Azure Data Lake Storage 1. güvenlikSecurity in Azure Data Lake Storage Gen1

Birçok kuruluş, iş öngörüleri için büyük veri analizinden yararlanarak akıllı kararlar almasına yardımcı olur.Many enterprises are taking advantage of big data analytics for business insights to help them make smart decisions. Bir kuruluş karmaşık ve düzenlenmiş bir ortama sahip olabilir ve birçok farklı kullanıcı sayısını artırır.An organization might have a complex and regulated environment, with an increasing number of diverse users. Bir kuruluş için kritik iş verilerinin bireysel kullanıcılara verilen doğru erişim düzeyiyle daha güvenli bir şekilde saklandığından emin olması çok önemlidir.It is vital for an enterprise to make sure that critical business data is stored more securely, with the correct level of access granted to individual users. Azure Data Lake Storage 1., bu güvenlik gereksinimlerinin karşılamasına yardımcı olmak için tasarlanmıştır.Azure Data Lake Storage Gen1 is designed to help meet these security requirements. Bu makalede, aşağıdakiler de dahil olmak üzere Data Lake Storage 1. güvenlik özellikleri hakkında bilgi edinin:In this article, learn about the security capabilities of Data Lake Storage Gen1, including:

  • Kimlik DoğrulamasıAuthentication
  • YetkilendirmeAuthorization
  • Ağ yalıtımıNetwork isolation
  • Veri korumaData protection
  • DenetimAuditing

Kimlik doğrulama ve kimlik yönetimiAuthentication and identity management

Kimlik doğrulaması, Kullanıcı Data Lake Storage 1. veya Data Lake Storage 1. bağlanan herhangi bir hizmetle etkileşime geçtiğinde bir kullanıcının kimliğinin doğrulanması işlemidir.Authentication is the process by which a user's identity is verified when the user interacts with Data Lake Storage Gen1 or with any service that connects to Data Lake Storage Gen1. Kimlik yönetimi ve kimlik doğrulaması için Data Lake Storage 1., kullanıcıların ve grupların yönetimini kolaylaştıran kapsamlı bir kimlik ve erişim yönetimi bulut çözümü olan Azure Active Directorykullanır.For identity management and authentication, Data Lake Storage Gen1 uses Azure Active Directory, a comprehensive identity and access management cloud solution that simplifies the management of users and groups.

Her Azure aboneliği, bir Azure Active Directory örneğiyle ilişkilendirilebilir.Each Azure subscription can be associated with an instance of Azure Active Directory. Yalnızca Azure Active Directory hizmetinizde tanımlanan kullanıcılar ve hizmet kimlikleri Data Lake Storage 1. hesabınıza Azure portal, komut satırı araçlarını veya kuruluşunuzun Data Lake Storage 1. SDK kullanarak oluşturduğu istemci uygulamalarını kullanarak erişebilir.Only users and service identities that are defined in your Azure Active Directory service can access your Data Lake Storage Gen1 account, by using the Azure portal, command-line tools, or through client applications your organization builds by using the Data Lake Storage Gen1 SDK. Merkezi erişim denetimi mekanizması olarak Azure Active Directory kullanmanın temel avantajları şunlardır:Key advantages of using Azure Active Directory as a centralized access control mechanism are:

  • Basitleştirilmiş kimlik yaşam döngüsü yönetimi.Simplified identity lifecycle management. Bir kullanıcının veya hizmetin kimliği (hizmet sorumlusu kimliği), dizindeki hesabı silerek veya devre dışı bırakarak hızlı bir şekilde oluşturulabilir ve hızlı bir şekilde iptal edilebilir.The identity of a user or a service (a service principal identity) can be quickly created and quickly revoked by simply deleting or disabling the account in the directory.
  • Multi-Factor Authentication.Multi-factor authentication. Multi-Factor Authentication , Kullanıcı oturum açma işlemleri ve işlemler için ek bir güvenlik katmanı sağlar.Multi-factor authentication provides an additional layer of security for user sign-ins and transactions.
  • OAuth veya OpenID gibi standart bir açık protokol aracılığıyla herhangi bir istemciden kimlik doğrulaması.Authentication from any client through a standard open protocol, such as OAuth or OpenID.
  • Kurumsal Dizin Hizmetleri ve bulut kimlik sağlayıcılarıyla Federasyon.Federation with enterprise directory services and cloud identity providers.

