Azure Data Lake Depolama 1. Nesil'de güvenlik
Birçok kurum, akıllı kararlar almalarına yardımcı olmak için iş içgörüleri için büyük veri analizini kullanıyor. Bir kuruluşun karmaşık ve düzenlenmiş bir ortamı olabilir ve farklı kullanıcı sayısı artmaktadır. Bir kuruluş, kritik iş verilerini tek tek kullanıcılara doğru erişim düzeyiyle daha güvenli bir şekilde depolar. Azure Data Lake Depolama 1. Nesil, bu güvenlik gereksinimlerini karşılamaya yardımcı olmak için tasarlanmıştır. Bu makalede, Data Lake Depolama 1. Nesil'in güvenlik özellikleri hakkında bilgi bulabilirsiniz:
- Kimlik Doğrulaması
- Yetkilendirme
- Ağ yalıtımı
- Veri koruma
- Denetim
Kimlik doğrulaması ve kimlik yönetimi
Kimlik doğrulaması, kullanıcı Data Lake Depolama 1. Nesil ile veya Data Lake Depolama 1. Nesil'e bağlanan herhangi bir hizmetle etkileşim kurduğunda kullanıcının kimliğinin doğrulanan işlemdir. Kimlik yönetimi ve kimlik doğrulaması için Data Lake Depolama 1. Nesil, kullanıcı vegrupların yönetimini basitleştiren kapsamlı bir kimlik ve erişim yönetimi bulut çözümü olan Azure Active Directory'i kullanır.
Her Azure aboneliği bir azure aboneliği örneğiyle Azure Active Directory. Data Lake Depolama 1. Nesil SDK'sı kullanılarak Azure portal, komut satırı araçları veya kurum 1. Nesil SDK'sı kullanılarak yapılan istemci uygulamaları aracılığıyla Data Lake Depolama Depolama 1. Nesil hesabınıza yalnızca Azure Active Directory hizmetiniz tarafından tanımlanan kullanıcılar ve hizmet kimlikleri erişebilirsiniz. Merkezi erişim denetimi Azure Active Directory kullanımın temel avantajları:
- Basitleştirilmiş kimlik yaşam döngüsü yönetimi. Dizinde hesabı silerek veya devre dışı bırakarak bir kullanıcının veya hizmetin kimliği (hizmet sorumlusu kimliği) hızlı bir şekilde oluşturulabilir ve hızlı bir şekilde iptal edilebilir.
- Çok faktörlü kimlik doğrulaması. Çok faktörlü kimlik doğrulaması, kullanıcı oturum açma işlemleri ve işlemleri için ek bir güvenlik katmanı sağlar.
- OAuth veya OpenID gibi standart bir açık protokol aracılığıyla herhangi bir istemciden kimlik doğrulaması.
- Kurumsal dizin hizmetleri ve bulut kimlik sağlayıcılarıyla federasyon.
Yetkilendirme ve erişim denetimi
Bu Azure Active Directory, kullanıcının Data Lake Depolama 1. Nesil'e erişmesi için kullanıcının kimliğini doğrular. Yetkilendirme, Data Lake Depolama 1. Nesil için erişim izinlerini kontrol eder. Data Lake Depolama 1. Nesil, hesap ve veriyle ilgili etkinlikler için yetkilendirmeyi aşağıdaki şekilde birbirinden ayırıyor:
- Hesap yönetimi için Azure rol tabanlı erişim denetimi (Azure RBAC)
- Mağazada verilere erişmek için POSIX ACL
Hesap yönetimi için Azure RBAC
Data Lake 1. Nesil için varsayılan Depolama dört temel rol tanımlanır. Roller, Azure portal, PowerShell cmdlet'leri ve REST API'leri aracılığıyla Data Lake Depolama 1. Nesil hesabında farklı işlemlere izin sağlar. Sahip ve Katkıda Bulunan rolleri, hesapta çeşitli yönetim işlevleri gerçekleştirebilirsiniz. Okuyucu rolünü yalnızca hesap yönetimi verilerini görüntülemesi gereken kullanıcılara atabilirsiniz.
