Seguridad en Azure Data Explorer
Este artículo sirve de introducción a la seguridad en Azure Data Explorer para ayudar a proteger sus datos y recursos en la nube, así como a satisfacer las necesidades de seguridad de su negocio. Es importante proteger la seguridad de los clústeres. La protección de los clústeres incluye una o varias características de Azure, como las de almacenamiento y acceso seguro. En este artículo se proporciona información para ayudarle a proteger la seguridad del clúster.
Para más recursos relacionados con el cumplimiento de su empresa u organización, consulte la documentación de cumplimiento de Azure.
Seguridad de red
La seguridad de red es un requisito que comparten muchos de nuestros clientes empresariales preocupados por la seguridad. El objetivo es aislar el tráfico de red y limitar la superficie expuesta a ataques de Azure Data Explorer y las comunicaciones correspondientes. Por lo tanto, puede bloquear el tráfico procedente de segmentos de la red que no sean de Azure Data Explorer y asegurarse de que solo el tráfico procedente de orígenes conocidos alcanza los puntos de conexión de Azure Data Explorer. Esto incluye el tráfico que se origina en el entorno local o fuera de Azure, con destino en Azure y viceversa. Azure Data Explorer admite las siguientes características para lograr este objetivo:
- Punto de conexión privado (recomendado)
- Inserción en una red virtual (VNet)
Se recomienda encarecidamente usar puntos de conexión privados para proteger el acceso de red al clúster. Esta opción tiene muchas ventajas sobre la inserción de red virtual que da lugar a una sobrecarga de mantenimiento menor, incluido un proceso de implementación más sencillo y ser más sólido para los cambios de red virtual.
Control de identidades y acceso
Control de acceso basado en rol
Utilice el control de acceso basado en rol (RBAC) para repartir las tareas y conceder solo el acceso necesario a los usuarios del clúster. En lugar de proporcionar a todos los empleados permisos no restringidos en el clúster, puede permitir determinadas acciones solo a aquellos usuarios a los que se les hayan asignado roles específicos. Puede configurar el control de acceso para las bases de datos en Azure Portal mediante la CLI de Azure o Azure PowerShell.
Identidades administradas de recursos de Azure
Un desafío común al compilar aplicaciones en la nube es la administración de las credenciales del código para autenticar los servicios en la nube. Proteger las credenciales es una tarea esencial. Las credenciales no deben almacenarse en estaciones de trabajo del desarrollador ni registrarse en el control de código fuente. Azure Key Vault proporciona una manera segura de almacenar credenciales, secretos y otras claves pero el código tiene que autenticarse en Key Vault para recuperarlos.
La característica Microsoft Entra identidades administradas para recursos de Azure resuelve este problema. La característica proporciona a los servicios de Azure una identidad administrada automáticamente en Microsoft Entra id. Puede usar la identidad para autenticarse en cualquier servicio que admita la autenticación Microsoft Entra, incluida la Key Vault, sin credenciales en el código. Para obtener más información acerca de este servicio, consulte la página de información general Identidades administradas de recursos de Azure.
Protección de los datos
Azure Disk Encryption
Azure Disk Encryption ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de su organización. Proporciona cifrado de volúmenes tanto para los discos de datos como para los del sistema operativo de las máquinas virtuales del clúster. Azure Disk Encryption también se integra con Azure Key Vault, lo que nos permite controlar y administrar los secretos y las claves de cifrado de discos, y garantiza el cifrado de todos los datos de los discos de VM.
Claves administradas por el cliente con Azure Key Vault
De manera predeterminada, los datos se cifran con claves administradas por Microsoft. Para tener un mayor control sobre las claves de cifrado, puede proporcionar claves administradas por el cliente para el cifrado de datos. Puede administrar el cifrado de sus datos en el nivel de almacenamiento con sus propias claves. Una clave administrada por el cliente se usa para proteger y controlar el acceso a la clave de cifrado raíz, que se utiliza para cifrar y descifrar todos los datos. Las claves administradas por el cliente ofrecen más flexibilidad para crear, rotar, deshabilitar y revocar controles de acceso. También permite auditar las claves de cifrado que se usan para proteger los datos.
Utilice Azure Key Vault para almacenar las claves administradas por el cliente. Puede crear sus propias claves y almacenarlas en un almacén de claves, o puede usar una API de Azure Key Vault para generarlas. El clúster de Azure Data Explorer y Azure Key Vault deben estar en la misma región, pero pueden estar en distintas suscripciones. Para más información sobre Azure Key Vault, vea ¿Qué es Azure Key Vault?. Para obtener una explicación detallada sobre las claves administradas por el cliente, consulte Claves administradas por el cliente con Azure Key Vault. Configure las claves administrada por el cliente en el clúster de Azure Data Explorer mediante el portal, C#, una plantilla de Azure Resource Manager, la CLI o PowerShell.
Nota:
Las claves administradas por el cliente se basan en identidades administradas para recursos de Azure, una característica de Microsoft Entra id. Para configurar las claves administradas por el cliente en Azure Portal, debe configurar una identidad administrada en el clúster, tal y como se describe en Configuración de identidades administradas para el clúster de Azure Data Explorer.
Almacenamiento de claves administradas por el cliente en Azure Key Vault
Para habilitar las claves administradas por el cliente en un clúster, utilice una instancia de Azure Key Vault para almacenar las claves. Debe habilitar las propiedades Eliminación temporal y No purgar en el almacén de claves. El almacén de claves debe estar en la misma región que el clúster. Azure Data Explorer usa identidades administradas para que los recursos de Azure se autentiquen en el almacén de claves para las operaciones de cifrado y descifrado. Las identidades administradas no admiten escenarios entre directorios.
Rotación de claves administradas por el cliente
Las claves administradas por el cliente se pueden rotar en Azure Key Vault según las directivas de cumplimiento. Para rotar una clave, en Azure Key Vault, actualice la versión de la clave o cree una nueva y, a continuación, actualice el clúster para cifrar los datos mediante el nuevo identificador URI de la clave. Puede realizar estos pasos con la CLI de Azure o en el portal. La rotación de la clave no desencadena un nuevo cifrado de los datos existentes en el clúster.
Al rotar una clave, normalmente se especifica la misma identidad usada al crear el clúster. Opcionalmente, configure una nueva identidad asignada por el usuario para el acceso a la clave o habilite y especifique la identidad asignada por el sistema del clúster.
Nota:
Asegúrese de que se han establecido los permisos necesarios Get, Unwrap Keyy Wrap Key para la identidad que se configura para el acceso a la clave.
Actualización de la versión de la clave
Un escenario común es actualizar la versión de la clave usada como clave administrada por el cliente. En función de cómo se configure el cifrado del clúster, la clave administrada por el cliente del clúster se actualiza automáticamente o se debe actualizar manualmente.
Revocación del acceso a las claves administradas por el cliente
Para revocar el acceso a las claves administradas por el cliente, use PowerShell o la CLI de Azure. Para más información, consulte la referencia de PowerShell para Azure Key Vault o la referencia de la CLI para Azure Key Vault. La revocación del acceso bloquea el acceso a todos los datos en el nivel de almacenamiento del clúster, ya que Azure Data Explorer no puede acceder a la clave de cifrado.
Nota:
Si Azure Data Explorer identifica la revocación del acceso a una clave administrada por el cliente, suspenderá automáticamente el clúster para eliminar los datos almacenados en caché. Una vez que se devuelve el acceso a la clave, el clúster se reanudará automáticamente.