Opis obszarów zabezpieczeń usługi HDInsight
Jako architekt danych odpowiedzialny za zabezpieczenia przedsiębiorstwa klastra usługi HDInsight należy pamiętać o różnych wektorach zagrożeń i sposobie spełnienia każdego z tych wymagań.
Zabezpieczenia przedsiębiorstwa i model wspólnej odpowiedzialności
Zabezpieczenia to podstawowa właściwość platformy Azure, która zapewnia wielowarstwowe zabezpieczenia zapewniane w fizycznych centrach danych, infrastrukturze i operacjach z wieloma tysiącami ekspertów w zakresie bezpieczeństwa cybernetycznego aktywnie monitorujących ochronę danych i zasobów klientów. Aby dowiedzieć się więcej, zapoznaj się z certyfikatami zgodności platformy Azure. Zabezpieczenia klastra usługi Azure HDInsight to wspólna odpowiedzialność między firmą Microsoft a klientem. Obowiązki według obszaru przedstawiono poniżej.
| Klient | Azure (dostawca usług HDInsight) |
|---|---|
| Zabezpieczenia dostępu do danych | Infrastruktura fizyczna |
| Zabezpieczenia aplikacji/oprogramowania pośredniczącego | Infrastruktura zwirtualizowana |
| Zabezpieczenia systemu operacyjnego | |
| Bezpieczeństwo sieci |
W usłudze HDInsight, podobnie jak w przypadku większości usług platformy Azure, firma Microsoft jest odpowiedzialna za zapewnienie zabezpieczeń infrastruktury fizycznej i zwirtualizowanej.
Zabezpieczenia infrastruktury fizycznej odnoszą się do zabezpieczeń globalnej rozproszonej infrastruktury centrum danych platformy Azure, która potwierdza kluczowe standardy branżowe, takie jak ISO/IEC 27001:2013 i NIST SP 800-53. Przyjęto podejście warstwowe w celu zminimalizowania ryzyka nieautoryzowanego fizycznego dostępu do zasobów centrum danych. Niektóre z tych warstw są
- Żądanie dostępu i zatwierdzenie przed przyjazdem.
- Monitorowanie działań w obrębie obwodu obiektu.
- Uwierzytelnianie dwuskładnikowe, w tym dane biometryczne do uwierzytelniania tożsamości użytkownika.
- Ograniczony dostęp oparty na minimalnym dostępie w centrach danych. Jeśli chcesz dowiedzieć się więcej o tym, jak centra danych firmy Microsoft działają i fizycznie zabezpieczają zasoby klientów, zapoznaj się z sekcją zabezpieczeń fizycznych centrum danych.
Zabezpieczenia zwirtualizowanej infrastruktury składają się z umów SLA dotyczących dostępności, architektury sieci, operacji, monitorowania, integralności i ochrony danych. Przejdź do dokumentacji zabezpieczeń infrastruktury platformy Azure, aby uzyskać kompleksową wiedzę na temat sposobu działania platformy Azure w celu ochrony zasobów infrastruktury wirtualnej.
W kolejnych sekcjach omówimy metodologie projektowania i zalecenia dotyczące obszarów zabezpieczeń, dla których klient jest odpowiedzialny.
