Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Wiele przedsiębiorstw korzysta z analizy danych big data na potrzeby analiz biznesowych, aby ułatwić im podejmowanie inteligentnych decyzji. Organizacja może mieć złożone i regulowane środowisko z coraz większą liczbą różnych użytkowników. Ważne jest, aby przedsiębiorstwo upewniło się, że krytyczne dane biznesowe są przechowywane bezpieczniej, przy prawidłowym poziomie dostępu udzielonym poszczególnym użytkownikom. Usługa Azure Data Lake Storage Gen1 została zaprojektowana w celu spełnienia tych wymagań dotyczących zabezpieczeń. W tym artykule przedstawiono możliwości zabezpieczeń usługi Data Lake Storage Gen1, w tym:
- Uwierzytelnianie
- Autoryzacja
- Izolacja sieci
- Ochrona danych
- Inspekcja
Uwierzytelnianie i zarządzanie tożsamościami
Uwierzytelnianie to proces, za pomocą którego tożsamość użytkownika jest weryfikowana, gdy użytkownik wchodzi w interakcję z usługą Data Lake Storage Gen1 lub z dowolną usługą łączącą się z usługą Data Lake Storage Gen1. W przypadku zarządzania tożsamościami i uwierzytelniania usługa Data Lake Storage Gen1 używa identyfikatora Microsoft Entra ID, kompleksowego rozwiązania do zarządzania tożsamościami i dostępem w chmurze, które upraszcza zarządzanie użytkownikami i grupami.
Każda subskrypcja platformy Azure może być skojarzona z wystąpieniem identyfikatora Entra firmy Microsoft. Tylko użytkownicy i tożsamości usług zdefiniowane w usłudze Microsoft Entra mogą uzyskiwać dostęp do konta usługi Data Lake Storage Gen1 przy użyciu witryny Azure Portal, narzędzi wiersza polecenia lub aplikacji klienckich, które organizacja kompiluje przy użyciu zestawu SDK usługi Data Lake Storage Gen1. Kluczowe zalety korzystania z identyfikatora Entra firmy Microsoft jako scentralizowanego mechanizmu kontroli dostępu to:
- Zarządzanie cyklem życia tożsamości w uproszczony sposób. Tożsamość użytkownika lub usługi (tożsamość głównej jednostki usługi) można szybko utworzyć i szybko unieważnić, po prostu usuwając lub wyłączając konto w katalogu.
- Uwierzytelnianie wieloskładnikowe. Uwierzytelnianie wieloskładnikowe zapewnia dodatkową warstwę zabezpieczeń dla logowania i transakcji użytkownika.
- Uwierzytelnianie od dowolnego klienta za pośrednictwem standardowego protokołu otwartego, takiego jak OAuth lub OpenID.
- Federacja z usługami katalogowymi przedsiębiorstwa i dostawcami tożsamości w chmurze.
Autoryzacja i kontrola dostępu
Po uwierzytelnieniu użytkownika przez firmę Microsoft Entra, aby użytkownik mógł uzyskać dostęp do usługi Data Lake Storage Gen1, autoryzacja kontroluje uprawnienia dostępu do usługi Data Lake Storage Gen1. Usługa Data Lake Storage Gen1 oddziela autoryzację dla działań związanych z kontem i powiązanymi z danymi w następujący sposób:
- Kontrola dostępu oparta na rolach (RBAC) na platformie Azure na potrzeby zarządzania kontami
- ACL POSIX do dostępu do danych w magazynie
Kontrola dostępu oparta na rolach w Azure dla zarządzania kontami
Domyślnie dla usługi Data Lake Storage Gen1 zdefiniowano cztery podstawowe role. Role umożliwiają wykonywanie różnych operacji na koncie usługi Data Lake Storage Gen1 za pośrednictwem witryny Azure Portal, poleceń cmdlet programu PowerShell i interfejsów API REST. Role "Właściciel" i "Współautor" mogą wykonywać różne funkcje administracyjne na koncie. Rolę Czytelnik można przypisać do użytkowników, którzy wyświetlają tylko dane zarządzania kontami.