Hesap yönetimi için roller atanmış olsa da, bazı rollerin verilere erişimi etkilediğini unutmayın. ACL'leri kullanarak kullanıcının dosya sisteminde gerçekleştirecekleri işlemlere erişimi denetlemeniz gerekir. Aşağıdaki tabloda, varsayılan roller için yönetim haklarının ve veri erişim haklarının bir özeti yer alır.
| Roller | Yönetim hakları | Veri erişim hakları | Açıklama |
|---|---|---|---|
| Rol atanmamış | Hiçbiri | ACL tarafından yönetilir | Kullanıcı Data Lake Azure portal Azure PowerShell 1. Nesil'e göz atmak için Depolama cmdlet'lerini kullanamaz. Kullanıcı yalnızca komut satırı araçlarını kullanabilir. |
| Sahip | Tümü | Tümü | Sahip rolü bir süper kullanıcıdır. Bu rol her şeyi yönetebilir ve verilere tam erişime sahip olur. |
| Okuyucu | Salt okunur | ACL tarafından yönetilir | Okuyucu rolü, hangi kullanıcının hangi role atandığı gibi hesap yönetimiyle ilgili her şeyi görüntülemeye devam edebilirsiniz. Okuyucu rolü herhangi bir değişiklik yapmamaktadır. |
| Katılımcı | Rol ekleme ve kaldırma dışında hepsi | ACL tarafından yönetilir | Katkıda Bulunan rolü, bir hesabın dağıtımlar ve uyarılar oluşturma ve yönetme gibi bazı yönlerini yönetebilir. Katkıda Bulunan rolü rol ekamaz veya kaldıramaz. |
| Kullanıcı Erişimi Yöneticisi | Rol ekleme ve kaldırma | ACL tarafından yönetilir | Kullanıcı Erişimi Yöneticisi rolü, hesaplara kullanıcı erişimini yönetebilir. |
Yönergeler için bkz. Data Lake'e kullanıcı veya güvenlik Depolama 1. Nesil hesapları atama.
Dosya sistemlerindeki işlemler için ACL'leri kullanma
Data Lake Depolama 1. Nesil, Hadoop Dağıtılmış Dosya Sistemi (HDFS) gibi bir hiyerarşik dosya sistemidir ve POSIX ACL'lerini destekler. Sahip rolü, Sahipler grubu ve diğer kullanıcılar ve gruplar için okuma (r), yazma (w) ve yürütme (x) izinlerini kontrol eder. Data Lake Depolama 1. Nesil'de ACL'ler kök klasörde, alt klasörlerde ve tek tek dosyalarda etkinleştirilebilir. ACL'lerin Data Lake 1. Nesil bağlamında nasıl Depolama daha fazla bilgi için bkz. Data Lake Depolama 1. Nesil.
Güvenlik gruplarını kullanarak birden çok kullanıcı için ACL tanımlamanız önerilir. Kullanıcıları bir güvenlik grubuna ekleyin ve ardından bir dosya veya klasörün ACL'lerini bu güvenlik grubuna atatabilirsiniz. Atanan izinler için en fazla 28 girişle sınırlı olduğunuz için, atanmış izinler sağlamak istediğiniz zaman bu yararlı olur. Azure Active Directory güvenlik gruplarını kullanarak Data Lake Depolama 1. Nesil'de depolanan verilerin daha iyi güvenliğini sağlama hakkında daha fazla bilgi için bkz. Data Lake Depolama 1.Nesil dosya sistemine ACL olarak kullanıcı veya güvenlik grubu atama.
Ağ yalıtımı
Veri deponıza Depolama ağ düzeyinde denetlemeye yardımcı olmak için Data Lake Depolama 1. Nesil'i kullanın. Güvenlik duvarları kurabilirsiniz ve güvenilen istemcileriniz için bir IP adresi aralığı tanımlayabilirsiniz. BIR IP adresi aralığı ile, yalnızca tanımlı aralık içinde IP adresine sahip istemciler Data Lake Depolama 1. Nesil'e bağlanabilirsiniz.
Azure sanal ağları (VNet), Data Lake 1. Nesil için hizmet etiketlerini destekler. Hizmet etiketi, belirli bir Azure hizmetinin IP adresi ön ekleri grubunu temsil eder. Microsoft, hizmet etiketinin kapsamış olduğu adres ön eklerini yönetir ve adresler değiştiklerinde hizmet etiketini otomatik olarak günceller. Daha fazla bilgi için bkz. Azure hizmet etiketlerine genel bakış.