Yetkilendirme ve erişim denetimiAuthorization and access control

Azure Active Directory bir kullanıcının kimliğini doğruladıktan sonra, kullanıcının Data Lake Storage 1. erişebilmeleri için yetkilendirme denetimleri erişim izinleri Data Lake Storage 1..After Azure Active Directory authenticates a user so that the user can access Data Lake Storage Gen1, authorization controls access permissions for Data Lake Storage Gen1. Data Lake Storage 1. hesapla ilgili ve verilerle ilgili etkinliklere yönelik yetkilendirmeyi aşağıdaki şekilde ayırır:Data Lake Storage Gen1 separates authorization for account-related and data-related activities in the following manner:

Hesap yönetimi için Azure RBACAzure RBAC for account management

Dört temel rol, varsayılan olarak Data Lake Storage 1. için tanımlanmıştır.Four basic roles are defined for Data Lake Storage Gen1 by default. Roller, Azure portal, PowerShell cmdlet 'leri ve REST API 'Leri aracılığıyla Data Lake Storage 1. hesapta farklı işlemlere izin verir.The roles permit different operations on a Data Lake Storage Gen1 account via the Azure portal, PowerShell cmdlets, and REST APIs. Sahip ve katkıda bulunan rolleri, hesapta çeşitli yönetim işlevleri gerçekleştirebilir.The Owner and Contributor roles can perform a variety of administration functions on the account. Okuyucu rolünü yalnızca hesap yönetimi verilerini görüntüleyen kullanıcılara atayabilirsiniz.You can assign the Reader role to users who only view account management data.

Azure rolleriAzure roles

Roller hesap yönetimi için atanmış olsa da, bazı rollerin verilere erişimi etkilediği unutulmamalıdır.Note that although roles are assigned for account management, some roles affect access to data. Bir kullanıcının dosya sisteminde gerçekleştirebileceği işlemlere erişimi denetlemek için ACL 'Leri kullanmanız gerekir.You need to use ACLs to control access to operations that a user can perform on the file system. Aşağıdaki tabloda, varsayılan roller için yönetim haklarının ve veri erişim haklarının bir özeti gösterilmektedir.The following table shows a summary of management rights and data access rights for the default roles.

RollerRoles Yönetim haklarıManagement rights Veri erişim haklarıData access rights AçıklamaExplanation
Atanan rol yokNo role assigned HiçbiriNone ACL 'ye tabidirGoverned by ACL Kullanıcı Data Lake Storage 1. taramak için Azure portal veya Azure PowerShell cmdlet 'lerini kullanamaz.The user cannot use the Azure portal or Azure PowerShell cmdlets to browse Data Lake Storage Gen1. Kullanıcı yalnızca komut satırı araçlarını kullanabilir.The user can use command-line tools only.
SahipOwner TümüAll TümüAll Sahip rolü bir süper kullanıcı.The Owner role is a superuser. Bu rol her şeyi yönetebilir ve verilere tam erişim sağlayabilir.This role can manage everything and has full access to data.
OkuyucuReader Salt okunurRead-only ACL 'ye tabidirGoverned by ACL Okuyucu rolü, hesap yönetimiyle ilgili her şeyi görüntüleyebilir, örneğin hangi rolün atandığı kullanıcı.The Reader role can view everything regarding account management, such as which user is assigned to which role. Okuyucu rolü herhangi bir değişiklik yapamaz.The Reader role can't make any changes.
KatılımcıContributor Rol Ekle ve Kaldır dışında tümüAll except add and remove roles ACL 'ye tabidirGoverned by ACL Katkıda bulunan rolü, bir hesabın dağıtım ve uyarı oluşturma ve yönetme gibi bazı yönlerini yönetebilir.The Contributor role can manage some aspects of an account, such as deployments and creating and managing alerts. Katkıda bulunan rolü rol ekleyemez veya kaldıramaz.The Contributor role cannot add or remove roles.
Kullanıcı Erişimi YöneticisiUser Access Administrator Rol Ekleme ve kaldırmaAdd and remove roles ACL 'ye tabidirGoverned by ACL Kullanıcı erişimi Yöneticisi rolü, hesaplara Kullanıcı erişimini yönetebilir.The User Access Administrator role can manage user access to accounts.

