Implementar segurança de rede
A segurança de rede é definida como o processo de proteger os recursos contra acesso não autorizado ou ataque através da aplicação de controlos ao tráfego da rede. Embora os controlos possam ser aplicados de várias formas, o objetivo é garantir que apenas o tráfego legítimo é permitido.
Abaixo está um exemplo de representação arquitetônica de um cluster HDInsight implantado com segurança de rede e uma discussão sobre como isso é alcançado. As setas pretas representam o tráfego de entrada e as setas azuis representam o tráfego de saída
O objetivo do design acima é garantir que apenas o tráfego de rede proveniente de fontes confiáveis possa chegar ao cluster HDInsight e que o tráfego de rede que sai do cluster HDInsight vá para um destino confiável. Além disso, o tráfego de rede que atinge os serviços de armazenamento e metastore é restrito ao tráfego originado do HDInsight.
Vamos detalhar os detalhes do design acima, observando as seguintes áreas
- Segurança de entrada e acesso ao cluster
- Segurança de saída
- Pontos de extremidade de serviço VNet.
Segurança de entrada
A segurança de rede de entrada é obtida usando um NSG (grupo de segurança de rede) atribuído à sub-rede. O NSG usa tags de serviços HDInsight e intervalos de IP para restringir o tráfego de entrada a fontes confiáveis.
Na representação acima, dois conjuntos de Regras de Segurança de Entrada são criados no grupo Segurança de Rede. A primeira Regra de Segurança de Entrada usa a Tag de Serviço do HDInsight para permitir o tráfego de entrada dos serviços de integridade e gerenciamento do HDInsight. A segunda Regra de Segurança de Entrada é um Intervalo de IP que permite aos utilizadores dentro de um determinado intervalo de endereços IP aceder a portas específicas no HDInsight (por exemplo, porta SSH 22).
A segurança da rede de entrada é obtida usando regras NSG na sub-rede na qual o cluster HDInsight está implantado. Abaixo está um exemplo de como essas regras do NSG podem ser criadas.
Crie uma VNet com várias sub-redes conforme necessário. Uma dessas sub-redes destina-se a hospedar o cluster HDInsight e será associada ao NSG.
Crie um NSG (Grupo de Segurança de Rede). No NSG, há dois conjuntos de regras de segurança, Entrada e Saída na seção Configurações à esquerda. Utilizaríamos a secção Regras de segurança de entrada e acrescentaríamos regras adicionais ao conjunto de regras existente.
Identifique a região na qual o serviço HDInsight será implantado e, com base na região, identifique as tags de serviço que precisariam ser usadas. Dependendo da região e do nível de permissões restritivas, pode haver permutações e combinações de tags de serviço que você precisaria aplicar para atingir o objetivo. Clique em Adicionar para criar regras adicionais de Segurança de Entrada no Grupo de Segurança de Rede e atribuir tags de serviço com base na região de implantação.
Abaixo está um exemplo da combinação de tags Região a Serviço. A lista exaustiva de regiões para combinações de marcas de serviço pode ser encontrada em Tags de serviço NSG (Grupo de segurança de rede) para o Azure HDInsight.
| Tipo de etiqueta de serviço | País | País/Região | Etiqueta de Serviço | Description |
|---|---|---|---|---|
| Global | ND | ND | HDInsight | Etiqueta de serviço global única para o HDInsight |
| Regional | Estados Unidos da América | E.U.A. Oeste 2 | HDInsight.WestUS2 | Etiqueta de serviço única |
| Regional | Estados Unidos da América | E.U.A. Leste 2 | HDInsight.EastUS2 HDInsight.WestUS HDInsight.EastUS | Combinação de etiquetas de serviço |
| Regional | China | Norte da China | HDInsight.ChinaNorth HDInsight.ChinaLeste | Combinação de etiquetas de serviço |
- Com base nos seus requisitos de design, agora você pode adicionar regras adicionais à seção Regras de entrada para permitir o tráfego de entrada de outras fontes confiáveis.
Acesso ao cluster HDInsight implantado com uma VNet
Do ponto de vista da segurança, normalmente todos os pontos de extremidade públicos para o cluster HDInsight não estão acessíveis, caso em que há várias maneiras alternativas de acessar um cluster HDInsight em uma VNet e são descritas na representação de exemplo abaixo. Os clusters HDInsight quando criados em uma rede virtual expõem pontos de extremidade com balanceamento de carga público e privado.
