Zabezpieczenia w usłudze Azure Data Lake Storage Gen1
Wiele przedsiębiorstw korzysta z analizy danych big data na potrzeby analiz biznesowych, aby ułatwić im podejmowanie inteligentnych decyzji. Organizacja może mieć złożone i regulowane środowisko z coraz większą liczbą różnych użytkowników. Ważne jest, aby przedsiębiorstwo upewniło się, że krytyczne dane biznesowe są przechowywane bezpieczniej, z prawidłowym poziomem dostępu przyznanym poszczególnym użytkownikom. Azure Data Lake Storage Gen1 została zaprojektowana w celu spełnienia tych wymagań dotyczących zabezpieczeń. W tym artykule przedstawiono możliwości zabezpieczeń Data Lake Storage Gen1, w tym:
- Authentication
- Autoryzacja
- Izolacja sieciowa
- Ochrona danych
- Inspekcja
Uwierzytelnianie i zarządzanie tożsamościami
Uwierzytelnianie to proces, za pomocą którego tożsamość użytkownika jest weryfikowana, gdy użytkownik wchodzi w interakcję z Data Lake Storage Gen1 lub z dowolną usługą, która łączy się z Data Lake Storage Gen1. W przypadku zarządzania tożsamościami i uwierzytelniania Data Lake Storage Gen1 używa Tożsamość Microsoft Entra, kompleksowego rozwiązania do zarządzania tożsamościami i dostępem w chmurze, które upraszcza zarządzanie użytkownikami i grupami.
Każda subskrypcja platformy Azure może być skojarzona z wystąpieniem Tożsamość Microsoft Entra. Tylko użytkownicy i tożsamości usług zdefiniowane w usłudze Microsoft Entra mogą uzyskiwać dostęp do konta Data Lake Storage Gen1 przy użyciu Azure Portal, narzędzi wiersza polecenia lub aplikacji klienckich, które organizacja tworzy przy użyciu zestawu SDK Data Lake Storage Gen1. Kluczowe zalety korzystania z Tożsamość Microsoft Entra jako scentralizowanego mechanizmu kontroli dostępu to:
- Uproszczone zarządzanie cyklem życia tożsamości. Tożsamość użytkownika lub usługi (tożsamości jednostki usługi) można szybko utworzyć i szybko odwołać, usuwając lub wyłączając konto w katalogu.
- Uwierzytelnianie wieloskładnikowe. Uwierzytelnianie wieloskładnikowe zapewnia dodatkową warstwę zabezpieczeń dla logów i transakcji użytkownika.
- Uwierzytelnianie od dowolnego klienta za pośrednictwem standardowego protokołu otwartego, takiego jak OAuth lub OpenID.
- Federacja z usługami katalogowymi przedsiębiorstwa i dostawcami tożsamości w chmurze.
Autoryzacja i kontrola dostępu
Po Microsoft Entra uwierzytelnieniu użytkownika, aby użytkownik mógł uzyskać dostęp do Data Lake Storage Gen1, autoryzacja kontroluje uprawnienia dostępu do Data Lake Storage Gen1. Data Lake Storage Gen1 oddziela autoryzację działań związanych z kontem i powiązanymi z danymi w następujący sposób:
- Kontrola dostępu oparta na rolach (RBAC) platformy Azure na potrzeby zarządzania kontami
- Lista ACL poSIX na potrzeby uzyskiwania dostępu do danych w magazynie
Kontrola dostępu oparta na rolach platformy Azure na potrzeby zarządzania kontami
Domyślnie zdefiniowano cztery podstawowe role dla Data Lake Storage Gen1. Role umożliwiają różne operacje na koncie Data Lake Storage Gen1 za pośrednictwem Azure Portal, poleceń cmdlet programu PowerShell i interfejsów API REST. Role Właściciel i Współautor mogą wykonywać różne funkcje administracyjne na koncie. Rolę Czytelnik można przypisać do użytkowników, którzy wyświetlają tylko dane zarządzania kontami.