Veri koruma
Data Lake Depolama 1. Nesil, verilerinizi yaşam döngüsü boyunca korur. Data Lake Depolama 1. Nesil, aktarımdaki veriler için ağ üzerinden verilerin güvenliğini sağlamak üzere endüstri standardı Aktarım Katmanı Güvenliği (TLS 1.2) protokolünü kullanır.
Data Lake Depolama 1. Nesil, hesapta depolanan veriler için de şifreleme sağlar. Verilerinizin şifrelenmesini tercih edebilir ya da şifrelemeyi kabul etmeyebilirsiniz. Şifrelemeyi kabul ediyorsanız Data Lake Depolama 1. Nesil'de depolanan veriler kalıcı medyada depolanmasından önce şifrelenir. Böyle bir durumda Data Lake Depolama 1. Nesil, verileri kalıcı hale getirmeden önce otomatik olarak şifreler ve veri alımından önce verilerin şifresini çözerek verilere erişen istemci için tamamen saydamdır. İstemci tarafında verileri şifrelemek/şifresini çözmek için kod değişikliği gerekmez.
Anahtar yönetimi için Data Lake Depolama 1. Nesil, Data Lake Depolama 1. Nesil'de depolanan verilerin şifresini çözmek için gereken ana şifreleme anahtarlarınızı (MEK) yönetmek için iki mod sağlar. Data Lake'in Depolama 1. Nesil'in MEK'leri sizin için yönetmesine izin ve Azure Key Vault seçebilirsiniz. Data Lake Depolama 1. Nesil hesabı oluştururken anahtar yönetimi modunu belirtirsiniz. Şifrelemeyle ilgili yapılandırma sağlama hakkında daha fazla bilgi için bkz. Azure Kullanmaya başlayın Kullanarak Azure Data Lake Depolama 1. Nesilile yapılandırma.
Etkinlik ve tanılama günlükleri
Hesap yönetimiyle ilgili etkinlikler veya verilerle ilgili etkinlikler için günlükler aramanıza bağlı olarak etkinlik veya tanılama günlüklerini kullanabilirsiniz.
- Hesap yönetimiyle ilgili etkinlikler, Azure Resource Manager API'leri kullanır ve etkinlik günlükleri Azure portal içinde ortaya çıkar.
- Verilerle ilgili etkinlikler WebHDFS REST API'lerini kullanır ve tanılama günlükleri aracılığıyla Azure portal içinde ortaya çıkar.
Etkinlik günlüğü
Düzenlemelere uymak için bir kuruluş, belirli olayları incelemesi gerekirse hesap yönetimi etkinliklerinin yeterli denetim izinlerini gerekli olabilir. Data Lake Depolama 1. Nesil yerleşik izlemeye sahiptir ve tüm hesap yönetimi etkinliklerini günlüğe kaydeder.
Hesap yönetimi denetim kayıtları için günlüğe almak istediğiniz sütunları görüntüp seçin. Ayrıca etkinlik günlüklerini Azure Depolama.
Etkinlik günlükleri ile çalışma hakkında daha fazla bilgi için bkz. Kaynaklarda eylemleri denetlemeye ilişkin etkinlik günlüklerini görüntüleme.
Tanılama günlükleri
Veri erişim denetimini ve tanılama günlüğünü Azure portal Azure Blob depolama hesabına, olay hub'larına veya günlüklere Azure İzleyici gönderebilirsiniz.
Data Lake Depolama 1. Nesil ile tanılama günlükleriyle çalışma hakkında daha fazla bilgi için bkz. Data Lake Depolama 1. Nesil için tanılama günlüklerine erişme.
Özet
Enterprise güvenli ve kullanımı kolay bir veri analizi bulut platformu talep eder. Data Lake Depolama 1. Nesil, Azure Active Directory tümleştirmesi, ACL tabanlı yetkilendirme, ağ yalıtımı, taşıma ve bekleme sırasında veri şifrelemesi ve denetim aracılığıyla kimlik yönetimi ve kimlik doğrulaması yoluyla bu gereksinimlerin karşı gereksinimlerini karşılamaya yardımcı olmak üzere tasarlanmıştır.
Data Lake Depolama 1. Nesil'de yeni özellikleri görmek için Data Lake Depolama 1. Nesil UserVoice forumunda bize geri bildiriminizi gönderin.