AKS üzerinde Azure HDInsight'ta kurumsal güvenliğe genel bakış
Önemli
Bu özellik şu anda önizlemededir. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan daha fazla yasal hüküm içerir. Bu belirli önizleme hakkında bilgi için bkz . AKS üzerinde Azure HDInsight önizleme bilgileri. Sorular veya özellik önerileri için lütfen AskHDInsight'ta ayrıntıları içeren bir istek gönderin ve Azure HDInsight Topluluğu hakkında daha fazla güncelleştirme için bizi takip edin.
AKS üzerinde Azure HDInsight varsayılan olarak güvenlik sunar ve kurumsal güvenlik gereksinimlerinizi karşılamak için çeşitli yöntemler vardır.
Bu makale, genel güvenlik mimarisini ve güvenlik çözümlerini dört geleneksel güvenlik sütununa bölerek kapsar: çevre güvenliği, kimlik doğrulaması, yetkilendirme ve şifreleme.
Güvenlik mimarisi
Herhangi bir yazılım için kurumsal hazırlık, ortaya çıkabilecek tehditleri önlemek ve ele almak için sıkı güvenlik denetimleri gerektirir. AKS üzerinde HDInsight, sizi birden çok katmanda korumak için çok katmanlı bir güvenlik modeli sağlar. Güvenlik mimarisi, MSI kullanarak modern yetkilendirme yöntemlerini kullanır. Tüm depolama erişimi MSI ve veritabanı erişimi ise kullanıcı adı/parola üzerinden yapılır. Parola, müşteri tarafından tanımlanan Azure Key Vault'ta depolanır. Bu özellik kurulumu varsayılan olarak sağlam ve güvenli hale getirir.
Aşağıdaki diyagramda AKS üzerinde HDInsight'ta güvenliğin üst düzey teknik mimarisi gösterilmektedir.
Kurumsal güvenlik sütunları
Kurumsal güvenliğe bakmanın bir yolu, güvenlik çözümlerini denetim türüne göre dört ana gruba bölmektir. Bu gruplar güvenlik sütunları olarak da adlandırılır ve şu türlerdendir: çevre güvenliği, kimlik doğrulaması, yetkilendirme ve şifreleme.
Çevre güvenliği
AKS üzerinde HDInsight'ta çevre güvenliği sanal ağlar aracılığıyla sağlanır. Kuruluş yöneticisi, sanal ağ (VNET) içinde bir küme oluşturabilir ve sanal ağa erişimi kısıtlamak için ağ güvenlik gruplarını (NSG) kullanabilir.
Kimlik Doğrulaması
AKS üzerinde HDInsight, küme oturum açma bilgileri için Microsoft Entra ID tabanlı kimlik doğrulaması sağlar ve yönetilen kimlikleri (MSI) kullanarak Azure Data Lake Storage 2. Nesil dosyalara küme erişiminin güvenliğini sağlar. Yönetilen kimlik, Azure hizmetlerine bir dizi otomatik olarak yönetilen kimlik bilgisi sağlayan bir Microsoft Entra Id özelliğidir. Bu kurulumla, kuruluş çalışanları etki alanı kimlik bilgilerini kullanarak küme düğümlerinde oturum açabilir. Microsoft Entra Id'den yönetilen kimlik, uygulamanızın Azure Key Vault, Depolama, SQL Server ve Veritabanı gibi diğer Microsoft Entra korumalı kaynaklarına kolayca erişmesini sağlar. Azure platformu tarafından yönetilen kimlik, gizli dizileri sağlamanızı veya döndürmenizi gerektirmez. Bu çözüm, AKS kümesinde ve diğer bağımlı kaynaklarda HDInsight'ınıza erişimin güvenliğini sağlamaya yönelik bir anahtardır. Yönetilen kimlikler, bağlantı dizesi kimlik bilgileri gibi uygulamanızdaki gizli dizileri ortadan kaldırarak uygulamanızı daha güvenli hale getirir.
Bağımlı kaynaklarınıza erişimi yöneten küme oluşturma işleminin bir parçası olarak tek başına bir Azure kaynağı olan kullanıcı tarafından atanan bir yönetilen kimlik oluşturursunuz.
Yetkilendirme
Çoğu kuruluşun izlediği en iyi uygulama, her çalışanın tüm kurumsal kaynaklara tam erişime sahip olmadığından emin olmaktır. Benzer şekilde, yönetici küme kaynakları için rol tabanlı erişim denetimi ilkeleri tanımlayabilir.
Kaynak sahipleri rol tabanlı erişim denetimini (RBAC) yapılandırabilir. RBAC ilkelerini yapılandırmak, izinleri kuruluştaki bir rolle ilişkilendirmenize olanak tanır. Bu soyutlama katmanı, kişilerin yalnızca iş sorumluluklarını yerine getirmek için gereken izinlere sahip olmasını kolaylaştırır. Küme erişim yönetimi tarafından yönetilen küme yönetimi (denetim düzlemi) ve küme veri erişimi (veri düzlemi) için ARM rolleri tarafından yönetilen yetkilendirme.