No caminho de rede 1, o acesso ao cluster é bloqueado pela Internet pública geral, mas as regras NSG podem ser criadas para permitir que clientes específicos externos ao Azure tenham acesso seguro ao cluster em um ponto de extremidade público usando https pela porta 443 usando https://< clustername.azurehdinsight.net>.
No caminho de rede 2, para ignorar o NSG, uma jumpbox é criada dentro da VNet na qual se encontra a sub-rede HDInsight. Os usuários podem RDP nessa jumpbox e, em seguida, acessar o ponto de extremidade privado do HDInsight com <clustername> pela porta 443 usando https://< clustername.azurehdinsight.net>.
No caminho de rede 3, as regras NSG são modificadas para um cliente externo ao Azure para obter acesso ssh ao cluster por meio do ponto de extremidade público pela porta 22 usando https://< clustername-ssh.azurehdinsight.net>.
Segurança de saída
O tráfego originado do HDInsight deve ser permitido para vários destinos para que o serviço funcione corretamente. No entanto, também é preciso ser cauteloso para garantir que esses destinos sejam confiáveis.
As dependências de tráfego de saída do HDInsight são definidas usando FQDNs (nomes de domínio totalmente qualificados) e não têm endereços IP estáticos. Como os endereços IP dos FQDNs estão sujeitos a alterações, os NSGs não podem ser usados para controlar o tráfego de saída de um cluster HDInsight. Assim, o serviço de Firewall do Azure - ou um Dispositivo Virtual de Rede hospedado pelo cliente é usado para controlar o tráfego de saída originado de um cluster. Em cenários práticos, o tráfego que sai da Sub-rede HDInsight é canalizado usando uma Rota Definida pelo Usuário (UDR) para um Dispositivo Virtual de Rede ou um Firewall do Azure que, em seguida, permite o tráfego de saída com base nas regras de segurança definidas com a marca de serviço HDInsight.
No exemplo abaixo, você pode ver que o tráfego de saída da sub-rede HDInsight flui para um Firewall do Azure onde uma avaliação da Marca de Serviço HDInsight é executada para garantir que o tráfego de saída destinado a um destino confiável. Embora o tráfego seja permitido para Metastores, Storage e HDInsight Management IP, etc., o tráfego para destinos de Internet não aprovados é bloqueado. Embora os destinos na etiqueta de serviço HDInsight sejam mantidos pela Microsoft, os clientes com requisitos específicos para tráfego de saída que não são atendidos pela etiqueta de serviço HDInsight podem optar por criar sua própria etiqueta de serviço a partir de uma lista publicada para FQDNs do HDInsight que eles podem manter e atualizar. Os detalhes sobre as configurações da tabela de rotas e do firewall podem ser revisados na página Restringir tráfego de saída do HDInsight
As etapas abaixo são necessárias para habilitar as restrições de tráfego de saída:
- Criar um Firewall do Azure
- Adicionar regras de rede de segurança de aplicativo e de saída ao firewall
- Criar uma rota definida pelo usuário
Pontos de extremidade do Serviço de Rede Virtual
Os Pontos de Extremidade do Serviço de Rede Virtual estendem a identidade de uma VNet para um Serviço do Azure. A habilitação de pontos de extremidade do Serviço VNet em um serviço concede acesso ao serviço a partir de uma combinação específica de VNet/Sub-rede e, em seguida, roteia o tráfego dessa Sub-rede para o serviço por meio de um caminho ideal e seguro. Recursos como conta de armazenamento e SQL Metastores aos quais o serviço HDInsight precisa acessar podem ser protegidos por meio de pontos de extremidade de serviço VNET, conforme mostrado na arquitetura de exemplo abaixo.
Neste exemplo, os pontos de extremidade do Serviço VNet são configurados no ADLS Gen2 Storage e no Hive Metastore Service (no SQL Server do Azure) e permitirão o tráfego da VNet do HDInsight.
As etapas para criar pontos de extremidade de serviço VNet são abordadas com mais detalhes na seção Segurança de acesso a dados.
