Azure HDInsight 中的企業安全性概觀
Azure HDInsight 提供許多方法來因應企業安全性需求。 根據預設,這些解決方案大多不會啟動。 這種彈性可讓您選擇最重要的安全性功能,並協助您避免支付您不想要的功能費用。 這種彈性也表示您有責任確保為設定和環境啟用正確的解決方案。
本文將安全性解決方案分成四個傳統安全性要素,以探討安全性解決方案:周邊安全性、驗證、授權和加密。
本文也介紹 Azure HDInsight 企業安全性套件 (ESP),其提供 HDInsight 叢集的 Active Directory 型驗證、多用戶支援和角色型訪問控制。
企業安全性要素
查看企業安全性的其中一種方式會根據控制類型,將安全性解決方案分成四個主要群組。 這些群組也稱為安全性要素,而且是下列類型:周邊安全性、驗證、授權和加密。
周邊安全性
HDInsight 中的周邊安全性是透過 虛擬網路達成。 企業管理員可以在虛擬網路 (VNET) 內建立叢集,並使用網路安全組 (NSG) 來限制對虛擬網路的存取。 只有輸入 NSG 規則中允許的 IP 位址可以與 HDInsight 叢集通訊。 此設定提供周邊安全性。
部署在 VNET 中的所有叢集也會有私人端點。 端點會解析為 VNET 內的私人 IP,以存取叢集閘道的私人 HTTP。
驗證
HDInsight 的企業安全性套件 提供 Active Directory 型驗證、多用戶支援,以及角色型訪問控制。 Active Directory 整合是透過使用 Microsoft Entra Domain Services 來達成。 透過這些功能,您可以建立已加入 Active Directory 網域的 HDInsight 叢集。 然後,設定企業中可向叢集進行驗證的員工清單。
透過此設定,企業員工可以使用其網域認證登入叢集節點。 他們也可以使用其網域認證來向其他已核准的端點進行驗證。 如同Apache Ambari 檢視、ODBC、JDBC、PowerShell和REST API,以與叢集互動。
授權
大多數企業遵循的最佳做法是確保並非所有員工都能完整存取所有企業資源。 同樣地,系統管理員可以定義叢集資源的角色型訪問控制原則。 此動作僅適用於ESP叢集。
Hadoop 系統管理員可以設定角色型訪問控制 (RBAC)。 這些設定會使用 Apache Ranger 外掛程式保護 Apache Hive、 HBase 和 Kafka 。 設定 RBAC 原則可讓您將許可權與組織中的角色產生關聯。 這一層抽象概念可讓您更輕鬆地確保人員只有執行工作責任所需的許可權。 Ranger 也可讓您稽核員工的數據存取,以及對訪問控制原則所做的任何變更。
例如,系統管理員可以設定 Apache Ranger 來設定 Hive 的訪問控制原則。 這項功能可確保數據列層級和數據行層級篩選(數據遮罩)。 並篩選未經授權的使用者敏感數據。
稽核
稽核叢集資源存取是必要的,才能追蹤未經授權或無意存取資源。 保護叢集資源不受未經授權的存取同樣重要。
系統管理員可以檢視和報告 HDInsight 叢集資源和數據的所有存取權。 系統管理員可以檢視和報告訪問控制原則的變更。
若要存取 Apache Ranger 和 Ambari 稽核記錄,以及 ssh 存取記錄, 請啟用 Azure 監視器 並檢視提供稽核記錄的數據表。
加密
保護數據對於符合組織安全性和合規性需求很重要。 除了限制未經授權的員工存取數據之外,您應該加密數據。
HDInsight 支援使用平臺管理和 客戶管理的密鑰進行待用數據加密。 傳輸中的數據加密會使用 TLS 和 IPSec 來處理。 如需詳細資訊,請參閱 Azure HDInsight 傳輸中的加密。
法規遵循
Azure 合規性供應專案是以各種類型的保證為基礎,包括正式認證。 此外,證明、驗證和授權。 獨立第三方審計公司所產生的評估。 Microsoft 所產生的合約修訂、自我評量和客戶指引檔。 如需 HDInsight 合規性資訊,請參閱 Microsoft 信任中心。
責任分擔模式
下圖摘要說明主要系統安全性區域,以及每個區域可供您使用的安全性解決方案。 它也會強調哪些安全性領域是您作為客戶的責任。 以及哪些區域是 HDInsight 作為服務提供者的責任。
下表提供每種安全性解決方案類型資源的連結。
| 安全性區域 | 可用的解決方案 | 責任方 |
|---|---|---|
| 資料存取安全性 | 設定 Azure Data Lake 儲存體 Gen1 和 Gen2 的訪問控制清單 ACL | 客戶 |
| 在記憶體帳戶上啟用「需要安全傳輸」屬性。 | 客戶 | |
| 設定 Azure 儲存體 防火牆和虛擬網路 | 客戶 | |
| 設定 Azure Cosmos DB 和 Azure SQL DB 的 Azure 虛擬網路服務端點 | 客戶 | |
| 確定 已啟用傳輸 中的加密功能,以使用 TLS 和 IPSec 進行叢集內部通訊。 | 客戶 | |
| 設定客戶管理的金鑰以進行 Azure 儲存體 加密 | 客戶 | |
| 使用客戶加密箱 Azure 支援 控制數據的存取 | 客戶 | |
| 應用程式和中間件安全性 | 與 Microsoft Entra Domain Services 整合並 設定 ESP 或使用 HIB 進行 OAuth 驗證 | 客戶 |
| 設定 Apache Ranger 授權 原則 | 客戶 | |
| 使用 Azure 監視器記錄 | 客戶 | |
| 作業系統安全性 | 使用最近的安全基礎映像建立叢集 | 客戶 |
| 確保操作系統定期修補 | 客戶 | |
| 確定 VM 的 CMK 磁碟加密 | 客戶 | |
| 網路安全性 | 設定 虛擬網路 | |
| 設定 輸入網路安全組 (NSG) 規則 或 私人連結 | 客戶 | |
| 使用防火牆設定輸出流量限制 | 客戶 | |
| 設定 叢集節點之間傳輸 中的IPSec加密 | 客戶 | |
| 虛擬化基礎結構 | N/A | HDInsight (雲端提供者) |
| 實體基礎結構安全性 | N/A | HDInsight (雲端提供者) |