Přehled podnikového zabezpečení ve službě Azure HDInsight v AKS
Důležitý
Azure HDInsight v AKS byl vyřazen 31. ledna 2025. Další informace pomocí tohoto oznámení.
Abyste se vyhnuli náhlému ukončení úloh, musíte migrovat úlohy do Microsoft Fabric nebo ekvivalentního produktu Azure.
Důležitý
Tato funkce je aktuálně ve verzi Preview. doplňkové podmínky použití pro verze Preview Microsoft Azure obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, ve verzi Preview nebo ještě nebyly vydány v obecné dostupnosti. Informace o této konkrétní verzi Preview najdete v tématu Azure HDInsight ve službě AKS ve verzi Preview. Pokud máte dotazy nebo návrhy funkcí, odešlete prosím žádost na AskHDInsight s podrobnými informacemi a sledujte nás pro další aktualizace na komunitě Azure HDInsight.
Azure HDInsight v AKS ve výchozím nastavení nabízí zabezpečení a existuje několik způsobů, jak řešit potřeby podnikového zabezpečení.
Tento článek popisuje celkovou architekturu zabezpečení a řešení zabezpečení tím, že je rozdělí na čtyři tradiční pilíře zabezpečení: zabezpečení hraniční sítě, ověřování, autorizace a šifrování.
Architektura zabezpečení
Připravenost podniku pro jakýkoli software vyžaduje přísné kontroly zabezpečení, aby se zabránilo hrozbám, které by mohly nastat, a řešit je. HDInsight v AKS poskytuje vícevrstvý model zabezpečení, který vás chrání na více vrstvách. Architektura zabezpečení používá moderní metody autorizace pomocí MSI. Veškerý přístup k úložišti je prostřednictvím MSI a přístup k databázi je prostřednictvím uživatelského jména a hesla. Heslo se ukládá ve službě Azure Key Vaultdefinované zákazníkem. Díky této funkci je nastavení ve výchozím nastavení robustní a zabezpečené.
Následující diagram znázorňuje základní technickou architekturu zabezpečení ve službě HDInsight v AKS.
Pilíře podnikového zabezpečení
Jedním ze způsobů, jak se podívat na podnikové zabezpečení, je rozdělit řešení zabezpečení do čtyř hlavních skupin na základě typu řízení. Tyto skupiny se také označují jako pilíře zabezpečení a jsou z následujících typů: zabezpečení hraniční sítě, ověřování, autorizace a šifrování.
Zabezpečení hraniční sítě
Zabezpečení hraniční sítě ve službě HDInsight v AKS se dosahuje prostřednictvím virtuálních sítí. podnikový správce může vytvořit cluster uvnitř virtuální sítě a pomocí skupin zabezpečení sítě (NSG ) omezit přístup k virtuální síti.
Autentizace
HDInsight v AKS poskytuje ověřování založené na ID Microsoftu pro přihlášení ke clusteru a používá spravované identity (MSI) k zabezpečení přístupu ke souborům v Azure Data Lake Storage Gen2. Spravovaná identita je funkce ID Microsoft Entra, která poskytuje službám Azure sadu automaticky spravovaných přihlašovacích údajů. Díky tomuto nastavení se podnikoví zaměstnanci mohou přihlásit k uzlům clusteru pomocí svých přihlašovacích údajů k doméně. Spravovaná identita z Microsoft Entra ID umožňuje vaší aplikaci snadno přistupovat k dalším prostředkům chráněným Microsoft Entra, jako jsou Azure Key Vault, Storage, SQL Server a Databáze. Identita je spravována platformou Azure a nevyžaduje, abyste zřídili nebo měnili jakékoliv tajné kódy. Toto řešení je klíčem pro zabezpečení přístupu ke službě HDInsight v clusteru AKS a dalším závislým prostředkům. Spravované identity usnadňují zabezpečení vaší aplikace odstraněním tajných kódů z vaší aplikace, jako jsou přihlašovací údaje v připojovacích řetězcích.
V rámci procesu vytváření clusteru vytvoříte spravovanou identitu přiřazenou uživatelem, což je samostatný prostředek Azure, který spravuje přístup k závislým prostředkům.
Oprávnění
Osvědčeným postupem, který většina podniků dodržuje, je zajistit, aby každý zaměstnanec neměl úplný přístup ke všem zdrojům organizace. Správce může také definovat zásady řízení přístupu na základě role pro prostředky clusteru.
Vlastníci prostředků můžou nakonfigurovat řízení přístupu na základě role (RBAC). Konfigurace zásad RBAC umožňuje přidružit oprávnění k roli v organizaci. Tato vrstva abstrakce usnadňuje zajištění, aby lidé měli jenom oprávnění potřebná k provádění svých pracovních povinností. Autorizace řízená rolemi ARM pro řízení clusteru (řídicí rovina) a přístup k datům klastru (datová rovina) je řízena správou přístupu ke klastru.
