Visão geral da segurança corporativa no Azure HDInsight no AKS
Importante
O Azure HDInsight no AKS foi desativado em 31 de janeiro de 2025. Saiba mais com este anúncio.
Você precisa migrar suas cargas de trabalho para Microsoft Fabric ou um produto equivalente do Azure para evitar o encerramento abrupto de suas cargas de trabalho.
Importante
Esta funcionalidade está atualmente em pré-visualização. Os Termos de Utilização Suplementares para Previews do Microsoft Azure incluem mais termos legais que se aplicam a funcionalidades do Azure que estão em versão beta, em preview ou ainda não disponibilizadas ao público em geral. Para obter informações sobre esta visualização específica, consulte informações de pré-visualização do Azure HDInsight sobre o AKS. Para perguntas ou sugestões de funcionalidades, envie um pedido no AskHDInsight com os detalhes e siga-nos para mais atualizações na Comunidade Azure HDInsight.
O Azure HDInsight no AKS oferece segurança por padrão e há vários métodos para atender às necessidades de segurança da sua empresa.
Este artigo aborda a arquitetura de segurança geral e as soluções de segurança, dividindo-as em quatro pilares de segurança tradicionais: segurança de perímetro, autenticação, autorização e criptografia.
Arquitetura de segurança
A prontidão empresarial para qualquer software requer verificações de segurança rigorosas para prevenir e lidar com ameaças que possam surgir. O HDInsight no AKS fornece um modelo de segurança em várias camadas para protegê-lo em várias camadas. A arquitetura de segurança usa métodos de autorização modernos usando MSI. Todo o acesso ao armazenamento é através do MSI, e o acesso ao banco de dados é através do nome de usuário/senha. A senha é armazenada no Azure Key Vault, definido pelo cliente. Esse recurso torna a configuração robusta e segura por padrão.
O diagrama abaixo ilustra uma arquitetura técnica de alto nível de segurança no HDInsight no AKS.
Pilares de segurança empresarial
Uma maneira de olhar para a segurança corporativa é dividir as soluções de segurança em quatro grupos principais com base no tipo de controle. Esses grupos também são chamados de pilares de segurança e são dos seguintes tipos: segurança de perímetro, autenticação, autorização e criptografia.
Segurança de perímetro
A segurança de perímetro no HDInsight em AKS é alcançada através de redes virtuais. Um administrador corporativo pode criar um cluster dentro de uma rede virtual (VNET) e usar grupos de segurança de rede (NSG) para restringir o acesso à rede virtual.
Autenticação
O HDInsight no AKS fornece autenticação baseada em ID do Microsoft Entra para logon de cluster e usa identidades gerenciadas (MSI) para proteger o acesso de cluster a arquivos no Azure Data Lake Storage Gen2. A identidade gerenciada é um recurso do Microsoft Entra ID que fornece aos serviços do Azure um conjunto de credenciais gerenciadas automaticamente. Com essa configuração, os funcionários da empresa podem entrar nos nós do cluster usando suas credenciais de domínio. Uma identidade gerenciada do Microsoft Entra ID permite que seu aplicativo acesse facilmente outros recursos protegidos pelo Microsoft Entra, como o Azure Key Vault, o Storage, o SQL Server e o Database. A identidade gerenciada pela plataforma Azure e não exige que você provisione ou alterne nenhum segredo. Esta solução é fundamental para proteger o acesso ao seu HDInsight no cluster AKS e outros recursos dependentes. As identidades gerenciadas tornam seu aplicativo mais seguro, eliminando segredos de seu aplicativo, como credenciais nas cadeias de conexão.
Você cria uma identidade gerenciada atribuída pelo usuário, que é um recurso autônomo do Azure, como parte do processo de criação do cluster, que gerencia o acesso aos seus recursos dependentes.
Autorização
Uma prática recomendada que a maioria das empresas segue é garantir que nem todos os funcionários tenham acesso total a todos os recursos da empresa. Da mesma forma, o administrador pode definir políticas de controle de acesso baseadas em função para os recursos do cluster.
Os proprietários de recursos podem configurar o controle de acesso baseado em função (RBAC). A configuração de políticas RBAC permite associar permissões a uma função na organização. Essa camada de abstração torna mais fácil garantir que as pessoas tenham apenas as permissões necessárias para executar suas responsabilidades de trabalho. Autorização gerida por funções ARM para gestão de clusters (plano de controlo) e acesso a dados de clusters (plano de dados) gerido por gestão de acesso a clusters.
