Omówienie zabezpieczeń przedsiębiorstwa w usłudze Azure HDInsight na AKS
Ważny
Usługa Azure HDInsight w usłudze AKS została wycofana 31 stycznia 2025 r. Dowiedz się więcej dzięki temu ogłoszeniu.
Aby uniknąć nagłego kończenia obciążeń, należy przeprowadzić migrację obciążeń do usługi Microsoft Fabric lub równoważnego produktu platformy Azure.
Ważny
Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Dodatkowe Warunki Użytkowania dla wersji testowych Microsoft Azure zawierają więcej warunków prawnych dotyczących funkcji Azure, które są w wersji beta, zapoznawczej lub w inny sposób nie są jeszcze dostępne publicznie. Aby uzyskać informacje na temat tej konkretnej wersji zapoznawczej, zobacz Azure HDInsight w usłudze AKS w wersji zapoznawczej informacji. W przypadku pytań lub sugestii dotyczących funkcji, prześlij żądanie na AskHDInsight, a także śledź nas po więcej aktualizacji w społeczności Azure HDInsight.
Usługa Azure HDInsight w usłudze AKS domyślnie oferuje zabezpieczenia i istnieje kilka metod zaspokajania potrzeb związanych z zabezpieczeniami przedsiębiorstwa.
W tym artykule opisano ogólną architekturę zabezpieczeń i rozwiązania zabezpieczeń, dzieląc je na cztery tradycyjne filary zabezpieczeń: zabezpieczenia obwodowe, uwierzytelnianie, autoryzacja i szyfrowanie.
Architektura zabezpieczeń
Gotowość przedsiębiorstwa dla dowolnego oprogramowania wymaga rygorystycznych kontroli zabezpieczeń w celu zapobiegania zagrożeniom, które mogą wystąpić, i reagowania na nie. Usługa HDInsight w usłudze AKS udostępnia wielowarstwowy model zabezpieczeń, który chroni Cię na wielu warstwach. Architektura zabezpieczeń wykorzystuje nowoczesne metody autoryzacji przy użyciu usługi Managed Service Identity (MSI). Cały dostęp do magazynu odbywa się za pośrednictwem MSI, a dostęp do bazy danych przez nazwę użytkownika i hasło. Hasło jest przechowywane w usłudze Azure Key Vaultzdefiniowanym przez klienta. Ta funkcja sprawia, że konfiguracja jest domyślnie niezawodna i bezpieczna.
Na poniższym diagramie przedstawiono wysokopoziomową architekturę techniczną zabezpieczeń w HDInsight na AKS.
Filary zabezpieczeń przedsiębiorstwa
Jednym ze sposobów przyjrzenia się bezpieczeństwu przedsiębiorstwa jest podzielenie rozwiązań zabezpieczeń na cztery główne grupy na podstawie typu kontroli. Te grupy są również nazywane filarami zabezpieczeń i są następującymi typami: zabezpieczenia obwodowe, uwierzytelnianie, autoryzacja i szyfrowanie.
Zabezpieczenia obwodowe
Zabezpieczenia obwodowe w usłudze HDInsight w usłudze AKS są osiągane za pośrednictwem sieci wirtualnych. Administrator przedsiębiorstwa może utworzyć klaster w sieci wirtualnej i użyć sieciowych grup zabezpieczeń w celu ograniczenia dostępu do sieci wirtualnej.
Uwierzytelnianie
Usługa HDInsight w usłudze AKS zapewnia uwierzytelnianie oparte na identyfikatorze Entra firmy Microsoft na potrzeby logowania klastra i używa tożsamości zarządzanych (MSI) do zabezpieczania dostępu klastra do plików w usłudze Azure Data Lake Storage Gen2. Tożsamość zarządzana to funkcja identyfikatora Entra firmy Microsoft, która udostępnia usługom platformy Azure zestaw automatycznie zarządzanych poświadczeń. Dzięki tej konfiguracji pracownicy przedsiębiorstwa mogą logować się do węzłów klastra przy użyciu poświadczeń domeny. Tożsamość zarządzana Microsoft Entra ID umożliwia aplikacji łatwy dostęp do innych chronionych zasobów Microsoft Entra, takich jak Azure Key Vault, Magazyn, SQL Server i Baza Danych. Tożsamość jest zarządzana przez platformę Azure i nie wymaga aprowizacji ani rotacji wpisów tajnych. To rozwiązanie jest kluczem do zabezpieczania dostępu do HDInsight na klastrze AKS i innych zasobów zależnych. Tożsamości zarządzane sprawiają, że aplikacja jest bezpieczniejsza, usuwając sekrety z aplikacji, takie jak dane uwierzytelniające w łańcuchach połączeń.
Tworzysz tożsamość zarządzaną przypisaną przez użytkownika, która jest autonomicznym zasobem platformy Azure w ramach procesu tworzenia klastra, który zarządza dostępem do zasobów zależnych.
Autoryzacja
Najlepszym rozwiązaniem dla większości przedsiębiorstw jest upewnienie się, że nie każdy pracownik ma pełny dostęp do wszystkich zasobów przedsiębiorstwa. Podobnie administrator może zdefiniować zasady kontroli dostępu opartej na rolach dla zasobów klastra.