Należy pamiętać, że chociaż role są przypisane do zarządzania kontami, niektóre role wpływają na dostęp do danych. Należy użyć list ACL, aby kontrolować dostęp do operacji, które użytkownik może wykonać w systemie plików. W poniższej tabeli przedstawiono podsumowanie praw zarządzania i praw dostępu do danych dla ról domyślnych.
Role | Prawa do zarządzania | Prawa dostępu do danych | Wyjaśnienie |
---|---|---|---|
Brak przypisanej roli | Brak | Zarządzane przez listę ACL | Użytkownik nie może użyć poleceń cmdlet Azure Portal lub Azure PowerShell do przeglądania Data Lake Storage Gen1. Użytkownik może używać tylko narzędzi wiersza polecenia. |
Właściciel | Wszystko | Wszystko | Rola Właściciel jest superużytkownikiem. Ta rola może zarządzać wszystkimi elementami i ma pełny dostęp do danych. |
Czytelnik | Tylko odczyt | Zarządzane przez listę ACL | Rola Czytelnik może wyświetlać wszystkie elementy dotyczące zarządzania kontami, takie jak użytkownik, któremu przypisano rolę. Rola Czytelnik nie może wprowadzać żadnych zmian. |
Współautor | Wszystkie z wyjątkiem dodawania i usuwania ról | Zarządzane przez listę ACL | Rola Współautor może zarządzać niektórymi aspektami konta, takimi jak wdrożenia i tworzenie alertów i zarządzanie nimi. Rola Współautor nie może dodawać ani usuwać ról. |
Administrator dostępu użytkowników | Dodawanie i usuwanie ról | Zarządzane przez listę ACL | Rola Administrator dostępu użytkowników może zarządzać dostępem użytkowników do kont. |
Aby uzyskać instrukcje, zobacz Przypisywanie użytkowników lub grup zabezpieczeń do kont Data Lake Storage Gen1.
Używanie list ACL na potrzeby operacji w systemach plików
Data Lake Storage Gen1 to hierarchiczny system plików, taki jak Rozproszony system plików Hadoop (HDFS), który obsługuje listy ACL POSIX. Steruje odczytem (r), zapisem (w) i wykonywaniem (x) uprawnień do zasobów dla roli Właściciel, dla grupy Właściciele oraz dla innych użytkowników i grup. W Data Lake Storage Gen1 listy ACL można włączyć w folderze głównym, w podfolderach i w poszczególnych plikach. Aby uzyskać więcej informacji na temat działania list ACL w kontekście Data Lake Storage Gen1, zobacz Kontrola dostępu w Data Lake Storage Gen1.
Zalecamy zdefiniowanie list ACL dla wielu użytkowników przy użyciu grup zabezpieczeń. Dodaj użytkowników do grupy zabezpieczeń, a następnie przypisz listy ACL dla pliku lub folderu do tej grupy zabezpieczeń. Jest to przydatne, gdy chcesz podać przypisane uprawnienia, ponieważ masz ograniczenie do maksymalnie 28 wpisów dla przypisanych uprawnień. Aby uzyskać więcej informacji na temat lepszego zabezpieczania danych przechowywanych w Data Lake Storage Gen1 przy użyciu grup zabezpieczeń Microsoft Entra, zobacz Przypisywanie użytkowników lub grupy zabezpieczeń jako list ACL do systemu plików Data Lake Storage Gen1.
Izolacja sieciowa
Użyj Data Lake Storage Gen1, aby ułatwić kontrolowanie dostępu do magazynu danych na poziomie sieci. Zapory można ustanowić i zdefiniować zakres adresów IP dla zaufanych klientów. W przypadku zakresu adresów IP tylko klienci, którzy mają adres IP w zdefiniowanym zakresie, mogą łączyć się z Data Lake Storage Gen1.
Sieci wirtualne platformy Azure obsługują tagi usług dla usługi Data Lake Gen 1. Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów. Aby uzyskać więcej informacji, zobacz Omówienie tagów usługi platformy Azure.
Ochrona danych
Data Lake Storage Gen1 chroni dane przez cały cykl życia. W przypadku danych przesyłanych Data Lake Storage Gen1 używa standardowego protokołu Transport Layer Security (TLS 1.2) w celu zabezpieczenia danych za pośrednictwem sieci.