Küme yönetimi rolleri (Denetim Düzlemi / ARM Rolleri)
| Eylem | AKS Küme Havuzu'nda HDInsight Yönetici | AKS Kümesinde HDInsight Yönetici |
|---|---|---|
| Küme havuzu oluşturma/silme | ✅ | |
| Küme havuzuna izin ve rol atama | ✅ | |
| Küme oluşturma/silme | ✅ | ✅ |
| Kümeyi Yönet | ✅ | |
| Yapılandırma Yönetimi | ✅ | |
| Betik eylemleri | ✅ | |
| Kitaplık Yönetimi | ✅ | |
| İzleme | ✅ | |
| Ölçeklendirme eylemleri | ✅ |
Yukarıdaki roller ARM işlemleri açısındandır. Daha fazla bilgi için bkz . Azure portalını kullanarak kullanıcıya Azure kaynaklarına erişim izni verme - Azure RBAC.
Küme erişimi (Veri Düzlemi)
Kullanıcıların, hizmet sorumlularının, yönetilen kimliğin portal veya ARM kullanarak kümeye erişmesine izin vekleyebilirsiniz.
Bu erişim,
- Kümeleri görüntüleyin ve işleri yönetin.
- Tüm izleme ve yönetim işlemlerini gerçekleştirin.
- Otomatik ölçeklendirme işlemlerini gerçekleştirin ve düğüm sayısını güncelleştirin.
Için erişim sağlanmadı
- Küme silme
Önemli
Yeni eklenen tüm kullanıcılar, hizmet durumunu görüntülemek için ek "Azure Kubernetes Service RBAC Okuyucusu" rolü gerektirir.
Denetim
Kaynakların yetkisiz veya kasıtsız erişimini izlemek için küme kaynak erişiminin denetlenmesi gerekir. Küme kaynaklarını yetkisiz erişime karşı korumak kadar önemlidir.
Kaynak grubu yöneticisi, etkinlik günlüğünü kullanarak AKS kümesi kaynakları ve verileri üzerinde HDInsight'a tüm erişimi görüntüleyebilir ve raporlayabilir. Yönetici, erişim denetimi ilkelerini görüntüleyebilir ve değişiklikleri bildirebilir.
Şifreleme
Verilerin korunması, kurumsal güvenlik ve uyumluluk gereksinimlerini karşılamak için önemlidir. Yetkisiz çalışanların verilerine erişimi kısıtlamanın yanı sıra, verileri şifrelemeniz gerekir. Küme düğümleri ve kapsayıcılar tarafından kullanılan depolama ve diskler (işletim sistemi diski ve kalıcı veri diski) şifrelenir. Azure Depolama'daki veriler, kullanılabilir en güçlü blok şifrelemelerinden biri olan ve FIPS 140-2 uyumlu olan 256 bit AES şifrelemesi kullanılarak saydam bir şekilde şifrelenir ve şifreleri çözülür. Azure Depolama şifrelemesi tüm depolama hesapları için etkinleştirilir ve bu da verilerin varsayılan olarak güvenli olmasını sağlar. Azure Depolama şifrelemeden yararlanmak için kodunuzu veya uygulamalarınızı değiştirmeniz gerekmez. Aktarımdaki verilerin şifresi TLS 1.2 ile işlenir.
Uyumluluk
Azure uyumluluk teklifleri, resmi sertifikalar da dahil olmak üzere çeşitli güvence türlerini temel alır. Ayrıca kanıtlamalar, doğrulamalar ve yetkilendirmeler. Bağımsız üçüncü taraf denetim firmaları tarafından üretilen değerlendirmeler. Microsoft tarafından üretilen sözleşme değişiklikleri, kendi kendine değerlendirmeler ve müşteri rehberliği belgeleri. AKS uyumluluk bilgileri hakkında HDInsight için bkz. Microsoft Güven Merkezi ve Microsoft Azure uyumluluğuna genel bakış.
Paylaşılan sorumluluk modeli
Aşağıdaki görüntüde, ana sistem güvenlik alanları ve kullanabileceğiniz güvenlik çözümleri özetlenir. Ayrıca müşteri olarak hangi güvenlik alanlarının sizin sorumluluklarınız olduğunu ve hizmet sağlayıcısı olarak AKS üzerinde HDInsight'ın sorumluluğunda olan alanları vurgular.
Aşağıdaki tabloda her güvenlik çözümü türü için kaynaklara bağlantılar sağlanmaktadır.
| Güvenlik alanı | Kullanılabilir çözümler | Sorumlu taraf |
|---|---|---|
| Veri Erişim Güvenliği | Azure Data Lake Storage 2. Nesil için erişim denetim listesi ACL'lerini yapılandırma | Customer |
| Depolamada Güvenli aktarım gerekli özelliğini etkinleştirme | Customer | |
| Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma | Customer | |
| İşletim sistemi güvenliği | AKS sürümlerinde en son HDInsight ile küme oluşturma | Customer |
| Ağ güvenliği | Sanal ağ yapılandırma | |
| Güvenlik Duvarı kurallarını kullanarak trafiği yapılandırma | Customer | |
| Giden trafiği yapılandırma gerekli | Customer |
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin