Zabezpečení v Azure Data Exploreru

Tento článek obsahuje úvod do zabezpečení v Azure Data Exploreru, který vám pomůže chránit vaše data a prostředky v cloudu a splňovat požadavky vaší firmy na zabezpečení. Je důležité zajistit zabezpečení clusterů. Zabezpečení clusterů zahrnuje jednu nebo více funkcí Azure, které zahrnují zabezpečený přístup a úložiště. Tento článek obsahuje informace, které vám pomůžou zajistit zabezpečení clusteru.

Další zdroje informací o dodržování předpisů pro vaši firmu nebo organizaci najdete v dokumentaci k dodržování předpisů Azure.

Zabezpečení sítě

Zabezpečení sítě je požadavek sdílený mnoha našimi podnikovými zákazníky s vědomím zabezpečení. Cílem je izolovat síťový provoz a omezit prostor pro útoky pro Azure Data Explorer a odpovídající komunikaci. Proto můžete blokovat provoz pocházející ze síťových segmentů mimo Azure Data Explorer a zajistit, aby se do koncových bodů Azure Data Exploreru dostal pouze provoz ze známých zdrojů. To zahrnuje provoz pocházející z místního prostředí nebo mimo Azure s cílem Azure a naopak. Azure Data Explorer podporuje následující funkce pro dosažení tohoto cíle:

• Privátní koncový bod (doporučeno)
• Injektáž virtuální sítě

Důrazně doporučujeme používat privátní koncové body k zabezpečení síťového přístupu k vašemu clusteru. Tato možnost má oproti injektáži virtuální sítě mnoho výhod, které mají za následek nižší režii na údržbu, včetně jednoduššího procesu nasazení a robustnější pro změny virtuální sítě.

Identita a řízení přístupu

Řízení přístupu na základě role

Pomocí řízení přístupu na základě role (RBAC) oddělte povinnosti a udělte pouze požadovaný přístup uživatelům clusteru. Místo udělení neomezených oprávnění všem v clusteru můžete povolit provádění určitých akcí jenom uživatelům přiřazeným ke konkrétním rolím. Řízení přístupu pro databáze můžete nakonfigurovat na webu Azure Portal pomocí Azure CLI nebo Azure PowerShellu.

Spravované identity pro prostředky Azure

Běžným problémem při vytváření cloudových aplikací je správa přihlašovacích údajů v kódu pro ověřování v cloudových službách. Zajištění zabezpečení těchto přihlašovacích údajů je důležitý úkol. Přihlašovací údaje by neměly být uložené v pracovních stanicích pro vývojáře ani se změnami do správy zdrojového kódu. Azure Key Vault nabízí možnost bezpečného ukládání přihlašovacích údajů, tajných kódů a dalších klíčů, ale váš kód se musí ověřit ve službě Key Vault, aby je mohl načíst.

Tento problém řeší funkce spravovaných identit Microsoft Entra pro prostředky Azure. Tato funkce poskytuje službám Azure automaticky spravovanou identitu v Microsoft Entra ID. Identitu můžete použít k ověření ve všech službách, které podporují ověřování Microsoft Entra, včetně služby Key Vault, bez jakýchkoli přihlašovacích údajů ve vašem kódu. Další informace o této službě najdete na stránce přehledu spravovaných identit pro prostředky Azure.

Ochrana dat

Šifrování disků Azure

Azure Disk Encryption pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Poskytuje šifrování svazků pro disky s operačním systémem a datovými disky virtuálních počítačů vašeho clusteru. Azure Disk Encryption se také integruje se službou Azure Key Vault, která nám umožňuje řídit a spravovat šifrovací klíče a tajné kódy disků a zajistit šifrování všech dat na discích virtuálního počítače.

Klíče spravované zákazníkem s využitím Azure Key Vaultu

Ve výchozím nastavení se data šifrují pomocí klíčů spravovaných Microsoftem. Pro další kontrolu nad šifrovacími klíči můžete zadat klíče spravované zákazníkem, které se mají použít pro šifrování dat. Šifrování dat můžete spravovat na úrovni úložiště pomocí vlastních klíčů. Klíč spravovaný zákazníkem slouží k ochraně a řízení přístupu ke kořenovému šifrovacímu klíči, který slouží k šifrování a dešifrování všech dat. Klíče spravované zákazníkem nabízejí větší flexibilitu při vytváření, obměně, zákazu a odvolávání řízení přístupu. Šifrovací klíče sloužící k ochraně vašich dat můžete také auditovat.