Data Lake Storage Gen1 zapewnia również szyfrowanie danych przechowywanych na koncie. Możesz wybrać szyfrowanie danych lub jego brak. Jeśli zdecydujesz się na szyfrowanie, dane przechowywane w Data Lake Storage Gen1 są szyfrowane przed zapisaniem na nośniku trwałym. W takim przypadku Data Lake Storage Gen1 automatycznie szyfruje dane przed utrwalaniem i odszyfrowywaniem danych przed pobraniem, dzięki czemu jest całkowicie niewidoczne dla klienta, który uzyskuje dostęp do danych. Po stronie klienta nie jest wymagana zmiana kodu w celu szyfrowania/odszyfrowywania danych.
W przypadku zarządzania kluczami Data Lake Storage Gen1 udostępnia dwa tryby zarządzania głównymi kluczami szyfrowania (MEKs), które są wymagane do odszyfrowywania wszystkich danych przechowywanych w Data Lake Storage Gen1. Możesz zezwolić Data Lake Storage Gen1 zarządzać meksami za Ciebie lub zachować własność meksów przy użyciu konta usługi Azure Key Vault. Należy określić tryb zarządzania kluczami podczas tworzenia konta Data Lake Storage Gen1. Aby uzyskać więcej informacji na temat zapewniania konfiguracji związanej z szyfrowaniem, zobacz Rozpoczynanie pracy z usługą Azure Data Lake Storage Gen1 przy użyciu witryny Azure Portal.
Dzienniki aktywności i diagnostyczne
W zależności od tego, czy szukasz dzienników związanych z zarządzaniem kontem, czy działań związanych z danymi, możesz użyć dzienników aktywności lub dzienników diagnostycznych.
- Działania związane z zarządzaniem kontami używają interfejsów API usługi Azure Resource Manager i są udostępniane w Azure Portal za pośrednictwem dzienników aktywności.
- Działania związane z danymi używają interfejsów API REST WebHDFS i są udostępniane w Azure Portal za pośrednictwem dzienników diagnostycznych.
Dziennik aktywności
Aby zachować zgodność z przepisami, organizacja może wymagać odpowiednich dzienników inspekcji działań związanych z zarządzaniem kontami, jeśli musi zagłębić się w konkretne zdarzenia. Data Lake Storage Gen1 ma wbudowane monitorowanie i rejestruje wszystkie działania związane z zarządzaniem kontami.
W przypadku dzienników inspekcji zarządzania kontami wyświetl i wybierz kolumny, które chcesz rejestrować. Dzienniki aktywności można również wyeksportować do usługi Azure Storage.
Aby uzyskać więcej informacji na temat pracy z dziennikami aktywności, zobacz Wyświetlanie dzienników aktywności w celu inspekcji akcji dotyczących zasobów.
Dzienniki diagnostyczne
Możesz włączyć inspekcję dostępu do danych i rejestrowanie diagnostyczne w Azure Portal i wysłać dzienniki do konta usługi Azure Blob Storage, centrum zdarzeń lub dzienników usługi Azure Monitor.
Aby uzyskać więcej informacji na temat pracy z dziennikami diagnostycznymi przy użyciu Data Lake Storage Gen1, zobacz Uzyskiwanie dostępu do dzienników diagnostycznych dla Data Lake Storage Gen1.
Podsumowanie
Klienci korporacyjni wymagają platformy w chmurze analizy danych, która jest bezpieczna i łatwa w użyciu. Data Lake Storage Gen1 ma pomóc spełnić te wymagania za pośrednictwem zarządzania tożsamościami i uwierzytelniania za pośrednictwem integracji Microsoft Entra, autoryzacji opartej na listach ACL, izolacji sieciowej, szyfrowania danych podczas przesyłania i magazynowania oraz inspekcji.
Jeśli chcesz zobaczyć nowe funkcje w Data Lake Storage Gen1, prześlij nam swoją opinię na forum Data Lake Storage Gen1 UserVoice.