Role správy clusteru (řídicí rovina nebo role ARM)
| Akce | HDInsight ve správci fondu clusterů AKS | HDInsight ve správci clusteru AKS |
|---|---|---|
| Vytvoření nebo odstranění fondu clusterů | ✅ | |
| Přiřaďte oprávnění a role v rámci fondu clusterů. | ✅ | |
| Vytvoření nebo odstranění clusteru | ✅ | ✅ |
| Správa clusteru | ✅ | |
| Správa konfigurace | ✅ | |
| Akce skriptu | ✅ | |
| Správa knihoven | ✅ | |
| Monitorování | ✅ | |
| Akce škálování | ✅ |
Výše uvedené role pocházejí z hlediska operací ARM. Další informace najdete v tématu Udělení přístupu uživatelům k prostředkům Azure pomocí webu Azure Portal – Azure RBAC.
Přístup ke clusteru (datová rovina)
Uživatelům, služebním principálům a spravovaným identitám můžete povolit přístup ke clusteru přes portál nebo pomocí ARM.
Tento přístup umožňuje
- Zobrazení clusterů a správa úloh
- Proveďte všechny operace monitorování a správy.
- Proveďte operace automatického škálování a aktualizujte počet uzlů.
Přístup není poskytnut
- Odstranění clusteru
Důležitý
Každý nově přidaný uživatel bude vyžadovat další roli čtenáře RBAC služby Azure Kubernetes Service pro zobrazení stavu služby.
Kontrola
Auditování přístupu k prostředkům clusteru je nezbytné ke sledování neoprávněného nebo neúmyslného přístupu k prostředkům. Stejně důležité je chránit prostředky clusteru před neoprávněným přístupem.
Správce skupiny prostředků může pomocí protokolu aktivit zobrazit a hlásit veškerý přístup ke službě HDInsight v prostředcích clusteru AKS a datech. Správce může zobrazit a nahlásit změny zásad řízení přístupu.
Šifrování
Ochrana dat je důležitá pro splnění požadavků organizace na zabezpečení a dodržování předpisů. Kromě omezení přístupu k datům od neoprávněných zaměstnanců byste je měli zašifrovat. Úložiště a disky (disk s operačním systémem a trvalý datový disk) používané uzly a kontejnery clusteru jsou šifrované. Data ve službě Azure Storage se šifrují a dešifrují transparentně pomocí 256bitového šifrování AES, jednoho z nejsilnějších dostupných blokových šifer a jsou kompatibilní se standardem FIPS 140-2. Šifrování služby Azure Storage je povolené pro všechny účty úložiště, což ve výchozím nastavení zajišťuje zabezpečení dat, nemusíte upravovat kód ani aplikace, aby bylo možné využít šifrování azure Storage. Šifrování přenášených dat se zpracovává protokolem TLS 1.2.
Vyhovění
Nabídky dodržování předpisů Azure jsou založené na různých typech záruk, včetně formálních certifikací. Potvrzení, validace a autorizace. Hodnocení vytvořená nezávislými auditorskými firmami třetích stran. Smluvní změny, samohodnocení a dokumenty s pokyny pro zákazníky vytvořené Microsoftem Informace o dodržování předpisů pro HDInsight na AKS najdete v Centru důvěry Microsoft a v přehledu o dodržování předpisů v Microsoft Azure .
Model sdílené odpovědnosti
Následující obrázek shrnuje hlavní oblasti zabezpečení systému a řešení zabezpečení, která jsou vám k dispozici. Také zdůrazňuje, které oblasti zabezpečení jsou vaší odpovědností jako zákazníka a oblasti, které jsou odpovědností HDInsight na AKS jako poskytovatele služeb.
Následující tabulka obsahuje odkazy na prostředky pro každý typ řešení zabezpečení.
| Oblast zabezpečení | Dostupná řešení | Zodpovědná strana |
|---|---|---|
| Zabezpečení přístupu k datům | Konfigurace řízení přístupu (ACLs) pro Azure Data Lake Storage Gen2 | Zákazník |
| Povolení vlastnosti Zabezpečený přenos požadovaný v úložišti | Zákazník | |
| Konfigurujte brány firewall služby Azure Storage a virtuální sítě | Zákazník | |
| Zabezpečení operačního systému | Vytváření clusterů s nejnovějšími verzemi HDInsightu v AKS | Zákazník |
| Zabezpečení sítě | Nakonfigurujte virtuální síť | |
| Nakonfigurujte provoz pomocí pravidel firewallu | Zákazník | |
| Konfigurujte požadovaný odchozí provoz | Zákazník |