Introducción a la seguridad empresarial en Azure HDInsight en AKS
Importante
Azure HDInsight en AKS se retiró el 31 de enero de 2025. Obtenga más información con este anuncio.
Debe migrar las cargas de trabajo a microsoft Fabric o un producto equivalente de Azure para evitar la terminación repentina de las cargas de trabajo.
Importante
Esta característica está actualmente en versión preliminar. Los Términos de uso complementarios para las versiones preliminares de Microsoft Azure incluyen más términos legales que se aplican a las características de Azure que se encuentran en versión beta, en versión preliminar o, de lo contrario, aún no se han publicado en disponibilidad general. Para obtener información sobre esta versión preliminar específica, consulte información de la versión preliminar de Azure HDInsight en AKS. Para preguntas o sugerencias de características, envíe una solicitud en AskHDInsight con los detalles y síganos para obtener más actualizaciones sobre Azure HDInsight Community.
Azure HDInsight en AKS ofrece seguridad de forma predeterminada y hay varios métodos para satisfacer las necesidades de seguridad de la empresa.
En este artículo se describe la arquitectura general de seguridad y las soluciones de seguridad dividiéndolas en cuatro pilares de seguridad tradicionales: seguridad perimetral, autenticación, autorización y cifrado.
Arquitectura de seguridad
La preparación empresarial para cualquier software requiere estrictas comprobaciones de seguridad para evitar y abordar las amenazas que pueden surgir. HDInsight en AKS proporciona un modelo de seguridad de varias capas para protegerlo en varias capas. La arquitectura de seguridad usa métodos de autorización modernos mediante MSI. Todo el acceso de almacenamiento es a través de MSI y el acceso a la base de datos es a través de nombre de usuario y contraseña. La contraseña se almacena en Azure Key Vault, definido por el cliente. Esta característica hace que la configuración sea sólida y segura de forma predeterminada.
En el diagrama siguiente se muestra una arquitectura técnica de alto nivel de seguridad en HDInsight en AKS.
Pilares de seguridad empresarial
Una manera de examinar la seguridad empresarial es dividir las soluciones de seguridad en cuatro grupos principales en función del tipo de control. Estos grupos también se denominan pilares de seguridad y son de los siguientes tipos: seguridad perimetral, autenticación, autorización y cifrado.
Seguridad perimetral
La seguridad perimetral en HDInsight en AKS se logra a través de redes virtuales. Un administrador de empresa puede crear un clúster dentro de una red virtual (VNET) y usar grupos de seguridad de red (NSG) para restringir el acceso a la red virtual.
Autenticación
HDInsight en AKS proporciona autenticación basada en identificadores de Microsoft Entra para el inicio de sesión del clúster y usa identidades administradas (MSI) para proteger el acceso de clúster a los archivos de Azure Data Lake Storage Gen2. La identidad administrada es una característica de Microsoft Entra ID que proporciona servicios de Azure con un conjunto de credenciales administradas automáticamente. Con esta configuración, los empleados empresariales pueden iniciar sesión en los nodos del clúster mediante sus credenciales de dominio. Una identidad administrada de Microsoft Entra ID permite a la aplicación acceder fácilmente a otros recursos protegidos de Microsoft Entra, como Azure Key Vault, Storage, SQL Server y Database. La identidad es administrada por la plataforma Azure y no requiere que aprovisione ni rote ningún secreto. Esta solución es una clave para proteger el acceso al clúster de HDInsight en AKS y otros recursos dependientes. Las identidades administradas hacen que la aplicación sea más segura mediante la eliminación de secretos de la aplicación, como las credenciales de las cadenas de conexión.
Cree una identidad administrada asignada por el usuario, que es un recurso de Azure independiente, como parte del proceso de creación del clúster, que administra el acceso a los recursos dependientes.
Autorización
Un procedimiento recomendado que siguen la mayoría de las empresas es asegurarse de que no todos los empleados tienen acceso total a todos los recursos empresariales. Del mismo modo, el administrador puede definir directivas de control de acceso basadas en roles para los recursos del clúster.
Los propietarios de recursos pueden configurar el control de acceso basado en rol (RBAC). La configuración de directivas de RBAC permite asociar permisos a un rol de la organización. Esta capa de abstracción facilita la seguridad de que las personas solo tienen los permisos necesarios para realizar sus responsabilidades de trabajo. Autorización gestionada por roles de ARM para la gestión de clústeres (capa de control) y el acceso a datos del clúster (capa de datos), gestionados por gestión de acceso a clústeres.
