Azure HDInsight 'ta Kurumsal güvenliğe genel bakış
Azure HDInsight, kurumsal güvenlik ihtiyaçlarınızı karşılamak için çeşitli yöntemler sunar. Bu çözümlerin çoğu varsayılan olarak etkinleştirilmez. Bu esneklik, sizin için en önemli olan güvenlik özelliklerini seçmenizi sağlar ve istemediğiniz özellikler için ödeme yapmaktan kaçınmanıza yardımcı olur. Bu esneklik Ayrıca, kurulum ve ortamınız için doğru çözümlerin etkinleştirildiğinden emin olmak için sizin sorumluluğunuzdadır.
Bu makale, güvenlik çözümlerini dört geleneksel güvenlik, kimlik doğrulaması, yetkilendirme ve şifreleme ile ayırarak güvenlik çözümlerine bakar.
Bu makalede ayrıca HDInsight kümeleri için Active Directory tabanlı kimlik doğrulaması, çoklu Kullanıcı desteği ve rol tabanlı erişim denetimi sağlayan Azure hdınsight kurumsal güvenlik paketi (ESP) açıklanır.
Kurumsal Güvenlik pilsi
Kurumsal Güvenlik 'e bakmaya yönelik bir yöntem, güvenlik çözümlerini denetim türüne göre dört ana gruba böler. Bu gruplar ayrıca güvenlik ile aynı şekilde adlandırılır ve aşağıdaki türlerdir: çevre güvenliği, kimlik doğrulama, yetkilendirme ve şifreleme.
Çevre güvenliği
HDInsight 'ta çevre güvenliği sanal ağlararacılığıyla elde edilir. Kurumsal Yönetici, sanal ağ (VNET) içinde bir küme oluşturabilir ve sanal ağa erişimi kısıtlamak için ağ güvenlik grupları (NSG) kullanabilir. Yalnızca gelen NSG kurallarında izin verilen IP adresleri HDInsight kümesiyle iletişim kurabilir. Bu yapılandırma, çevre güvenliği sağlar.
VNET 'te dağıtılan tüm kümelerin özel bir uç noktası da olur. Uç noktası, küme ağ geçitlerine özel HTTP erişimi için VNET 'in içindeki özel bir IP 'ye çözümlenir.
Kimlik Doğrulaması
HDInsight 'tan Kurumsal güvenlik paketi , Active Directory tabanlı kimlik doğrulaması, çoklu Kullanıcı desteği ve rol tabanlı erişim denetimi sağlar. Active Directory tümleştirme Azure Active Directory Domain Serviceskullanılarak elde edilir. Bu özelliklerde, bir Active Directory etki alanına katılmış bir HDInsight kümesi oluşturabilirsiniz. Daha sonra, kuruluş içinden kümeye kimlik doğrulayabilecek çalışanların bir listesini yapılandırın.
Bu kurulumla, kurumsal çalışanlar, kendi etki alanı kimlik bilgilerini kullanarak küme düğümlerinde oturum açabilir. Ayrıca, diğer onaylanan uç noktalarla kimlik doğrulaması yapmak için etki alanı kimlik bilgilerini de kullanabilirler. Küme ile etkileşimde bulunmak için Apache ambarı görünümleri, ODBC, JDBC, PowerShell ve REST API 'Leri gibi.
Yetkilendirme
Çoğu kuruluşun en iyi uygulaması, her çalışanın tüm kurumsal kaynaklara tam erişimi olmadığından emin olmanızı sağlar. Benzer şekilde, yönetici, küme kaynakları için rol tabanlı erişim denetimi ilkeleri tanımlayabilir. Bu eylem yalnızca ESP kümelerinde kullanılabilir.
Hadoop Yöneticisi rol tabanlı erişim denetimi 'ni (RBAC) yapılandırabilir. Yapılandırmalarda Apache Hive, HBaseve Kafka ile Apache Ranger eklentileri vardır. RBAC ilkelerini yapılandırmak, izinleri kuruluştaki bir rolle ilişkilendirmenize olanak tanır. Bu soyutlama katmanı, kişilerin yalnızca iş sorumluluklarını yapmak için gerekli izinlere sahip olmasını kolaylaştırır. Ranger Ayrıca çalışanların veri erişimini ve erişim denetimi ilkelerine yapılan değişiklikleri denetlemenize olanak tanır.
Örneğin yönetici Apache Ranger’ı Hive için erişim denetim ilkeleri belirleyecek şekilde yapılandırabilir. Bu işlevsellik, satır düzeyinde ve sütun düzeyinde filtrelemeyi (veri maskeleme) sağlar. Ve duyarlı verileri yetkisiz kullanıcılardan filtreler.
