Visão geral da segurança corporativa no Azure HDInsight
O Azure HDInsight oferece vários métodos para atender às suas necessidades de segurança corporativas. A maioria dessas soluções não é ativada por padrão. Esta flexibilidade permite-lhe escolher as funcionalidades de segurança mais importantes para si e ajuda-o a evitar pagar por funcionalidades que não pretende. Essa flexibilidade também significa que é sua responsabilidade garantir que as soluções corretas estejam habilitadas para sua configuração e ambiente.
Este artigo analisa as soluções de segurança dividindo as soluções de segurança em quatro pilares de segurança tradicionais: segurança de perímetro, autenticação, autorização e criptografia.
Este artigo também apresenta o Pacote de Segurança Empresarial (ESP) do Azure HDInsight, que fornece autenticação baseada no Ative Directory, suporte multiusuário e controle de acesso baseado em função para clusters HDInsight.
Pilares de segurança empresarial
Uma maneira de olhar para a segurança corporativa divide as soluções de segurança em quatro grupos principais com base no tipo de controle. Esses grupos também são chamados de pilares de segurança e são os seguintes tipos: segurança de perímetro, autenticação, autorização e criptografia.
Segurança de perímetro
A segurança de perímetro no HDInsight é obtida através de redes virtuais. Um administrador corporativo pode criar um cluster dentro de uma rede virtual (VNET) e usar grupos de segurança de rede (NSG) para restringir o acesso à rede virtual. Somente os endereços IP permitidos nas regras NSG de entrada podem se comunicar com o cluster HDInsight. Esta configuração fornece segurança de perímetro.
Todos os clusters implantados em uma VNET também terão um ponto de extremidade privado. O ponto de extremidade resolve para um IP privado dentro da VNET para acesso HTTP privado aos gateways de cluster.
Autenticação
O Pacote de Segurança Empresarial do HDInsight fornece autenticação baseada no Ative Directory, suporte multiusuário e controle de acesso baseado em função. A integração do Ative Directory é conseguida através da utilização dos Serviços de Domínio Microsoft Entra. Com esses recursos, você pode criar um cluster HDInsight associado a um domínio do Ative Directory. Em seguida, configure uma lista de funcionários da empresa que podem se autenticar no cluster.
Com essa configuração, os funcionários da empresa podem entrar nos nós do cluster usando suas credenciais de domínio. Eles também podem usar suas credenciais de domínio para autenticar com outros pontos de extremidade aprovados. Como Apache Ambari Views, ODBC, JDBC, PowerShell e APIs REST para interagir com o cluster.
Autorização
Uma prática recomendada que a maioria das empresas segue é garantir que nem todos os funcionários tenham acesso total a todos os recursos da empresa. Da mesma forma, o administrador pode definir políticas de controle de acesso baseadas em função para os recursos do cluster. Esta ação só está disponível nos clusters ESP.
O administrador do Hadoop pode configurar o RBAC (controle de acesso baseado em função). As configurações protegem Apache Hive, HBase e Kafka com plug-ins Apache Ranger. A configuração de políticas RBAC permite associar permissões a uma função na organização. Essa camada de abstração torna mais fácil garantir que as pessoas tenham apenas as permissões necessárias para fazer suas responsabilidades de trabalho. A Ranger também permite que você audite o acesso aos dados dos funcionários e quaisquer alterações feitas nas políticas de controle de acesso.
Por exemplo, o administrador pode configurar o Apache Ranger para definir políticas de controlo de acesso para o Hive. Essa funcionalidade garante filtragem em nível de linha e de coluna (mascaramento de dados). E filtra os dados confidenciais de usuários não autorizados.
Auditoria
A auditoria do acesso aos recursos do cluster é necessária para rastrear o acesso não autorizado ou não intencional dos recursos. É tão importante quanto proteger os recursos do cluster contra acesso não autorizado.
O administrador pode exibir e relatar todo o acesso aos recursos e dados do cluster HDInsight. O administrador pode visualizar e relatar alterações nas políticas de controle de acesso.
Para acessar os logs de auditoria do Apache Ranger e Ambari e os logs de acesso ssh, habilite o Azure Monitor e exiba as tabelas que fornecem registros de auditoria.
Encriptação
A proteção de dados é importante para atender aos requisitos organizacionais de segurança e conformidade. Além de restringir o acesso a dados de funcionários não autorizados, você deve criptografá-los.
O HDInsight oferece suporte à criptografia de dados em repouso com chaves gerenciadas pela plataforma e gerenciadas pelo cliente. A criptografia de dados em trânsito é tratada com TLS e IPsec. Consulte Criptografia em trânsito para o Azure HDInsight para obter mais informações.
Conformidade
As ofertas de conformidade do Azure baseiam-se em vários tipos de garantias, incluindo certificações formais. Além disso, atestados, validações e autorizações. Avaliações produzidas por empresas de auditoria terceiras independentes. Alterações contratuais, autoavaliações e documentos de orientação ao cliente produzidos pela Microsoft. Para obter informações sobre conformidade com o HDInsight, consulte a Central de Confiabilidade da Microsoft.
Modelo de responsabilidade partilhada
A imagem a seguir resume as principais áreas de segurança do sistema e as soluções de segurança disponíveis para você em cada uma delas. Ele também destaca quais áreas de segurança são de sua responsabilidade como cliente. E quais áreas são de responsabilidade da HDInsight como provedor de serviços.
A tabela a seguir fornece links para recursos para cada tipo de solução de segurança.
Área de segurança | Soluções disponíveis | Parte responsável |
---|---|---|
Segurança de Acesso a Dados | Configurar ACLs de listas de controle de acesso para o Azure Data Lake Storage Gen2 | Cliente |
Habilite a propriedade "Transferência segura necessária" em contas de armazenamento. | Cliente | |
Configurar firewalls de armazenamento do Azure e redes virtuais | Cliente | |
Configurar pontos de extremidade de serviço de rede virtual do Azure para o Azure Cosmos DB e o Azure SQL DB | Cliente | |
Verifique se o recurso Criptografia em trânsito está habilitado para usar TLS e IPsec para comunicação dentro do cluster. | Cliente | |
Configurar chaves gerenciadas pelo cliente para criptografia do Armazenamento do Azure | Cliente | |
Controle o acesso aos seus dados pelo suporte do Azure usando o Customer lockbox | Cliente | |
Segurança de aplicativos e middleware | Integre com os Serviços de Domínio Microsoft Entra e configure o ESP ou use o HIB para autenticação OAuth | Cliente |
Configurar políticas de autorização do Apache Ranger | Cliente | |
Usar logs do Azure Monitor | Cliente | |
Segurança do sistema operacional | Criar clusters com a imagem base segura mais recente | Cliente |
Garantir a aplicação de patches no SO em intervalos regulares | Cliente | |
Garantir a criptografia de disco CMK para VMs | Cliente | |
Segurança da rede | Configurar uma rede virtual | |
Configurar regras de NSG (grupo de segurança de rede) de entrada ou link privado | Cliente | |
Configurar a restrição de tráfego de saída com o Firewall | Cliente | |
Configurar criptografia IPsec em trânsito entre nós de cluster | Cliente | |
Infraestrutura virtualizada | N/A | HDInsight (provedor de nuvem) |
Segurança da infraestrutura física | N/A | HDInsight (provedor de nuvem) |