Yönergeler için bkz. Data Lake Storage 1. hesaplara Kullanıcı veya güvenlik grupları atama.For instructions, see Assign users or security groups to Data Lake Storage Gen1 accounts.

Dosya sistemlerindeki işlemler için ACL 'Leri kullanmaUsing ACLs for operations on file systems

Data Lake Storage 1., Hadoop Dağıtılmış Dosya Sistemi (bir) gibi hiyerarşik bir dosya sistemidir ve POSIX ACL 'lerinidestekler.Data Lake Storage Gen1 is a hierarchical file system like Hadoop Distributed File System (HDFS), and it supports POSIX ACLs. Sahip rolü, sahipler grubu ve diğer kullanıcılar ve gruplar için kaynak için okuma (r), yazma (w) ve yürütme (x) izinlerini denetler.It controls read (r), write (w), and execute (x) permissions to resources for the Owner role, for the Owners group, and for other users and groups. Data Lake Storage 1., ACL 'Ler kök klasörde, alt klasörlerde ve tek tek dosyalarda etkinleştirilebilir.In Data Lake Storage Gen1, ACLs can be enabled on the root folder, on subfolders, and on individual files. ACL 'Lerin Data Lake Storage 1. bağlamında nasıl çalıştığı hakkında daha fazla bilgi için, bkz. Data Lake Storage 1. Access Control.For more information on how ACLs work in context of Data Lake Storage Gen1, see Access control in Data Lake Storage Gen1.

Güvenlik gruplarınıkullanarak birden çok kullanıcı için ACL tanımlamanızı öneririz.We recommend that you define ACLs for multiple users by using security groups. Bir güvenlik grubuna kullanıcı ekleyin ve ardından bir dosya veya klasörün ACL 'Lerini bu güvenlik grubuna atayın.Add users to a security group, and then assign the ACLs for a file or folder to that security group. Atanan izinler için en fazla 28 girişe sınırlı olduğunuzdan, atanan izinler sağlamak istediğinizde bu kullanışlıdır.This is useful when you want to provide assigned permissions, because you are limited to a maximum of 28 entries for assigned permissions. Azure Active Directory güvenlik grupları kullanarak Data Lake Storage 1. depolanan verilerin daha iyi bir şekilde güvenliğini sağlama hakkında daha fazla bilgi için, bkz. Data Lake Storage 1. dosya sistemine Kullanıcı veya güvenlik grubu ACL olarak atama.For more information about how to better secure data stored in Data Lake Storage Gen1 by using Azure Active Directory security groups, see Assign users or security group as ACLs to the Data Lake Storage Gen1 file system.

Erişim izinlerini listelemeList access permissions

Ağ yalıtımıNetwork isolation

Ağ düzeyinde veri deponuza erişimi denetlemeye yardımcı olması için Data Lake Storage 1. kullanın.Use Data Lake Storage Gen1 to help control access to your data store at the network level. Güvenlik duvarları oluşturabilir ve güvenilen istemcileriniz için bir IP adresi aralığı tanımlayabilirsiniz.You can establish firewalls and define an IP address range for your trusted clients. Bir IP adresi aralığı ile yalnızca tanımlı aralıkta bir IP adresi olan istemciler Data Lake Storage 1. bağlanabilir.With an IP address range, only clients that have an IP address within the defined range can connect to Data Lake Storage Gen1.

