Säkerhet i Azure Data Lake Storage Gen1
Många företag använder stordataanalys för affärsinsikter för att hjälpa dem att fatta smarta beslut. En organisation kan ha en komplex och reglerad miljö med ett ökande antal olika användare. Det är viktigt för ett företag att se till att kritiska affärsdata lagras säkrare, med rätt åtkomstnivå beviljad till enskilda användare. Azure Data Lake Storage Gen1 är utformat för att uppfylla dessa säkerhetskrav. I den här artikeln får du lära dig mer om säkerhetsfunktionerna i Data Lake Storage Gen1, inklusive:
- Autentisering
- Auktorisering
- Nätverksisolering
- Dataskydd
- Granskning
Autentisering och identitetshantering
Autentisering är den process genom vilken en användares identitet verifieras när användaren interagerar med Data Lake Storage Gen1 eller med en tjänst som ansluter till Data Lake Storage Gen1. För identitetshantering och autentisering använder Data Lake Storage Gen1 Azure Active Directory, en omfattande molnlösning för identitets- och åtkomsthantering som förenklar hanteringen av användare och grupper.
Varje Azure-prenumeration kan associeras med en instans av Azure Active Directory. Endast användare och tjänstidentiteter som definieras i Azure Active Directory-tjänsten kan komma åt ditt Data Lake Storage Gen1-konto med hjälp av Azure Portal, kommandoradsverktyg eller via klientprogram som din organisation skapar med hjälp av Data Lake Storage Gen1 SDK. Viktiga fördelar med att Azure Active Directory en centraliserad åtkomstkontrollmekanism är:
- Förenklad hantering av identitetslivscykeln. Identiteten för en användare eller en tjänst (en tjänsthuvudnamnsidentitet) kan snabbt skapas och återkallas snabbt genom att helt enkelt ta bort eller inaktivera kontot i katalogen.
- Multifaktorautentisering. Multifaktorautentisering ger ett extra säkerhetslager för användar inloggningar och transaktioner.
- Autentisering från alla klienter via ett öppet standardprotokoll, till exempel OAuth eller OpenID.
- Federation med katalogtjänster för företag och molnidentitetsleverantörer.
Auktorisering och åtkomstkontroll
När Azure Active Directory autentiserar en användare så att användaren kan komma åt Data Lake Storage Gen1, kontrollerar auktorisering åtkomstbehörigheter för Data Lake Storage Gen1. Data Lake Storage Gen1 separerar auktorisering för kontorelaterade och datarelaterade aktiviteter på följande sätt:
- Rollbaserad åtkomstkontroll i Azure (Azure RBAC) för kontohantering
- POSIX ACL för åtkomst till data i arkivet
Azure RBAC för kontohantering
Fyra grundläggande roller definieras för Data Lake Storage Gen1 som standard. Rollerna tillåter olika åtgärder på ett Data Lake Storage Gen1-konto via Azure Portal,PowerShell-cmdlets och REST-API:er. Rollerna Ägare och Deltagare kan utföra en mängd olika administrationsfunktioner för kontot. Du kan tilldela rollen Läsare till användare som bara visar kontohanteringsdata.
Observera att även om roller tilldelas för kontohantering så påverkar vissa roller åtkomsten till data. Du måste använda ACL:er för att styra åtkomsten till åtgärder som en användare kan utföra i filsystemet. I följande tabell visas en sammanfattning av hanteringsrättigheter och dataåtkomstbehörigheter för standardrollerna.
| Roller | Hanteringsrättigheter | Dataåtkomstbehörigheter | Förklaring |
|---|---|---|---|
| Ingen roll tilldelad | Ingen | Styrs av ACL | Användaren kan inte använda cmdletarna Azure Portal eller Azure PowerShell för att bläddra i Data Lake Storage Gen1. Användaren kan bara använda kommandoradsverktyg. |
| Ägare | Alla | Alla | Rollen Ägare är en superanvändare. Den här rollen kan hantera allt och har fullständig åtkomst till data. |
| Läsare | Skrivskyddad | Styrs av ACL | Rollen Läsare kan visa allt om kontohantering, till exempel vilken användare som har tilldelats till vilken roll. Rollen Läsare kan inte göra några ändringar. |
| Deltagare | Alla utom lägg till och ta bort roller | Styrs av ACL | Rollen Deltagare kan hantera vissa aspekter av ett konto, till exempel distributioner och skapa och hantera aviseringar. Rollen Deltagare kan inte lägga till eller ta bort roller. |
| Administratör för användaråtkomst | Lägga till och ta bort roller | Styrs av ACL | Rollen Administratör för användaråtkomst kan hantera användaråtkomst till konton. |
Anvisningar finns i Tilldela användare eller säkerhetsgrupper till Data Lake Storage Gen1-konton.
