Overzicht van bedrijfsbeveiliging in Azure HDInsight in AKS
Belangrijk
Azure HDInsight op AKS is op 31 januari 2025 buiten gebruik gesteld. Meer informatie met deze aankondiging.
U moet uw workloads migreren naar Microsoft Fabric- of een gelijkwaardig Azure-product om plotselinge beëindiging van uw workloads te voorkomen.
Belangrijk
Deze functie is momenteel beschikbaar als preview-versie. De aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews meer juridische voorwaarden bevatten die van toepassing zijn op Azure-functies die bèta, in preview of anderszins nog niet in algemene beschikbaarheid zijn vrijgegeven. Zie Azure HDInsight in AKS preview-informatievoor meer informatie over deze specifieke preview. Voor vragen of suggesties voor functies dient u een aanvraag in op AskHDInsight- met de details en volgt u ons voor meer updates over Azure HDInsight Community-.
Azure HDInsight in AKS biedt standaard beveiliging en er zijn verschillende methoden om te voldoen aan de beveiligingsbehoeften van uw bedrijf.
In dit artikel worden algemene beveiligingsarchitectuur en beveiligingsoplossingen behandeld door ze te verdelen in vier traditionele beveiligingspijlers: perimeterbeveiliging, verificatie, autorisatie en versleuteling.
Beveiligingsarchitectuur
Bedrijfsgereedheid voor software vereist strenge beveiligingscontroles om bedreigingen te voorkomen en aan te pakken die zich kunnen voordoen. HDInsight op AKS biedt een beveiligingsmodel met meerdere lagen om u op meerdere lagen te beveiligen. De beveiligingsarchitectuur maakt gebruik van moderne autorisatiemethoden met behulp van MSI. Alle opslagtoegang is via MSI en de databasetoegang vindt plaats via gebruikersnaam/wachtwoord. Het wachtwoord wordt opgeslagen in Azure Key Vault, gedefinieerd door de klant. Deze functie maakt de installatie standaard robuust en veilig.
In het onderstaande diagram ziet u een technische architectuur op hoog niveau van beveiliging in HDInsight op AKS.
Enterprise-beveiligingspijlers
Een manier om bedrijfsbeveiliging te bekijken, is door beveiligingsoplossingen te verdelen in vier hoofdgroepen op basis van het type controle. Deze groepen worden ook wel beveiligingspijlers genoemd en zijn van de volgende typen: perimeterbeveiliging, verificatie, autorisatie en versleuteling.
Perimeterbeveiliging
Perimeterbeveiliging in HDInsight op AKS wordt bereikt via virtuele netwerken. Een ondernemingsbeheerder kan een cluster binnen een virtueel netwerk (VNET) maken en netwerkbeveiligingsgroepen (NSG)- gebruiken om de toegang tot het virtuele netwerk te beperken.
Authenticatie
HDInsight op AKS biedt verificatie op basis van Microsoft Entra ID voor clusteraanmelding en maakt gebruik van beheerde identiteiten (MSI) om clustertoegang tot bestanden in Azure Data Lake Storage Gen2 te beveiligen. Beheerde identiteit is een functie van Microsoft Entra-id die Azure-services biedt met een set automatisch beheerde referenties. Met deze instelling kunnen ondernemingsmedewerkers zich aanmelden bij de clusterknooppunten met behulp van hun domeinreferenties. Met een beheerde identiteit van Microsoft Entra ID heeft uw app eenvoudig toegang tot andere met Microsoft Entra beveiligde resources, zoals Azure Key Vault, Storage, SQL Server en Database. De identiteit die wordt beheerd door het Azure-platform en vereist niet dat u geheimen inricht of roteert. Deze oplossing is een sleutel voor het beveiligen van toegang tot uw HDInsight op AKS-cluster en andere afhankelijke resources. Beheerde identiteiten maken uw app veiliger door geheimen uit uw app te elimineren, zoals referenties in de verbindingsreeksen.
U maakt een door de gebruiker toegewezen beheerde identiteit, een zelfstandige Azure-resource, als onderdeel van het proces voor het maken van het cluster, waarmee de toegang tot uw afhankelijke resources wordt beheerd.
Machtiging
Een best practice die de meeste ondernemingen volgen, is ervoor te zorgen dat niet elke werknemer volledige toegang heeft tot alle ondernemingsresources. Op dezelfde manier kan de beheerder beleid voor op rollen gebaseerd toegangsbeheer definiëren voor de clusterbronnen.
De resource-eigenaren kunnen op rollen gebaseerd toegangsbeheer (RBAC) configureren. Als u RBAC-beleid configureert, kunt u machtigingen koppelen aan een rol in de organisatie. Deze abstractielaag maakt het eenvoudiger om ervoor te zorgen dat mensen alleen beschikken over de machtigingen die nodig zijn om hun werkverantwoordelijkheden uit te voeren. Autorisatie beheerd door ARM-rollen voor clusterbeheer (besturingsvlak) en toegang tot clustergegevens (gegevenslaag) die worden beheerd door clustertoegangsbeheer.
