Partilhar via


Segurança no Azure Data Explorer

Este artigo fornece uma introdução à segurança no Azure Data Explorer para o ajudar a proteger os seus dados e recursos na cloud e a satisfazer as necessidades de segurança da sua empresa. É importante manter os clusters seguros. A proteção dos clusters inclui uma ou mais funcionalidades do Azure que incluem o acesso seguro e o armazenamento. Este artigo fornece informações para o ajudar a manter o cluster seguro.

Para obter mais recursos relativos à conformidade da sua empresa ou organização, veja a documentação de conformidade do Azure.

Segurança da rede

A segurança de rede é um requisito partilhado por muitos dos nossos clientes empresariais conscientes da segurança. A intenção é isolar o tráfego de rede e limitar a superfície de ataque para Data Explorer do Azure e comunicações correspondentes. Por conseguinte, pode bloquear o tráfego proveniente de segmentos de rede não Data Explorer do Azure e garantir que apenas o tráfego de origens conhecidas chega ao Azure Data Explorer pontos finais. Isto inclui tráfego com origem no local ou fora do Azure, com um destino do Azure e vice-versa. O Azure Data Explorer suporta as seguintes funcionalidades para alcançar este objetivo:

Recomendamos vivamente a utilização de pontos finais privados para proteger o acesso à rede ao cluster. Esta opção tem muitas vantagens em relação à injeção de rede virtual que resulta numa menor sobrecarga de manutenção, incluindo um processo de implementação mais simples e mais robusto para as alterações de rede virtual.

Identidade e controlo de acesso

Controlo de acesso baseado em funções

Utilize o controlo de acesso baseado em funções (RBAC) para segregar deveres e conceder apenas o acesso necessário aos utilizadores do cluster. Em vez de conceder permissões sem restrições a todos no cluster, pode permitir que apenas os utilizadores atribuídos a funções específicas efetuem determinadas ações. Pode configurar o controlo de acesso para as bases de dados no portal do Azure, com a CLI do Azure ou Azure PowerShell.

Identidades geridas dos recursos do Azure

Um desafio comum ao criar aplicações na cloud é a gestão de credenciais no seu código para autenticação em serviços cloud. Manter essas credenciais protegidas é uma tarefa importante. As credenciais não devem ser armazenadas em estações de trabalho de programador nem verificadas no controlo de origem. O Azure Key Vault oferece uma forma de armazenar credenciais, segredos e outras chaves em segurança, mas o código tem de se autenticar no Key Vault para poder obtê-los.

A funcionalidade Microsoft Entra identidades geridas dos recursos do Azure resolve este problema. A funcionalidade fornece aos serviços do Azure uma identidade gerida automaticamente no Microsoft Entra ID. Pode utilizar a identidade para autenticar em qualquer serviço que suporte Microsoft Entra autenticação, incluindo Key Vault, sem quaisquer credenciais no seu código. Para obter mais informações sobre este serviço, veja a página de descrição geral das identidades geridas dos recursos do Azure .

Proteção de dados

Encriptação de discos do Azure

O Azure Disk Encryption ajuda a proteger e salvaguardar os seus dados para cumprir os compromissos de conformidade e segurança da sua organização. Fornece encriptação de volume para o SO e discos de dados das máquinas virtuais do cluster. O Azure Disk Encryption também se integra com o Azure Key Vault, que nos permite controlar e gerir as chaves de encriptação de disco e os segredos, e garantir que todos os dados nos discos da VM são encriptados.

Chaves geridas pelo cliente com o Azure Key Vault

Por predefinição, os dados são encriptados com chaves geridas pela Microsoft. Para obter controlo adicional sobre chaves de encriptação, pode fornecer chaves geridas pelo cliente para utilizar para encriptação de dados. Pode gerir a encriptação dos seus dados ao nível do armazenamento com as suas próprias chaves. Uma chave gerida pelo cliente é utilizada para proteger e controlar o acesso à chave de encriptação de raiz, que é utilizada para encriptar e desencriptar todos os dados. As chaves geridas pelo cliente oferecem maior flexibilidade para criar, rodar, desativar e revogar controlos de acesso. Também pode auditar as chaves de encriptação utilizadas para proteger os dados.

Utilize o Azure Key Vault para armazenar as chaves geridas pelo cliente. Pode criar as suas próprias chaves e armazená-las num cofre de chaves ou pode utilizar uma API do Azure Key Vault para gerar chaves. O cluster do Azure Data Explorer e o Key Vault do Azure têm de estar na mesma região, mas podem estar em subscrições diferentes. Para obter mais informações sobre o Azure Key Vault, veja O que é o Azure Key Vault?. Para obter uma explicação detalhada sobre as chaves geridas pelo cliente, veja Chaves geridas pelo cliente com o Azure Key Vault. Configurar chaves geridas pelo cliente no cluster do Azure Data Explorer com o Portal, C#, modelo de Resource Manager do Azure, CLI ou PowerShell

Nota

As chaves geridas pelo cliente dependem de identidades geridas para recursos do Azure, uma funcionalidade de Microsoft Entra ID. Para configurar chaves geridas pelo cliente no portal do Azure, configure uma identidade gerida para o cluster, conforme descrito em Configurar identidades geridas para o cluster do Azure Data Explorer.

Armazenar chaves geridas pelo cliente no Azure Key Vault

Para ativar chaves geridas pelo cliente num cluster, utilize um Key Vault do Azure para armazenar as chaves. Tem de ativar as propriedades Eliminação Recuperável e Não Remover no cofre de chaves. O cofre de chaves tem de estar localizado na mesma região que o cluster. O Azure Data Explorer utiliza identidades geridas para recursos do Azure para autenticar no cofre de chaves para operações de encriptação e desencriptação. As identidades geridas não suportam cenários entre diretórios.

Rodar chaves geridas pelo cliente

Pode rodar uma chave gerida pelo cliente no Azure Key Vault de acordo com as políticas de conformidade. Para rodar uma chave, no Azure Key Vault, atualize a versão da chave ou crie uma nova chave e, em seguida, atualize o cluster para encriptar dados com o novo URI de chave. Pode efetuar estes passos com a CLI do Azure ou no portal. Rodar a chave não aciona a nova encriptação de dados existentes no cluster.

Ao rodar uma chave, normalmente especifica a mesma identidade utilizada ao criar o cluster. Opcionalmente, configure uma nova identidade atribuída pelo utilizador para acesso à chave ou ative e especifique a identidade atribuída pelo sistema do cluster.

Nota

Certifique-se de que as permissões Get, Unwrap Key e Wrap Key necessárias estão definidas para a identidade que configura para o acesso à chave.

Atualizar versão da chave

Um cenário comum é atualizar a versão da chave utilizada como chave gerida pelo cliente. Dependendo da forma como a encriptação do cluster é configurada, a chave gerida pelo cliente no cluster é atualizada automaticamente ou tem de ser atualizada manualmente.

Revogar o acesso a chaves geridas pelo cliente

Para revogar o acesso a chaves geridas pelo cliente, utilize o PowerShell ou a CLI do Azure. Para obter mais informações, veja Azure Key Vault PowerShell ou CLI do Azure Key Vault. Revogar o acesso bloqueia o acesso a todos os dados ao nível de armazenamento do cluster, uma vez que a chave de encriptação está, consequentemente, inacessível pelo Azure Data Explorer.

Nota

Quando o Azure Data Explorer identifica que o acesso a uma chave gerida pelo cliente é revogado, suspenderá automaticamente o cluster para eliminar quaisquer dados em cache. Assim que o acesso à chave for devolvido, o cluster será retomado automaticamente.