Roles de administración de clústeres (plano de control/roles de ARM)
| Acción | Administrador del grupo de clústeres de HDInsight en AKS | HDInsight en el administrador de clústeres de AKS |
|---|---|---|
| Creación o eliminación del grupo de clústeres | ✅ | |
| Asignación de permisos y roles en el grupo de clústeres | ✅ | |
| Creación o eliminación de un clúster | ✅ | ✅ |
| Administrar clúster | ✅ | |
| Administración de configuración | ✅ | |
| Acciones de script | ✅ | |
| Administración de bibliotecas | ✅ | |
| Monitorización | ✅ | |
| Acciones de ampliación | ✅ |
Los roles anteriores son desde la perspectiva de las operaciones de ARM. Para más información, consulte Concesión de acceso de un usuario a los recursos de Azure mediante Azure Portal: Azure RBAC.
Acceso al clúster (plano de datos)
Puede permitir que los usuarios, las entidades de servicio, las identidades administradas accedan al clúster a través del portal o mediante ARM.
Este acceso habilita
- Ver clústeres y administrar trabajos.
- Realice todas las operaciones de supervisión y administración.
- Realice operaciones de escalado automático y actualice el número de nodos.
Acceso no disponible
- Eliminación de clústeres
Importante
Cualquier usuario recién agregado requerirá un rol adicional de "Lector RBAC de Azure Kubernetes Service" para ver el estado del servicio .
Auditoría
La auditoría del acceso a los recursos del clúster es necesaria para realizar un seguimiento del acceso no autorizado o accidental de los recursos. Es tan importante como proteger los recursos del clúster frente al acceso no autorizado.
El administrador del grupo de recursos puede ver y notificar todo el acceso a HDInsight en recursos y datos del clúster de AKS mediante el registro de actividad. El administrador puede ver y notificar los cambios realizados en las directivas de control de acceso.
Encriptación
La protección de datos es importante para cumplir los requisitos de seguridad y cumplimiento de la organización. Además de restringir el acceso a los datos de empleados no autorizados, debe cifrarlo. El almacenamiento y los discos (disco del sistema operativo y disco de datos persistentes) usados por los nodos y contenedores del clúster se cifran. Los datos de Azure Storage se cifran y descifran de forma transparente mediante el cifrado AES de 256 bits, uno de los cifrados de bloques más seguros disponibles y es compatible con FIPS 140-2. El cifrado de Azure Storage está habilitado para todas las cuentas de almacenamiento, lo que hace que los datos sean seguros de forma predeterminada, no es necesario modificar el código o las aplicaciones para aprovechar el cifrado de Azure Storage. El cifrado de datos en tránsito se controla con TLS 1.2.
Conformidad
Las ofertas de cumplimiento de Azure se basan en varios tipos de garantías, incluidas las certificaciones formales. Además, atestaciones, validaciones y autorizaciones. Evaluaciones producidas por empresas independientes de auditoría de terceros. Modificaciones contractuales, autoevaluaciones y documentos de orientación de clientes generados por Microsoft. Para obtener información sobre el cumplimiento de HDInsight en AKS, consulte el Centro de confianza de Microsoft y la Información general sobre el cumplimiento de Microsoft Azure.
Modelo de responsabilidad compartida
En la imagen siguiente se resumen las principales áreas de seguridad del sistema y las soluciones de seguridad que están disponibles para usted. También destaca qué áreas de seguridad son sus responsabilidades como cliente y áreas que son responsabilidad de HDInsight en AKS como proveedor de servicios.
En la tabla siguiente se proporcionan vínculos a recursos para cada tipo de solución de seguridad.
| Área de seguridad | Soluciones disponibles | Parte responsable |
|---|---|---|
| Seguridad de acceso a datos | Configuración de listas de control de acceso para Azure Data Lake Storage Gen2 | Cliente |
| Habilitación de la propiedad de transferencia segura necesaria en el almacenamiento | Cliente | |
| Configurar las redes virtuales y los firewalls de Azure Storage | Cliente | |
| Seguridad del sistema operativo | Creación de clústeres con HDInsight más reciente en versiones de AKS | Cliente |
| Seguridad de red | Configurar una red virtual | |
| Configuración del tráfico de mediante reglas de firewall | Cliente | |
| Configurar el tráfico saliente necesario | Cliente |