Denetim
Denetim kümesi kaynak erişimi, kaynakların yetkisiz veya istenmeden erişimini izlemek için gereklidir. Küme kaynaklarının yetkisiz erişimden korunması önemlidir.
Yönetici, HDInsight kümesi kaynaklarına ve verilerine yönelik tüm erişimi görüntüleyebilir ve rapor edebilir. Yönetici, erişim denetimi ilkelerine değişiklikleri görüntüleyip rapor edebilir.
Apache Ranger ve ambarı denetim günlüklerine ve SSH erişim günlüklerine erişmek için Azure izleyicisini etkinleştirin ve denetim kayıtları sağlayan tabloları görüntüleyin.
Şifreleme
Verilerin korunması, kurumsal güvenlik ve uyumluluk gereksinimlerini karşılamak için önemlidir. Yetkisiz çalışanların verilerine erişimi sınırlandırma ile birlikte şifrelemeniz gerekir.
HDInsight, hem platform tarafından yönetilen hem de müşteri tarafından yönetilen anahtarlarlabekleyen veri şifrelemesini destekler. İletimde verilerin şifrelenmesi hem TLS hem de IPSec ile işlenir. Daha fazla bilgi için bkz. Azure HDInsight için geçişte şifreleme .
Uyumluluk
Azure uyumluluk teklifleri, resmi sertifikalar da dahil olmak üzere çeşitli türlerde türler temel alır. Ayrıca, belirlediğimizi karşıladığımızı, doğrulamalar ve yetkilendirmeler. Bağımsız üçüncü taraf denetim firmaları tarafından oluşturulan değerlendirmeler. Microsoft tarafından üretilen sözleşme, kendi kendine değerlendirmeler ve müşteri Kılavuzu belgeleri. HDInsight uyumluluk bilgileri için bkz. Microsoft Güven Merkezi ve Microsoft Azure uyumluluğuna genel bakış.
Paylaşılan sorumluluk modeli
Aşağıdaki görüntüde ana sistem güvenlik alanı ve her birinde kullanabileceğiniz güvenlik çözümleri özetlenmektedir. Ayrıca, müşteri olarak hangi güvenlik alanlarının sorumluluğunda olduğunu vurgular. Ve hangi alanlarda, HDInsight 'ın hizmet sağlayıcısı olarak sorumluluğu vardır.
Aşağıdaki tabloda her güvenlik çözümü türü için kaynakların bağlantıları verilmiştir.
| Güvenlik alanı | Kullanılabilir çözümler | Sorumlu parti |
|---|---|---|
| Veri erişim güvenliği | Azure Data Lake Storage 1. ve Gen2 için erişim denetim listelerinin ACL 'lerini yapılandırma | Müşteri |
| Depolama hesaplarında "güvenli aktarım gerekli" özelliğini etkinleştirin. | Müşteri | |
| Azure depolama güvenlik duvarlarını ve sanal ağları yapılandırma | Müşteri | |
| Cosmos DB ve Azure SQL veritabanı için Azure sanal ağ hizmet uç noktalarını yapılandırma | Müşteri | |
| Yoldaki şifreleme özelliğinin, küme içi ILETIŞIM için TLS ve IPSec kullanmak üzere etkinleştirildiğinden emin olun. | Müşteri | |
| Azure depolama şifrelemesi için müşteri tarafından yönetilen anahtarları yapılandırma | Müşteri | |
| Müşteri kasayı kullanarak Azure desteği ile verilerinize erişimi denetleme | Müşteri | |
| Uygulama ve ara yazılım güvenliği | AAD-DS ile tümleştirme ve ESP yapılandırma veya OAuth kimlik doğrulaması için Hib kullanma | Müşteri |
| Apache Ranger yetkilendirme ilkelerini yapılandırma | Müşteri | |
| Azure izleyici günlüklerini kullanma | Müşteri | |
| İşletim sistemi güvenliği | En son güvenli temel görüntüyle kümeler oluşturun | Müşteri |
| Düzenli aralıklarla Işletim sistemi düzeltme eki uygulama | Müşteri | |
| VM 'ler Için CMK disk şifrelemesi sağlayın | Müşteri | |
| Ağ güvenliği | Sanal ağ yapılandırma | |
| Gelen ağ güvenlik grubu (NSG) kurallarını veya özel bağlantıyı yapılandırma | Müşteri | |
| Güvenlik duvarıyla giden trafik kısıtlamasını yapılandırma | Müşteri | |
| Küme düğümleri arasındaki geçişte IPSec şifrelemesini yapılandırma | Müşteri | |
| Sanallaştırılmış altyapı | Yok | HDInsight (bulut sağlayıcısı) |
| Fiziksel altyapı güvenliği | Yok | HDInsight (bulut sağlayıcısı) |