Безопасность в Azure Data Lake Storage 1-го поколения
Многие предприятия используют аналитику больших данных, чтобы получать информацию, которая поможет принимать обоснованные решения. В организациях могут быть сложные управляемые среды с растущим числом разных пользователей. Поэтому для предприятий крайне важно, чтобы ценные бизнес-данные хранились в надежном месте и определенным пользователям можно было назначать надлежащий уровень доступа к этим данным. Azure Data Lake Storage 1-го поколения разработано с учетом этих требований к безопасности. Из этой статьи вы узнаете о том, как обеспечить безопасность Data Lake Storage 1-го поколения с помощью следующих функций:
- Аутентификация
- Авторизация
- Сетевая изоляция
- Защита данных
- Аудит
Проверка подлинности и управление удостоверениями
Проверка подлинности — это процесс, в ходе которого подтверждается удостоверение пользователя при его взаимодействии с Data Lake Storage 1-го поколения или любыми службами, которые подключаются к Data Lake Storage 1-го поколения. Для управления удостоверениями и проверки подлинности Data Lake Storage 1-го поколения используется идентификатор Microsoft Entra, комплексное облачное решение для управления удостоверениями и доступом, упрощающее управление пользователями и группами.
Каждая подписка Azure может быть связана с экземпляром идентификатора Microsoft Entra. Только пользователи и удостоверения службы, определенные в службе Microsoft Entra, могут получить доступ к учетной записи Data Lake Storage 1-го поколения, используя портал Azure, средства командной строки или клиентские приложения, которые ваша организация создает с помощью пакета SDK Data Lake Storage 1-го поколения. Основные преимущества использования идентификатора Microsoft Entra в качестве централизованного механизма управления доступом:
- Упрощенное управление жизненным циклом идентификации. Идентификацию пользователя или службы (идентификацию субъекта-службы) можно быстро создать и отозвать, просто удалив или отключив учетную запись в каталоге.
- Многофакторная идентификация. многофакторной проверки подлинности обеспечивает дополнительный уровень безопасности при входе пользователей в систему и осуществлении транзакций.
- Проверка подлинности с любого клиента с помощью стандартного открытого протокола, например OAuth или OpenID.
- Федерация со службами каталога предприятия и поставщиками удостоверений в облаке.
Проверка подлинности и управление доступом
После проверки подлинности пользователя Microsoft Entra, чтобы пользователь смог получить доступ к Data Lake Storage 1-го поколения, авторизация управляет разрешениями доступа для Data Lake Storage 1-го поколения. Data Lake Storage 1-го поколения различает авторизацию для действий, связанных с учетной записью, и для действий, связанных с данными, следующим образом.
- Управление доступом на основе ролей Azure (Azure RBAC) для управления учетными записями
- ACL POSIX для доступа к данным в хранилище.
Использование Azure RBAC для управления учетными записями
По умолчанию для Data Lake Storage 1-го поколения определены четыре основные роли. Роли позволяют выполнять различные операции с учетной записью Data Lake Storage Gen1 через портал Azure, командлеты PowerShell и REST API. Роли "Владелец" и "Участник" предоставляют доступ к различным функциям администрирования учетной записи. Пользователям, которые будут только просматривать данные управления учетной записью, можно назначить роль "Читатель".
Обратите внимание, что хотя эти роли назначаются для управления учетными записями, некоторые из них влияют на доступ к данным. Чтобы управлять доступом к операциям, которые пользователь может выполнять в файловой системе, используйте списки управления доступом. В следующей таблице приведен краткий обзор прав на управление и прав на доступ к данным для ролей по умолчанию.
| Роли | Права управления | Права доступа к данным | Объяснение |
|---|---|---|---|
| Роль не назначена | Нет | Управление с помощью ACL | Пользователь не может использовать портал Azure или командлеты PowerShell Azure для просмотра Data Lake Storage 1-го поколения. Он может использовать только средства командной строки. |
| Владелец | Все | Все | Владелец — это суперпользователь. Он может управлять всем и имеет полный доступ к данным. |
| Читатель | Только для чтения | Под управлением ACL | Роль Читателя может просматривать всю информацию об управлении учетными записями, например, какой пользователь назначен на какую роль. Роль Читателя не может вносить изменения. |
| Участник | Все, кроме добавления и удаления ролей | Находящийся под управлением ACL | Участник может управлять другими функциями учетной записи, например развертываниями, созданием оповещений и управлением ими, Роль "Соавтор" не может добавлять или удалять роли. |
| Администратор доступа пользователей | Добавление и удаление ролей | Управление с помощью ACL | Администратор доступа пользователей может управлять доступом пользователей к учетным записям. |
Инструкции см. в разделе Назначение пользователей или групп безопасности учетным записям хранения Azure Data Lake Storage 1-го поколения.