Güvenlik Duvarı ayarları ve IP erişimiFirewall settings and IP access

Azure sanal ağları (VNet) Data Lake Gen 1 için hizmet etiketlerini destekler.Azure virtual networks (VNet) support service tags for Data Lake Gen 1. Hizmet etiketi, belirli bir Azure hizmetinden bir IP adresi önekleri grubunu temsil eder.A service tag represents a group of IP address prefixes from a given Azure service. Microsoft, hizmet etiketi ile çevrelenmiş adres öneklerini yönetir ve adres değişikliği olarak hizmet etiketini otomatik olarak güncelleştirir.Microsoft manages the address prefixes encompassed by the service tag and automatically updates the service tag as addresses change. Daha fazla bilgi için bkz. Azure hizmet etiketlerine genel bakış.For more information, see Azure service tags overview.

Veri korumaData protection

Data Lake Storage 1. verilerinizi yaşam döngüsü boyunca korur.Data Lake Storage Gen1 protects your data throughout its life cycle. Data Lake Storage 1. veriler için, ağ üzerinden verileri güvenli hale getirmek üzere sektör standardı Aktarım Katmanı Güvenliği (TLS 1,2) protokolünü kullanır.For data in transit, Data Lake Storage Gen1 uses the industry-standard Transport Layer Security (TLS 1.2) protocol to secure data over the network.

Data Lake Storage 1. şifrelemeEncryption in Data Lake Storage Gen1

Data Lake Storage 1., hesapta depolanan veriler için de şifreleme sağlar.Data Lake Storage Gen1 also provides encryption for data that is stored in the account. Verilerinizin şifrelenmesini tercih edebilir ya da şifrelemeyi kabul etmeyebilirsiniz.You can chose to have your data encrypted or opt for no encryption. Şifrelemeyi tercih ediyorsanız, Data Lake Storage 1. depolanan veriler kalıcı medyada depolanmadan önce şifrelenir.If you opt in for encryption, data stored in Data Lake Storage Gen1 is encrypted prior to storing on persistent media. Böyle bir durumda Data Lake Storage 1., verileri kalıcı hale getirmeyi ve verileri çözmeden önce otomatik olarak şifreler, bu nedenle verilere erişen istemciye tamamen saydamdır.In such a case, Data Lake Storage Gen1 automatically encrypts data prior to persisting and decrypts data prior to retrieval, so it is completely transparent to the client accessing the data. İstemci tarafında verileri şifrelemek/şifrelerini çözmek için gereken kod değişikliği yoktur.There is no code change required on the client side to encrypt/decrypt data.

Anahtar yönetimi için Data Lake Storage 1., ana şifreleme anahtarlarınızı (MEKs) yönetmek için, Data Lake Storage 1. depolanan verilerin şifresini çözmek için gereken iki mod sağlar.For key management, Data Lake Storage Gen1 provides two modes for managing your master encryption keys (MEKs), which are required for decrypting any data that is stored in Data Lake Storage Gen1. Sizin için, MEKs 'leri Data Lake Storage 1. yönetebilir veya Azure Key Vault hesabınızı kullanarak MEKs 'in sahipliğini tutmayı seçebilirsiniz.You can either let Data Lake Storage Gen1 manage the MEKs for you, or choose to retain ownership of the MEKs using your Azure Key Vault account. Data Lake Storage 1. bir hesap oluştururken anahtar yönetiminin modunu belirtirsiniz.You specify the mode of key management while creating a Data Lake Storage Gen1 account. Şifreleme ile ilgili yapılandırma sağlama hakkında daha fazla bilgi için bkz. Azure portalını kullanarak Azure Data Lake Storage 1. kullanmaya başlama.For more information on how to provide encryption-related configuration, see Get started with Azure Data Lake Storage Gen1 using the Azure Portal.

