Compartir a través de


Introducción a la seguridad de la empresa en Azure HDInsight con AKS

Nota:

Retiraremos Azure HDInsight en AKS el 31 de enero de 2025. Antes del 31 de enero de 2025, deberá migrar las cargas de trabajo a Microsoft Fabric o un producto equivalente de Azure para evitar la terminación repentina de las cargas de trabajo. Los clústeres restantes de la suscripción se detendrán y quitarán del host.

Solo el soporte técnico básico estará disponible hasta la fecha de retirada.

Importante

Esta funcionalidad actualmente está en su versión preliminar. En Términos de uso complementarios para las versiones preliminares de Microsoft Azure encontrará más términos legales que se aplican a las características de Azure que están en versión beta, en versión preliminar, o que todavía no se han lanzado con disponibilidad general. Para más información sobre esta versión preliminar específica, consulte la Información de Azure HDInsight sobre la versión preliminar de AKS. Para plantear preguntas o sugerencias sobre la característica, envíe una solicitud en AskHDInsight con los detalles y síganos para obtener más actualizaciones sobre Comunidad de Azure HDInsight.

Las ofertas de Azure HDInsight en AKS son seguras de manera predeterminada y hay varios métodos para satisfacer las necesidades de seguridad de la empresa.

En este artículo se describe la arquitectura general de seguridad y las soluciones de seguridad dividiéndolas en cuatro pilares de seguridad tradicionales: seguridad perimetral, autenticación, autorización y cifrado.

Arquitectura de seguridad

La preparación empresarial para cualquier software requiere estrictas comprobaciones de seguridad para evitar y abordar las amenazas que pueden surgir. HDInsight en AKS proporciona un modelo de seguridad de varias capas para protegerlo en varias capas. La arquitectura de seguridad usa métodos de autorización modernos mediante MSI. Todo el acceso de almacenamiento es a través de MSI y el acceso a la base de datos es a través de nombre de usuario y contraseña. La contraseña se almacena en Azure Key Vault, definida por el cliente. Esto hace que la configuración sea sólida y segura de manera predeterminada.

En el diagrama siguiente se muestra una arquitectura técnica de alto nivel de seguridad en HDInsight en AKS.

Captura de pantalla que muestra el flujo de seguridad de la autenticación de clústeres.

Pilares de seguridad de la empresa

Una forma de ver la seguridad empresarial es dividir las soluciones de seguridad en cuatro grandes grupos en función del tipo de control. Estos grupos también se denominan pilares de seguridad y son de los siguientes tipos: seguridad perimetral, autenticación, autorización y cifrado.

Seguridad del perímetro

La seguridad del perímetro en HDInsight en AKS se logra a través de redes virtuales. Un administrador de empresa puede crear un clúster dentro de una red virtual (VNET) y usar grupos de seguridad de red (NSG) para restringir el acceso a esta.

Autenticación

HDInsight en AKS proporciona autenticación basada en identificadores de Microsoft Entra para el inicio de sesión del clúster y usa identidades administradas (MSI) para proteger el acceso de clúster a los archivos de Azure Data Lake Storage Gen2. Las identidades administradas son una característica de Microsoft Entra ID que proporciona servicios de Azure con un conjunto de credenciales administradas automáticamente. Con esta configuración, los empleados de la empresa pueden iniciar sesión en los nodos del clúster con sus credenciales de dominio. Una identidad administrada de Microsoft Entra ID permite a la aplicación acceder fácilmente a otros recursos protegidos por Microsoft Entra, como Azure Key Vault, Storage, SQL Server y Database. La plataforma Azure administra la identidad y no es necesario que lleve a cabo el aprovisionamiento ni la rotación de los secretos. Esta solución es una clave para proteger el acceso al clúster de HDInsight en AKS y otros recursos dependientes. Las identidades administradas hacen que su aplicación sea más segura mediante la eliminación de los secretos de aplicación como, por ejemplo, las credenciales en las cadenas de conexión.

Cree una identidad administrada asignada por el usuario, que es un recurso de Azure independiente, como parte del proceso de creación del clúster, que administra el acceso a los recursos dependientes.

Autorización

Un procedimiento recomendado que la mayoría de las empresas siguen es que no todos los empleados tengan acceso completo a todos los recursos de la empresa. Asimismo, el administrador puede definir directivas de control de acceso basado en rol para los recursos del clúster.