Использование списков управления доступом для операций в файловых системах
Data Lake Storage 1-го поколения — это иерархическая файловая система (как распределенная файловая система Hadoop (HDFS)), которая поддерживает списки управления доступом POSIX. Она контролирует права на чтение (r), запись (w) и выполнение (x) операций с ресурсами для роли Владелец, группы Владельцы, а также для других пользователей и групп. В Data Lake Storage 1-го поколения списки управления доступом можно включить в корневой папке, вложенных папках, а также в отдельных файлах. Дополнительные сведения о работе списков контроля доступа в контексте Data Lake Storage Gen1 см. в статье Контроль доступа в Data Lake Storage Gen1.
Чтобы определять списки управления доступом для нескольких пользователей, рекомендуется использовать группы безопасности. Добавьте пользователей в группу безопасности, а затем назначьте этой группе список управления доступом для файла или папки. Это полезно, когда требуется предоставить назначенные разрешения, так как для назначенных разрешений установлено ограничение максимум 28 записей. Дополнительные сведения о том, как лучше защитить данные, хранящиеся в Data Lake Storage 1-го поколения с помощью групп безопасности Microsoft Entra, см. в статье "Назначение пользователей или группы безопасности в качестве списков управления доступом к файловой системе Data Lake Storage 1-го поколения".
Сетевая изоляция
Data Lake Storage 1-го поколения позволяет управлять доступом к хранилищу данных на уровне сети. Вы можете настроить брандмауэры и определить диапазон IP-адресов для доверенных клиентов. После определения диапазона IP-адресов к Data Lake Storage 1-го поколения смогут подключаться только клиенты с IP-адресами в пределах этого диапазона.
Виртуальные сети Azure поддерживают теги службы для Data Lake 1-го поколения. Тег службы представляет группу префиксов IP-адресов из данной службы Azure. Корпорация Майкрософт управляет префиксами адресов, охватываемым тегом службы, и автоматически обновляет тег службы по мере изменения адресов. Дополнительные сведения см. в статье о тегах службы Azure.
Защита данных
Data Lake Storage 1-го поколения защищает данные на протяжении всего жизненного цикла. Для данных в пути Data Lake Storage 1-го поколения использует протокол транспортного уровня безопасности (TLS 1.2) для защиты данных, передаваемых по сети.
В Data Lake Storage 1-го поколения можно также включить шифрование данных, хранящихся в учетной записи. Шифрование данных можно как включить, так и отключить. Если включено шифрование, данные, хранящиеся в Data Lake Storage 1-го поколения, будут шифроваться перед сохранением на постоянный носитель. В этом случае Data Lake Storage 1-го поколения автоматически шифрует данные перед сохранением и расшифровывает их до извлечения. Таким образом, данные полностью прозрачны для клиента, который получает к ним доступ. Со стороны клиента не требуется изменение кода для шифрования и расшифровки данных.
Data Lake Storage 1-го поколения предоставляет два режима для управления главными ключами шифрования (MEKs), необходимыми для расшифровки любых данных, хранящихся в Data Lake Storage 1-го поколения. Вы можете либо позволить Data Lake Storage 1-го поколения управлять ключами шифрования MEK, либо сохранить владение ключами с помощью вашей учетной записи Azure Key Vault. Способ управления ключами можно задать во время создания учетной записи Data Lake Storage 1-го поколения. Дополнительные сведения о настройке шифрования см. в статье Начало работы с Azure Data Lake Storage 1-го поколения с помощью портала Azure.
Журналы действий и диагностики
Действия, связанные с управлением учетными записями и данными, можно просматривать в журналах действий или журналах диагностики.
- Действия, связанные с управлением учетными записями, используют API-интерфейсы Azure Resource Manager и отображаются на портале Azure в журналах действий.
- Действия, связанные с данными, используют REST API WebHDFS и отображаются на портале Azure в журналах диагностики.
Журнал действий
Чтобы обеспечить соответствие нормативным требованиям, организациям могут потребоваться журналы аудита действий по управлению учетными записями при необходимости в расследовании определенных инцидентов. В Data Lake Storage 1-го поколения реализована встроенная функция мониторинга, которая регистрирует все действия, связанные с управлением учетными записями.
В журналах аудита учёта управления учетными записями просматривайте и выбирайте столбцы, которые вы хотите логировать. Кроме того, журналы действий можно экспортировать в службу хранилища Azure.
Дополнительные сведения о работе с журналами действий см. в статье Просмотр журналов действий для аудита действий с ресурсами.
Журналы диагностики
Вы можете включить аудит доступа к данным и запись в журнал диагностики на портале Azure и отправлять журналы в учетную запись Azure Blob Storage, концентратор событий или журналы Azure Monitor.
Дополнительные сведения о работе с журналами диагностики в Data Lake Storage 1-го поколения см. в статье Доступ к журналам диагностики Azure Data Lake Storage 1-го поколения.
Сводка
Корпоративным клиентам нужна безопасная и простая в использовании облачная платформа для аналитики данных. Data Lake Storage 1-го поколения предназначен для решения этих требований с помощью управления удостоверениями и проверки подлинности с помощью интеграции Microsoft Entra, авторизации на основе ACL, сетевой изоляции, шифрования данных при передаче и хранении, а также аудита.
Если вы хотите увидеть новые функции в Data Lake Storage 1-го поколения, оставьте свой отзыв на форуме Data Lake Storage 1-го поколения UserVoice.