Właściciele zasobów mogą skonfigurować kontrolę dostępu opartą na rolach (RBAC). Konfigurowanie zasad RBAC umożliwia kojarzenie uprawnień z rolą w organizacji. Ta warstwa abstrakcji ułatwia zapewnienie, że ludzie mają tylko uprawnienia potrzebne do wykonywania swoich obowiązków służbowych. Autoryzacja zarządzana przez role usługi ARM dla zarządzania klastrem (płaszczyzna sterowania) i dostępu do danych klastra (płaszczyzna danych) zarządzane przez zarządzanie dostępem do klastra .
Role zarządzania klastrem (Control Plane / Role ARM)
| Akcja | Zarządzanie pulą klastrów HDInsight na platformie AKS | Administrator klastra HDInsight na AKS |
|---|---|---|
| Tworzenie/usuwanie puli klastrów | ✅ | |
| Przypisywanie uprawnień i ról w puli klastrów | ✅ | |
| Tworzenie/usuwanie klastra | ✅ | ✅ |
| zarządzanie klastrem | ✅ | |
| Zarządzanie konfiguracją | ✅ | |
| Akcje skryptu | ✅ | |
| Zarządzanie biblioteką | ✅ | |
| Monitoring | ✅ | |
| Akcje skalowania | ✅ |
Powyższe role są z perspektywy operacji ARM. Aby uzyskać więcej informacji, zobacz Udzielanie użytkownikowi dostępu do zasobów platformy Azure przy użyciu witryny Azure Portal — azure RBAC.
Dostęp do klastra (płaszczyzna danych)
Możesz zezwolić użytkownikom, jednostkom usługi, tożsamości zarządzanej na dostęp do klastra za pośrednictwem portalu lub przy użyciu usługi ARM.
Ten dostęp umożliwia
- Wyświetlanie klastrów i zarządzanie zadaniami.
- Wykonaj wszystkie operacje monitorowania i zarządzania.
- Wykonaj operacje skalowania automatycznego i zaktualizuj liczbę węzłów.
Nie zapewniono dostępu
- Usuwanie klastra
Ważny
Każdy nowo dodany użytkownik będzie wymagał dodatkowej roli "Czytelnik RBAC usługi Azure Kubernetes Service" do wyświetlania kondycji usługi.
Inspekcja
Inspekcja dostępu do zasobów klastra jest niezbędna do śledzenia nieautoryzowanego lub niezamierzonego dostępu do zasobów. Jest to tak ważne, jak ochrona zasobów klastra przed nieautoryzowanym dostępem.
Administrator grupy zasobów może wyświetlać i raportować cały dostęp do HDInsight działającego na zasobach i danych klastra AKS, korzystając z dziennika aktywności. Administrator może wyświetlać i zgłaszać zmiany zasad kontroli dostępu.
Szyfrowanie
Ochrona danych jest ważna dla spełnienia wymagań organizacji dotyczących zabezpieczeń i zgodności. Oprócz ograniczania dostępu do danych od nieautoryzowanych pracowników należy je zaszyfrować. Magazyn i dyski (dysk systemu operacyjnego i trwały dysk danych) używane przez węzły klastra i kontenery są szyfrowane. Dane w usłudze Azure Storage są szyfrowane i odszyfrowywane przezroczysto przy użyciu 256-bitowego szyfrowania AES, jednego z najsilniejszych dostępnych szyfrów blokowych i zgodnego ze standardem FIPS 140-2. Szyfrowanie usługi Azure Storage jest włączone dla wszystkich kont magazynu, co sprawia, że dane są domyślnie bezpieczne, nie trzeba modyfikować kodu ani aplikacji, aby korzystać z szyfrowania usługi Azure Storage. Szyfrowanie danych przesyłanych jest obsługiwane przy użyciu protokołu TLS 1.2.
Zgodność
Oferty zgodności platformy Azure są oparte na różnych typach gwarancji, w tym formalnych certyfikatów. Ponadto zaświadczania, walidacje i autoryzacje. Oceny opracowane przez niezależne firmy zajmujące się inspekcjami innych firm. Aneksy umowne, oceny własne i dokumenty dotyczące wskazówek dla klientów opracowane przez firmę Microsoft. Aby uzyskać informacje o zgodności usługi HDInsight w usłudze AKS, zobacz Centrum Zaufania Microsoft i Omówienie zgodności platformy Microsoft Azure.
Model wspólnej odpowiedzialności
Na poniższej ilustracji przedstawiono podsumowanie głównych obszarów zabezpieczeń systemu i dostępnych rozwiązań zabezpieczeń. Podkreśla również, które obszary zabezpieczeń należą do Twoich obowiązków jako klienta oraz które są odpowiedzialnością HDInsight działającego na platformie AKS jako dostawcy usług.
Poniższa tabela zawiera linki do zasobów dla każdego typu rozwiązania zabezpieczeń.
| Obszar zabezpieczeń | Dostępne rozwiązania | Odpowiedzialna strona |
|---|---|---|
| Zabezpieczenia dostępu do danych | Konfigurowanie list kontroli dostępu (ACL) dla usługi Azure Data Lake Storage Gen2 | Klient |
| Włącz właściwość wymaganego bezpiecznego transferu na magazynie danych | Klient | |
| Konfigurowanie zapór usługi Azure Storage i sieci wirtualnych | Klient | |
| Zabezpieczenia systemu operacyjnego | Twórz klastry z najnowszymi wersjami HDInsight na AKS | Klient |
| Zabezpieczenia sieci | Skonfiguruj sieć wirtualną | |
| Konfigurowanie ruchu przy użyciu reguł zapory | Klient | |
| Skonfiguruj wymagany ruch wychodzący | Klient |