Clusterbeheerrollen (Besturingsvlak/ARM-rollen)
| Actie | HDInsight op AKS-clusterpoolbeheer | HDInsight op AKS-clusterbeheerder |
|---|---|---|
| Clustergroep maken/verwijderen | ✅ | |
| Machtiging en rollen toewijzen aan de clustergroep | ✅ | |
| Cluster maken/verwijderen | ✅ | ✅ |
| Cluster beheren | ✅ | |
| Configuratiebeheer | ✅ | |
| Scriptacties | ✅ | |
| Bibliotheekbeheer | ✅ | |
| Bewaking | ✅ | |
| Schaalacties | ✅ |
De bovenstaande rollen zijn vanuit het perspectief van ARM-bewerkingen. Zie Een gebruiker toegang verlenen tot Azure-resources met behulp van Azure Portal - Azure RBACvoor meer informatie.
Clustertoegang (gegevensvlak)
U kunt gebruikers, service-principals, beheerde identiteit toegang geven tot het cluster via de portal of met behulp van ARM.
Met deze toegang is het mogelijk om
- Clusters weergeven en taken beheren.
- Voer alle bewakings- en beheerbewerkingen uit.
- Voer bewerkingen voor automatisch schalen uit en werk het aantal knooppunten bij.
De toegang is niet verleend
- Clusterverwijdering
Belangrijk
Voor elke nieuw toegevoegde gebruiker is een extra rol van Azure Kubernetes Service RBAC Reader vereist voor het weergeven van de servicestatus.
Controle
Het controleren van toegang tot clusterresources is nodig om onbevoegde of onbedoelde toegang tot de resources bij te houden. Het is net zo belangrijk als het beveiligen van de clusterbronnen tegen onbevoegde toegang.
De resourcegroepbeheerder kan alle toegang tot HDInsight op AKS-clusterresources en -gegevens weergeven en rapporteren door het activiteitenlogboek te gebruiken. De beheerder kan wijzigingen in het toegangsbeheerbeleid bekijken en rapporteren.
Versleuteling
Het beveiligen van gegevens is belangrijk voor het voldoen aan de beveiligings- en nalevingsvereisten van de organisatie. Naast het beperken van de toegang tot gegevens van onbevoegde werknemers, moet u deze versleutelen. De opslag en de schijven (besturingssysteemschijf en permanente gegevensschijf) die door de clusterknooppunten en containers worden gebruikt, worden versleuteld. Gegevens in Azure Storage worden transparant versleuteld en ontsleuteld met 256-bits AES-versleuteling, een van de sterkste blokcoderingen die beschikbaar zijn en voldoen aan FIPS 140-2. Azure Storage-versleuteling is ingeschakeld voor alle opslagaccounts, waardoor gegevens standaard beveiligd zijn. U hoeft uw code of toepassingen niet te wijzigen om te profiteren van Azure Storage-versleuteling. Versleuteling van gegevens die onderweg zijn, wordt verwerkt met TLS 1.2.
Naleving
Azure-nalevingsaanbiedingen zijn gebaseerd op verschillende soorten garanties, waaronder formele certificeringen. Ook attestations, validaties en autorisaties. Evaluaties die worden geproduceerd door onafhankelijke controlebureaus van derden. Contractuele wijzigingen, zelfevaluaties en documenten voor klantrichtlijnen die door Microsoft worden geproduceerd. Zie voor nalevingsinformatie over HDInsight op AKS het Microsoft Trust Center en het Overzicht van Microsoft Azure-naleving.
Model voor gedeelde verantwoordelijkheid
In de volgende afbeelding ziet u een overzicht van de belangrijkste beveiligingsgebieden van het systeem en de beveiligingsoplossingen die voor u beschikbaar zijn. Ook wordt benadrukt welke beveiligingsgebieden uw verantwoordelijkheden zijn als klant en gebieden die verantwoordelijk zijn voor HDInsight op AKS als serviceprovider.
De volgende tabel bevat koppelingen naar resources voor elk type beveiligingsoplossing.
| Beveiligingsgebied | Beschikbare oplossingen | Verantwoordelijke partij |
|---|---|---|
| Gegevenstoegangsbeveiliging | Toegangsbeheerlijsten configureren voor Azure Data Lake Storage Gen2 | Klant |
| De vereiste -eigenschap veilige overdracht inschakelen voor opslag | Klant | |
| Azure Storage-firewalls en virtuele netwerken configureren | Klant | |
| Beveiliging van besturingssysteem | Clusters maken met de meest recente HDInsight in AKS-versies | Klant |
| Netwerkbeveiliging | Een virtueel netwerk configureren | |
| Het -verkeer configureren met behulp van Firewallregels | Klant | |
| Configureer uitgaand verkeer vereist | Klant |