K ukládání klíčů spravovaných zákazníkem použijte Azure Key Vault. Můžete vytvořit vlastní klíče a uložit je do trezoru klíčů nebo můžete použít rozhraní API služby Azure Key Vault ke generování klíčů. Cluster Azure Data Exploreru a Azure Key Vault musí být ve stejné oblasti, ale můžou být v různých předplatných. Další informace o službě Azure Key Vault najdete v tématu Co je Azure Key Vault? Podrobné vysvětlení klíčů spravovaných zákazníkem najdete v tématu Klíče spravované zákazníkem pomocí služby Azure Key Vault. Nakonfigurujte klíče spravované zákazníkem v clusteru Azure Data Exploreru pomocí portálu, C#, šablony Azure Resource Manageru, rozhraní příkazového řádku nebo PowerShellu.

Poznámka:

Klíče spravované zákazníkem spoléhají na spravované identity pro prostředky Azure, a to je funkce Microsoft Entra ID. Pokud chcete nakonfigurovat klíče spravované zákazníkem na webu Azure Portal, nakonfigurujte spravovanou identitu pro váš cluster, jak je popsáno v tématu Konfigurace spravovaných identit pro cluster Azure Data Exploreru.

Ukládání klíčů spravovaných zákazníkem ve službě Azure Key Vault

Pokud chcete povolit klíče spravované zákazníkem v clusteru, uložte klíče pomocí služby Azure Key Vault. U trezoru klíčů musíte povolit vlastnosti obnovitelného odstranění i nevyprázdnit . Trezor klíčů musí být umístěný ve stejné oblasti jako cluster. Azure Data Explorer používá spravované identity pro prostředky Azure k ověření v trezoru klíčů pro operace šifrování a dešifrování. Spravované identity nepodporují scénáře napříč adresáři.

Obměna klíčů spravovaných zákazníkem

Klíč spravovaný zákazníkem můžete ve službě Azure Key Vault otočit podle zásad dodržování předpisů. Pokud chcete klíč otočit, aktualizujte ve službě Azure Key Vault verzi klíče nebo vytvořte nový klíč a pak cluster aktualizujte tak, aby šifruje data pomocí nového identifikátoru URI klíče. Tyto kroky můžete provést pomocí Azure CLI nebo na portálu. Obměně klíče neaktivuje opětovné šifrování existujících dat v clusteru.

Při obměně klíče obvykle zadáte stejnou identitu, která se používá při vytváření clusteru. Volitelně můžete nakonfigurovat novou identitu přiřazenou uživatelem pro přístup ke klíči nebo povolit a zadat identitu přiřazenou systémem clusteru.

Poznámka:

Ujistěte se, že jsou požadovaná oprávnění Get, Unwrap Key a Wrap Key nastavená pro identitu, kterou nakonfigurujete pro přístup ke klíči.

Aktualizace verze klíče

Běžným scénářem je aktualizace verze klíče používaného jako klíč spravovaný zákazníkem. V závislosti na tom, jak je nakonfigurované šifrování clusteru, se klíč spravovaný zákazníkem v clusteru automaticky aktualizuje nebo se musí aktualizovat ručně.

Odvolání přístupu ke klíčům spravovaným zákazníkem

Pokud chcete odvolat přístup ke klíčům spravovaným zákazníkem, použijte PowerShell nebo Azure CLI. Další informace najdete v PowerShellu služby Azure Key Vault nebo v rozhraní příkazového řádku služby Azure Key Vault. Odvolání přístupu blokuje přístup ke všem datům na úrovni úložiště clusteru, protože šifrovací klíč je v důsledku toho nepřístupný Azure Data Explorerem.

Poznámka:

Když Azure Data Explorer zjistí, že přístup k klíči spravovanému zákazníkem je odvolán, cluster automaticky pozastaví a odstraní všechna data uložená v mezipaměti. Jakmile se vrátí přístup ke klíči, cluster se obnoví automaticky.

Související obsah

• Standardní hodnoty zabezpečení Azure pro Azure Data Explorer
• Zabezpečte cluster pomocí šifrování disků povolením šifrování neaktivních uložených dat.
• Konfigurace spravovaných identit pro cluster
• Konfigurace klíčů spravovaných zákazníkem
• Dokumentace k dodržování předpisů v Azure