Funções de gestão de cluster (Funções de Plano de Controlo / ARM)
| Ação | HDInsight no administrador do Cluster Pool AKS | HDInsight no Administrador de Clusters AKS |
|---|---|---|
| Criar / Apagar pool de clusters | ✅ | |
| Atribuir permissão e funções no pool de clusters | ✅ | |
| Criar/excluir cluster | ✅ | ✅ |
| Gerenciar de cluster | ✅ | |
| Gerenciamento de configuração | ✅ | |
| Ações de script | ✅ | |
| Gestão de Bibliotecas | ✅ | |
| Monitorização | ✅ | |
| Ações de dimensionamento | ✅ |
As funções acima são da perspetiva das operações ARM. Para obter mais informações, consulte Conceder a um usuário acesso aos recursos do Azure usando o portal do Azure - Azure RBAC.
Acesso ao cluster (Plano de Dados)
Você pode permitir que usuários, entidades de serviço, identidade gerenciada acessem o cluster por meio do portal ou usando ARM.
Este acesso permite
- Visualize clusters e gerencie trabalhos.
- Realizar todas as operações de monitorização e gestão.
- Execute operações de dimensionamento automático e atualize a contagem de nós.
O acesso não previsto
- Exclusão de cluster
Importante
Qualquer utilizador recém-adicionado exigirá uma função adicional de "Leitor RBAC do Serviço Kubernetes do Azure" para exibir a integridade do serviço .
Auditoria
A auditoria do acesso aos recursos do cluster é necessária para rastrear o acesso não autorizado ou não intencional dos recursos. É tão importante quanto proteger os recursos do cluster contra acesso não autorizado.
O administrador do grupo de recursos pode visualizar e relatar todo o acesso ao HDInsight em recursos e dados do cluster AKS usando o registro de atividades. O administrador pode visualizar e relatar alterações nas políticas de controle de acesso.
Encriptação
A proteção de dados é importante para atender aos requisitos organizacionais de segurança e conformidade. Além de restringir o acesso a dados de funcionários não autorizados, você deve criptografá-los. O armazenamento e os discos (disco do sistema operacional e disco de dados persistente) usados pelos nós e contêineres do cluster são criptografados. Os dados no Armazenamento do Azure são criptografados e descriptografados de forma transparente usando criptografia AES de 256 bits, uma das cifras de bloco mais fortes disponíveis, e são compatíveis com FIPS 140-2. A criptografia do Armazenamento do Azure está habilitada para todas as contas de armazenamento, o que torna os dados seguros por padrão, você não precisa modificar seu código ou aplicativos para aproveitar a criptografia do Armazenamento do Azure. A criptografia de dados em trânsito é tratada com TLS 1.2.
Conformidade
As ofertas de conformidade do Azure baseiam-se em vários tipos de garantias, incluindo certificações formais. Além disso, atestados, validações e autorizações. Avaliações produzidas por empresas de auditoria terceiras independentes. Alterações contratuais, autoavaliações e documentos de orientação ao cliente produzidos pela Microsoft. Para obter informações sobre conformidade com o HDInsight no AKS, consulte o da Central de Confiabilidade do Microsoft e a Visão geral da conformidade com o Microsoft Azure.
Modelo de responsabilidade partilhada
A imagem a seguir resume as principais áreas de segurança do sistema e as soluções de segurança disponíveis para você. Ele também destaca quais áreas de segurança são suas responsabilidades como cliente e áreas que são de responsabilidade da HDInsight no AKS como provedor de serviços.
A tabela a seguir fornece links para recursos para cada tipo de solução de segurança.
| Área de segurança | Soluções disponíveis | Parte responsável |
|---|---|---|
| Segurança de Acesso a Dados | Configurar listas de controle de acesso ACLs para o Azure Data Lake Storage Gen2 | Cliente |
| Ative a propriedade Transferência segura necessária no armazenamento | Cliente | |
| Configurar firewalls de armazenamento do Azure e redes virtuais | Cliente | |
| Segurança do sistema operacional | Crie clusters com as versões mais recentes do HDInsight no AKS | Cliente |
| Segurança da rede | Configurar uma rede virtual | |
| Configurar Tráfego usando regras de Firewall | Cliente | |
| Configurar tráfego de saída necessário | Cliente |