共用方式為

Azure 數據總管中的安全性

  • 發行項

本文提供 Azure 資料總管中安全性的簡介,可協助您保護雲端中的數據和資源,並符合您企業的安全性需求。 請務必保護您的叢集安全。 保護您的叢集包含一或多個 Azure 功能,包括安全存取和記憶體。 本文提供的資訊可協助您保護叢集的安全。

如需有關商務或組織合規性的詳細資訊,請參閱 Azure 合規性檔

網路安全性

網路安全性是我們許多有安全性意識的企業客戶共用的需求。 其意圖是隔離網路流量,並限制 Azure 數據總管和對應通訊的攻擊面。 因此,您可以封鎖源自非 Azure 數據總管網路區段的流量,並確保只有來自已知來源的流量到達 Azure 數據總管端點。 這包括源自內部部署或 Azure 外部的流量,以及 Azure 目的地,反之亦然。 Azure 數據總管支援下列功能來達成此目標:

強烈建議使用私人端點來保護叢集的網路存取。 此選項比虛擬網路插入具有許多優點,這會導致較低的維護負荷,包括更簡單的部署程式,以及更健全的虛擬網路變更。

身分識別與存取控制

角色型存取控制

使用 角色型訪問控制 (RBAC) 來隔離職責,並只授與叢集使用者所需的存取權。 您可以只允許指派給特定角色的使用者執行特定動作,而不是授與叢集上每個人不受限制的許可權。 您可以使用 Azure CLIAzure PowerShell,在 Azure 入口網站設定資料庫的存取控制。

適用於 Azure 資源的受控識別

建置雲端應用程式時常見的挑戰是程式代碼中的認證管理,以向雲端服務進行驗證。 保護好這些認證是相當重要的工作。 認證不應儲存在開發人員工作站中,或簽入原始檔控制。 Azure Key Vault 可安全地儲存認證、祕密和其他金鑰,但是您的程式碼必須向 Key Vault 進行驗證,才可擷取這些項目。

Microsoft Entra 針對 Azure 資源的受控識別功能可解決此問題。 該功能為 Azure 服務提供 Microsoft Entra ID 中的自動受控識別。 您可以使用此身分識別來向任何支援 Microsoft Entra 驗證的服務 (包括 Key Vault) 進行驗證,且您的程式碼中不需有任何認證。 如需此服務的詳細資訊,請參閱 Azure 資源的 受控識別概觀頁面。

資料保護

Azure 磁碟加密

Azure 磁碟加密可協助保護資料安全,以符合貴組織安全性和合規性承諾。 它會為叢集虛擬機的 OS 和數據磁碟提供磁碟區加密。 Azure 磁碟加密 也與 整合Azure 金鑰保存庫,可讓我們控制和管理磁碟加密密鑰和秘密,並確保 VM 磁碟上的所有數據都已加密。

客戶管理的金鑰與 Azure Key Vault

根據預設,資料是以使用 Microsoft 管理的金鑰加密。 若要進一步控制加密金鑰,您可以提供客戶管理的金鑰,以用於數據加密。 您可以使用自己的金鑰來管理記憶體層級的數據加密。 客戶管理的金鑰可用來保護和控制根加密金鑰的存取,用來加密和解密所有數據。 客戶管理的金鑰可提供更大的彈性來建立、輪替、停用及撤銷存取控制。 您也可稽核用來保護資料的加密金鑰。

使用 Azure 金鑰保存庫 來儲存客戶管理的金鑰。 您可以建立自己的金鑰,並將其儲存在金鑰保存庫中,或使用 Azure 金鑰保存庫 API 來產生金鑰。 Azure 數據總管叢集和 Azure 金鑰保存庫 必須位於相同的區域中,但它們可以位於不同的訂用帳戶中。 如需 Azure Key Vault 的詳細資訊,請參閱什麼是 Azure Key Vault。 如需客戶自控密鑰的詳細說明,請參閱使用 Azure 金鑰保存庫 客戶管理的密鑰。 使用入口網站、C#、Azure Resource Manager 範本CLI 或 PowerShell,在 Azure 數據總管叢集中設定客戶管理的密鑰。

注意

客戶自控金鑰須依賴 Azure 資源受控識別,這是 Microsoft Entra ID 的一項功能。 若要在 Azure 入口網站 中設定客戶管理的密鑰,請設定叢集的受控識別,如設定 Azure 數據總管叢集的受控識別中所述

將客戶自控金鑰儲存在 Azure Key Vault

若要在叢集上啟用客戶管理的金鑰,請使用 Azure 金鑰保存庫 來儲存密鑰。 您必須在金鑰保存庫上同時啟用虛刪除不要清除屬性。 金鑰保存庫必須位於與叢集相同的區域中。 Azure 資料總管會使用 Azure 資源的受控識別向密鑰保存庫進行驗證,以進行加密和解密作業。 受控識別不支援跨目錄案例。

輪替客戶自控金鑰

您可以根據您的合規性原則,在 Azure Key Vault 中輪替客戶管理的金鑰。 若要輪替金鑰,請在 Azure 金鑰保存庫 中更新金鑰版本或建立新的金鑰,然後使用新的金鑰 URI 更新叢集以加密數據。 您可以使用 Azure CLI 或在入口網站中執行這些步驟。 輪替金鑰不會觸發叢集中現有數據的重新加密。

輪替金鑰時,您通常會指定建立叢集時所使用的相同身分識別。 或者,為金鑰存取設定新的使用者指派身分識別,或啟用並指定叢集的系統指派身分識別。

注意

請確定您為金鑰存取設定的身分識別已設定必要的 GetUnwrap Key 和 Wrap Key 許可權。

更新金鑰版本

常見的案例是更新作為客戶自控金鑰的金鑰版本。 視叢集加密的設定方式而定,叢集中的客戶管理密鑰會自動更新,或必須手動更新。

撤銷客戶自控金鑰的存取權

若要撤銷客戶自控金鑰的存取權,請使用 PowerShell 或 Azure CLI。 如需詳細資訊,請參閱 Azure Key Vault PowerShellAzure Key Vault CLI。 撤銷存取會封鎖存取叢集記憶體層級中的所有數據,因為 Azure 數據總管因此無法存取加密密鑰。

注意

當 Azure 資料總管識別客戶管理金鑰的存取權遭到撤銷時,它會自動暫停叢集以刪除任何快取的數據。 一旦傳回密鑰的存取權,叢集就會自動繼續。

相關內容