Använda ACL:er för åtgärder på filsystem
Data Lake Storage Gen1 är ett hierarkiskt filsystem som HDFS (Hadoop Distributed File System) och har stöd för POSIX-ACL:er. Den styr läsbehörighet (r), skrivning (w) och kör (x) behörigheter till resurser för rollen Ägare, för gruppen Ägare och för andra användare och grupper. I Data Lake Storage Gen1 kan ACL:er aktiveras i rotmappen, på undermappar och på enskilda filer. Mer information om hur ACL:er fungerar i samband med Data Lake Storage Gen1 finns i Åtkomstkontroll i Data Lake Storage Gen1.
Vi rekommenderar att du definierar ACL:er för flera användare med hjälp av säkerhetsgrupper. Lägg till användare i en säkerhetsgrupp och tilldela sedan ACL:er för en fil eller mapp till säkerhetsgruppen. Detta är användbart när du vill ange tilldelade behörigheter, eftersom du är begränsad till högst 28 poster för tilldelade behörigheter. Mer information om hur du bättre skyddar data som lagras i Data Lake Storage Gen1 med hjälp av Azure Active Directory-säkerhetsgrupper finns i Tilldela användare eller säkerhetsgrupper som ACL:er till Data Lake Storage Gen1-filsystemet.
Nätverksisolering
Använd Data Lake Storage Gen1 för att kontrollera åtkomsten till ditt datalager på nätverksnivå. Du kan upprätta brandväggar och definiera ett IP-adressintervall för dina betrodda klienter. Med ett IP-adressintervall kan endast klienter som har en IP-adress inom det definierade intervallet ansluta till Data Lake Storage Gen1.
Virtuella Azure-nätverk (VNet) stöder tjänsttaggar för Data Lake Gen 1. En tjänsttagg representerar en grupp med IP-adressprefix från en viss Azure-tjänst. Microsoft hanterar de adressprefix som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras. Mer information finns i Översikt över Azure-tjänsttaggar.
Dataskydd
Data Lake Storage Gen1 skyddar dina data under hela livscykeln. För data under överföring använder Data Lake Storage Gen1 protokollet TLS 1.2 (industry-standard Transport Layer Security) för att skydda data över nätverket.
Data Lake Storage Gen1 tillhandahåller också kryptering för data som lagras i kontot. Du kan välja att ha krypterade data eller välja ingen kryptering. Om du väljer kryptering krypteras data som lagras i Data Lake Storage Gen1 innan de lagras på permanenta media. I sådana fall krypterar Data Lake Storage Gen1 automatiskt data innan de sparas och dekrypterar data innan de hämtas, så det är helt transparent för klienten som kommer åt data. Det krävs ingen kodändring på klientsidan för att kryptera/dekryptera data.
För nyckelhantering tillhandahåller Data Lake Storage Gen1 två lägen för att hantera huvudkrypteringsnycklar (MEK), som krävs för att dekryptera alla data som lagras i Data Lake Storage Gen1. Du kan antingen låta Data Lake Storage Gen1 hantera MEK:er åt dig eller välja att behålla ägarskapet för MEK:erna med ditt Azure Key Vault konto. Du anger läget för nyckelhantering när du skapar ett Data Lake Storage Gen1-konto. Mer information om hur du tillhandahåller krypteringsrelaterad konfiguration finns i Kom igång med Azure Data Lake Storage Gen1 med hjälp av Azure Portal.
Aktivitets- och diagnostikloggar
Du kan använda aktivitets- eller diagnostikloggar, beroende på om du letar efter loggar för kontohanteringsrelaterade aktiviteter eller datarelaterade aktiviteter.
- Kontohanteringsrelaterade aktiviteter använder Azure Resource Manager-API:er och visas i Azure Portal via aktivitetsloggar.
- Datarelaterade aktiviteter använder WebHDFS REST API:er och visas i Azure Portal diagnostikloggar.
Aktivitetslogg
För att följa regler kan en organisation kräva lämpliga granskningsloggar för kontohanteringsaktiviteter om den behöver granska specifika incidenter. Data Lake Storage Gen1 har inbyggd övervakning och loggar alla kontohanteringsaktiviteter.
För granskningsloggar för kontohantering visar och väljer du de kolumner som du vill logga. Du kan också exportera aktivitetsloggar till Azure Storage.
Mer information om hur du arbetar med aktivitetsloggar finns i Visa aktivitetsloggar för att granska åtgärder för resurser.
Diagnostikloggar
Du kan aktivera granskning och diagnostisk loggning av dataåtkomst i Azure Portal och skicka loggarna till ett Azure Blob Storage-konto, en händelsehubb eller Azure Monitor loggar.
Mer information om hur du arbetar med diagnostikloggar med Data Lake Storage Gen1 finns i Åtkomst till diagnostikloggar för Data Lake Storage Gen1.
Sammanfattning
Företagskunder kräver en molnplattform för dataanalys som är säker och lättanvänd. Data Lake Storage Gen1 har utformats för att hjälpa till att hantera dessa krav genom identitetshantering och autentisering via Azure Active Directory-integrering, ACL-baserad auktorisering, nätverksisolering, datakryptering under överföring och i vila samt granskning.
Om du vill se nya funktioner i Data Lake Storage Gen1 kan du skicka feedback till Data Lake Storage Gen1 UserVoice-forumet.