и расшифровки всех данных. Ключи, управляемые клиентом, обеспечивают большую гибкость при создании, смене, отключении и отзыве контроля доступа, Они также дают возможность выполнять аудит ключей шифрования, используемых для защиты ваших данных.

Для хранения ключей, управляемых клиентом, используйте Azure Key Vault. Можно либо создать собственные ключи и хранить их в хранилище ключей, либо использовать для их генерации API-интерфейсы Azure Key Vault. Кластер Azure Data Explorer и хранилище Azure Key Vault должны быть расположены в одном регионе, но могут находиться в разных подписках. Дополнительные сведения об Azure Key Vault см. в статье Что такое Azure Key Vault?. Подробное описание ключей, управляемых клиентом, см. в статье Управляемые клиентом ключи с использованием Azure Key Vault. Настройте ключи, управляемые клиентом, в кластере Azure Data Explorer с помощью портала, C#, шаблона Azure Resource Manager, интерфейса командной строки (CLI) или PowerShell.

Примечание

Ключи, управляемые клиентом, зависят от управляемых удостоверений для ресурсов Azure— функции идентификатора Microsoft Entra. Чтобы настроить ключи, управляемые клиентом, на портале Azure, настройте управляемое удостоверение для кластера, как описано в разделе Настройка управляемых удостоверений для кластера Azure Data Explorer.

Сохраните ключи, управляемые клиентом, в хранилище Azure Key Vault

Чтобы включить ключи, управляемые клиентом, в кластере, используйте хранилище Azure Key Vault для хранения ключей. В хранилище ключей вы должны включить оба свойства: Обратимое удаление и Не очищать. Хранилище ключей должно находиться в том же регионе, что и кластер. Azure Data Explorer использует управляемые удостоверения для ресурсов Azure с целью проверки подлинности в хранилище ключей при проведении операций шифрования и расшифровки. Управляемые удостоверения не поддерживаются в сценариях работы с разными каталогами.

Циклическая смена управляемых клиентом ключей

Вы можете периодически сменять управляемый клиентом ключ в Azure Key Vault в соответствии с применяемыми политиками соответствия требованиям. Чтобы сменить ключ в Azure Key Vault, обновите версию ключа или создайте новый ключ, а затем обновите кластер для шифрования данных с использованием нового кода URI ключа. Это можно сделать с помощью Azure CLI или на портале. При циклической смене ключа не запускается повторное шифрование имеющихся в кластере данных.

При смене ключа обычно указывается то же удостоверение, что и при создании кластера. Кроме того, вы можете настроить новое пользовательское удостоверение для доступа к ключам или же указать назначенное системой удостоверение для кластера.

Примечание

Убедитесь в том, что удостоверению, настроенному для доступа к ключам, предоставлены необходимые разрешения на получение, распаковку и упаковку ключа.

Обновление версии ключа

Распространенным сценарием является обновление версии ключа, управляемого клиентом. В зависимости от того, как настроено шифрование кластера, управляемый клиентом ключ в кластере обновляется автоматически или вручную.

Отзыв доступа к управляемым клиентом ключам

Чтобы отозвать доступ к управляемым клиентом ключам, используйте PowerShell или Azure CLI. Дополнительные сведения см. в разделе Azure Key Vault PowerShell или Azure Key Vault CLI. Отмена доступа блокирует доступ ко всем данным на уровне хранилища кластера, так как ключ шифрования станет недоступен службе Azure Data Explorer.

Примечание

Когда служба Azure Data Explorer определяет, что доступ к ключу, управляемому клиентом, отменен, она автоматически приостанавливает работу кластера для удаления всех кэшированных данных. После восстановления доступа к ключу работа кластера возобновляется автоматически.

См. также