AKS 上的 Azure HDInsight 企業安全性概觀
重要
AKS 上的 Azure HDInsight 於 2025 年 1 月 31 日淘汰。 透過此公告 深入瞭解。
您必須將工作負載移轉至 Microsoft Fabric 或對等 Azure 產品,以避免突然終止工作負載。
重要
這項功能目前為預覽狀態。 Microsoft Azure 預覽版的補充使用規定 包含適用於 Beta 版、預覽版或尚未正式發行之 Azure 功能的更合法條款。 如需此特定預覽的資訊,請參閱 Azure HDInsight 在 AKS 上的預覽資訊。 如需問題或功能建議,請在 AskHDInsight 上提交請求,並請關注我們以獲得 Azure HDInsight 社群的更多更新。
AKS 上的 Azure HDInsight 預設提供安全性,而且有數種方法可解決企業安全性需求。
本文涵蓋整體安全性架構和安全性解決方案,方法是將它們分成四個傳統安全性要素:周邊安全性、驗證、授權和加密。
安全性架構
任何軟體的企業整備需要嚴格的安全性檢查,以防止並解決可能發生的威脅。 AKS 上的 HDInsight 提供多層式安全性模型,以保護您在多層上。 安全性架構會使用 MSI 的新式授權方法。 所有記憶體存取都是透過 MSI,而資料庫存取是透過使用者名稱/密碼。 密碼會儲存在客戶定義的 Azure Key Vault中。 這項功能預設會讓安裝程式變得健全且安全。
下圖說明 AKS 上 HDInsight 中安全性的高階技術架構。
企業安全性要素
查看企業安全性的其中一種方式,就是根據控制類型,將安全性解決方案分成四個主要群組。 這些群組也稱為安全性要素,且屬於下列類型:周邊安全性、驗證、授權和加密。
周邊安全性
AKS 上的 HDInsight 周邊安全性是透過虛擬網路 達成。 企業管理員可以在虛擬網路 (VNET) 內建立叢集,並使用 網路安全組 (NSG) 來限制虛擬網路的存取。
認證
AKS 上的 HDInsight 提供叢集登入的Microsoft Entra ID 型驗證,並使用受控識別 (MSI) 來保護叢集對 Azure Data Lake Storage Gen2 中檔案的存取。 受控識別是一項Microsoft Entra識別符的功能,可為 Azure 服務提供一組自動受控認證。 透過此設定,企業員工可以使用其網域認證登入叢集節點。 來自 Microsoft Entra ID 的受控識別可讓您的應用程式輕鬆地存取其他Microsoft受 Entra 保護的資源,例如 Azure Key Vault、記憶體、SQL Server 和資料庫。 由 Azure 平臺管理的身分識別,不需要您布建或輪替任何秘密。 此解決方案是保護 AKS 叢集和其他相依資源上 HDInsight 存取權的關鍵。 受控識別可藉由排除來自您應用程式的秘密,例如連接字串中的認證,讓您的應用程式更安全。
您會建立使用者指派的受控識別,這是獨立 Azure 資源的一部分,這是叢集建立程式的一部分,其會管理您相依資源的存取權。
授權
大多數企業遵循的最佳做法是確保並非所有員工都能完整存取所有企業資源。 同樣地,系統管理員可以定義叢集資源的角色型訪問控制原則。
資源擁有者可以設定角色型訪問控制 (RBAC)。 設定 RBAC 原則可讓您將許可權與組織中的角色產生關聯。 這一層抽象概念可讓您更輕鬆地確保人員只有執行工作責任所需的許可權。 由 ARM 角色管理的授權來管理叢集管理(控制平面)和叢集數據存取(數據平面),叢集存取管理。
叢集管理角色(控制平面/ARM 角色)
| 行動 | AKS 叢集集區管理員上的 HDInsight | AKS 叢集管理員上的 HDInsight |
|---|---|---|
| 建立/刪除叢集集區 | ✅ | |
| 在叢集集區上指派許可權和角色 | ✅ | |
| 建立/刪除叢集 | ✅ | ✅ |
| 管理叢集 | ✅ | |
| 組態管理 | ✅ | |
| 腳本動作 | ✅ | |
| 圖書館管理 | ✅ | |
| 監測 | ✅ | |
| 擴展行動 | ✅ |
上述角色來自ARM作業的觀點。 如需詳細資訊,請參閱 使用 Azure 入口網站將 Azure 資源的存取權授與使用者 - Azure RBAC。
叢集存取 (資料平面)
您可以允許使用者、服務主體、受控識別透過入口網站或使用ARM存取叢集。
此存取可啟用
- 檢視叢集及管理作業。
- 執行所有監視和管理作業。
- 執行自動調整作業並更新節點計數。
未提供存取權
- 叢集刪除
重要
任何新增的使用者都需要額外的「Azure Kubernetes Service RBAC 讀取器」角色,才能檢視 服務健康情況。
審計
稽核叢集資源存取是必要的,才能追蹤未經授權或無意存取資源。 保護叢集資源不受未經授權的存取同樣重要。
資源群組管理員可以使用活動記錄,在 AKS 叢集資源和數據上檢視和報告 HDInsight 的所有存取權。 系統管理員可以檢視和報告訪問控制原則的變更。
加密
保護數據對於符合組織安全性和合規性需求很重要。 除了限制未經授權的員工存取數據之外,您應該加密數據。 叢集節點和容器所使用的記憶體和磁碟(OS 磁碟和永續性數據磁碟)會加密。 Azure 記憶體中的數據會使用 256 位 AES 加密,以透明方式加密和解密,這是可用的最強區塊加密之一,且符合 FIPS 140-2 規範。 所有記憶體帳戶都會啟用 Azure 記憶體加密,預設會保護資料安全,您不需要修改程式碼或應用程式,即可利用 Azure 記憶體加密。 傳輸中的數據加密會使用 TLS 1.2 來處理。
合規
Azure 合規性供應專案是以各種類型的保證為基礎,包括正式認證。 此外,證明、驗證和授權。 獨立第三方審計公司所產生的評估。 合約修訂、自我評估,以及Microsoft所產生的客戶指導檔。 如需 HDInsight 在 AKS 上的合規性資訊,請參閱 Microsoft 信任中心 和 Microsoft Azure 合規性 概覽。
共同責任模型
下圖摘要說明主要系統安全性區域,以及可供您使用的安全性解決方案。 它同時強調了作為客戶的您需要負責的安全性區域,以及作為服務提供者角色的 HDInsight on AKS 所負責的區域。
下表提供每種安全性解決方案類型資源的連結。
| 安全性區域 | 可用的解決方案 | 責任方 |
|---|---|---|
| 數據存取安全性 | 設定 Azure Data Lake Storage Gen2 的存取控制清單 | 客戶 |
| 在儲存體上啟用 必須安全傳輸 屬性 | 客戶 | |
| Azure 儲存體防火牆 和虛擬網路 | 客戶 | |
| 作業系統安全性 | 在 AKS 版本上建立具有最新 HDInsight 的叢集 | 客戶 |
| 網路安全性 | 設定 虛擬網路 | |
| 使用防火牆規則 設定 流量 | 客戶 | |
| 設定 所需的出站流量 | 客戶 |