Etkinlik ve tanılama günlükleriActivity and diagnostic logs

Hesap yönetimiyle ilgili etkinliklere veya verilerle ilgili etkinliklere yönelik günlükleri arayıp aradığınıza bağlı olarak etkinlik veya tanılama günlüklerini kullanabilirsiniz.You can use activity or diagnostic logs, depending on whether you are looking for logs for account management-related activities or data-related activities.

  • Hesap yönetimi ile ilgili etkinlikler Azure Resource Manager API 'Leri kullanır ve Azure portal etkinlik günlükleri aracılığıyla ortaya çıkmış.Account management-related activities use Azure Resource Manager APIs and are surfaced in the Azure portal via activity logs.
  • Verilerle ilgili etkinlikler weblerrest API 'Lerini kullanır ve tanılama günlükleri aracılığıyla Azure portal ortaya çıkmış.Data-related activities use WebHDFS REST APIs and are surfaced in the Azure portal via diagnostic logs.

Etkinlik günlüğüActivity log

Yönetmeliklerle uyum sağlamak için, bir kuruluş belirli olaylara uyaması gerekiyorsa hesap yönetimi etkinliklerinin yeterli denetim izlerini gerektirebilir.To comply with regulations, an organization might require adequate audit trails of account management activities if it needs to dig into specific incidents. Data Lake Storage 1. yerleşik izlemeye sahiptir ve tüm hesap yönetimi etkinliklerini günlüğe kaydeder.Data Lake Storage Gen1 has built-in monitoring and it logs all account management activities.

Hesap yönetimi denetim izleri için, günlüğe kaydetmek istediğiniz sütunları görüntüleyin ve seçin.For account management audit trails, view and choose the columns that you want to log. Etkinlik günlüklerini Azure depolama 'ya de aktarabilirsiniz.You also can export activity logs to Azure Storage.

Etkinlik günlüğüActivity log

Etkinlik günlükleriyle çalışma hakkında daha fazla bilgi için bkz. kaynaklardaki eylemleri denetlemek için etkinlik günlüklerini görüntüleme.For more information on working with activity logs, see View activity logs to audit actions on resources.

Tanılama günlükleriDiagnostics logs

Azure portal veri erişimi denetimi ve tanılama günlüğünü etkinleştirebilir ve günlükleri bir Azure Blob depolama hesabına, bir olay hub 'ına veya Azure Izleyici günlüklerine gönderebilirsiniz.You can enable data access audit and diagnostic logging in the Azure portal and send the logs to an Azure Blob storage account, an event hub, or Azure Monitor logs.

Tanılama günlükleriDiagnostics logs

Data Lake Storage 1. ile tanılama günlükleri ile çalışma hakkında daha fazla bilgi için bkz. Data Lake Storage 1. için tanılama günlüklerine erişme.For more information on working with diagnostic logs with Data Lake Storage Gen1, see Accessing diagnostic logs for Data Lake Storage Gen1.

ÖzetSummary

Kurumsal müşteriler, güvenli ve kullanımı kolay bir veri analizi bulut platformu talep talebinde bulunur.Enterprise customers demand a data analytics cloud platform that is secure and easy to use. Data Lake Storage 1., bu gereksinimlerin kimlik yönetimi ve kimlik doğrulaması aracılığıyla Azure Active Directory tümleştirme, ACL tabanlı yetkilendirme, ağ yalıtımı, aktarım sırasında veri şifrelemesi ve denetim aracılığıyla ele alınmasına yardımcı olmak için tasarlanmıştır.Data Lake Storage Gen1 is designed to help address these requirements through identity management and authentication via Azure Active Directory integration, ACL-based authorization, network isolation, data encryption in transit and at rest, and auditing.

Data Lake Storage 1. yeni özellikleri görmek isterseniz, görüşlerinizi Data Lake Storage 1. UserVoice forumundakibize gönderin.If you want to see new features in Data Lake Storage Gen1, send us your feedback in the Data Lake Storage Gen1 UserVoice forum.

Ayrıca bkz.See also