Los propietarios de recursos pueden configurar el control de acceso basado en rol (RBAC). La configuración de las directivas RBAC permite asociar permisos a un rol de la organización. Esta capa de abstracción hace más fácil asegurar que los usuarios solo tengan los permisos necesarios para realizar sus responsabilidades laborales. Autorización administrada por roles de ARM para la administración de clústeres (plano de control) y el acceso a datos del clúster (plano de datos) administrados por la administración de acceso al clúster.

Roles de administración de clústeres (plano de control/roles de ARM)

Acción Administrador del grupo de clústeres de HDInsight en AKS HDInsight en el administrador de clústeres de AKS
Creación o eliminación del grupo de clústeres
Asignación de permisos y roles en el grupo de clústeres
Creación o eliminación de un clúster
Administrar clúster
Administración de la configuración
Acciones de script
Administración de bibliotecas
Supervisión
Acciones de escalado

Los roles anteriores son desde la perspectiva de las operaciones de ARM. Para más información, consulte el Tutorial: Concesión de acceso de usuario a los recursos de Azure mediante Azure Portal: Azure RBAC.

Acceso al clúster (plano de datos)

Puede permitir que los usuarios, las entidades de servicio, la identidad administrada accedan al clúster a través del portal o mediante ARM.

Este acceso habilita

  • Ver clústeres y administrar trabajos.
  • Realice todas las operaciones de supervisión y administración.
  • Realice operaciones de escalado automático y actualice el número de nodos.

Acceso no proporcionado para

  • Eliminación de clústeres

Captura de pantalla que muestra el acceso a los datos de los clústeres.

Importante

Cualquier usuario recién agregado requerirá un rol adicional de "Lector RBAC de Azure Kubernetes Service" para ver el estado del servicio.

Auditoría

Es necesario auditar el acceso a los recursos del clúster para realizar un seguimiento del acceso no autorizado o no intencionado de los recursos. Es tan importante como proteger los recursos del clúster frente al acceso no autorizado.

El administrador del grupo de recursos puede ver y notificar todo el acceso a HDInsight en recursos y datos del clúster de AKS mediante el registro de actividad. El administrador puede ver y notificar los cambios en las directivas de control de acceso.

Cifrado

Proteger los datos es importante para cumplir con los requisitos de cumplimiento y de seguridad de la organización. Además de restringir el acceso de empleados no autorizados a los datos, es necesario cifrarlos. El almacenamiento y los discos (disco del sistema operativo y disco de datos persistentes) usados por los nodos y contenedores del clúster se cifran. Los datos de Azure Storage se cifran y descifran de forma transparente mediante el cifrado AES de 256 bits, uno de los cifrados de bloques más sólidos que hay disponibles, y son compatibles con FIPS 140-2. El cifrado de Azure Storage está habilitado para todas las cuentas de almacenamiento, lo que hace que los datos sean seguros de forma predeterminada, no es necesario modificar el código o las aplicaciones para aprovechar el cifrado de Azure Storage. El cifrado de datos en tránsito se controla con TLS 1.2.

Cumplimiento normativo

Las ofertas de cumplimiento de Azure se basan en diversos tipos de garantías, incluidas las certificaciones formales, pero también las atestaciones, las validaciones y las autorizaciones, las evaluaciones producidas por empresas de auditoría de terceros independientes, las modificaciones contractuales, las autoevaluaciones y los documentos de orientación para los clientes producidos por Microsoft. Para obtener información sobre el cumplimiento de HDInsight en Azure Kubernetes Service, acceda al Centro de confianza de Microsoft y la Información general sobre el cumplimiento de Microsoft Azure.

Modelo de responsabilidad compartida

En la siguiente imagen se resumen las principales áreas de seguridad del sistema y las soluciones de seguridad que tiene disponibles en cada una de ellas. También destaca qué áreas de seguridad son responsabilidad suya como cliente y qué áreas son responsabilidad de HDInsight en AKS como proveedor de servicios.

Captura de pantalla que muestra el modelo de responsabilidad compartida.

En la tabla siguiente se proporcionan vínculos a recursos para cada tipo de solución de seguridad.

Área de seguridad Soluciones disponibles Parte responsable
Seguridad de acceso a datos Configurar las listas de control de acceso para Azure Data Lake Storage Gen2 y Gen2 Customer
Habilitar la propiedad "Se requiere transferencia segura" en las cuenta de almacenamiento Customer
Configurar las redes virtuales y los firewalls de Azure Storage Customer
Seguridad del sistema operativo Creación de clústeres con HDInsight más reciente en versiones de AKS Customer
Seguridad de las redes Configurar una red virtual
Configuración del tráfico mediante reglas de firewall Customer
Configuración del tráfico saliente necesario Customer