Należy pamiętać, że chociaż role są przypisane do zarządzania kontami, niektóre role mają wpływ na dostęp do danych. Należy użyć list ACL, aby kontrolować dostęp do operacji, które użytkownik może wykonać w systemie plików. W poniższej tabeli przedstawiono podsumowanie praw zarządzania i praw dostępu do danych dla ról domyślnych.
| Role | Prawa do zarządzania | Prawa dostępu do danych | Wyjaśnienie |
|---|---|---|---|
| Brak przypisanej roli | Żaden | Zarządzane przez ACL | Użytkownik nie może użyć witryny Azure Portal ani poleceń cmdlet programu Azure PowerShell do przeglądania usługi Data Lake Storage Gen1. Użytkownik może używać tylko narzędzi wiersza polecenia. |
| Właściciel | Wszystko | Wszystko | Rola właściciela to superużytkownik. Ta rola może zarządzać wszystkimi elementami i mieć pełny dostęp do danych. |
| Czytelnik | Tylko do odczytu | Zarządzane przez ACL | Rola Czytelnik może wyświetlać wszystkie elementy dotyczące zarządzania kontami, takie jak przypisanie użytkownika do której roli. Rola czytelnika nie może wprowadzać żadnych zmian. |
| Współpracownik | Wszystkie z wyjątkiem dodawania i usuwania ról | Zarządzanie przez ACL | Rola Współautor może zarządzać niektórymi aspektami konta, takimi jak wdrożenia i tworzenie alertów i zarządzanie nimi. Rola Autora nie może dodawać ani usuwać ról. |
| Administrator dostępu użytkowników | Dodawanie i usuwanie ról | Zarządzany przez ACL | Rola Administrator dostępu użytkowników może zarządzać dostępem użytkowników do kont. |
Aby uzyskać instrukcje, zobacz Przypisywanie użytkowników lub grup zabezpieczeń do kont usługi Data Lake Storage Gen1.
Używanie ACL do operacji w systemach plików
Data Lake Storage Gen1 to hierarchiczny system plików, taki jak rozproszony system plików Hadoop (HDFS), który obsługuje listy ACL POSIX. Kontroluje uprawnienia do odczytu (r), zapisu (w) i wykonywania (x) do zasobów dla roli właściciela, grupy właścicieli oraz pozostałych użytkowników i grup. W usłudze Data Lake Storage Gen1, listy kontroli dostępu (ACLs) można włączyć na folderze głównym, na podfolderach i na poszczególnych plikach. Aby uzyskać więcej informacji na temat sposobu działania list ACL w kontekście usługi Data Lake Storage Gen1, zobacz Kontrola dostępu w usłudze Data Lake Storage Gen1.
Zalecamy zdefiniowanie list ACL dla wielu użytkowników przy użyciu grup zabezpieczeń. Dodaj użytkowników do grupy zabezpieczeń, a następnie przypisz listy ACL dla pliku lub folderu do tej grupy zabezpieczeń. Jest to przydatne, gdy chcesz podać przypisane uprawnienia, ponieważ masz ograniczenie do maksymalnie 28 wpisów dla przypisanych uprawnień. Aby uzyskać więcej informacji na temat lepszego zabezpieczania danych przechowywanych w usłudze Data Lake Storage Gen1 przy użyciu grup zabezpieczeń Microsoft Entra, zobacz Ustanowienie użytkowników lub grup zabezpieczeń jako list ACL w systemie plików usługi Data Lake Storage Gen1.
Izolacja sieci
Użyj usługi Data Lake Storage Gen1, aby kontrolować dostęp do magazynu danych na poziomie sieci. Zapory można ustanowić i zdefiniować zakres adresów IP dla zaufanych klientów. W przypadku zakresu adresów IP tylko klienci, którzy mają adres IP w zdefiniowanym zakresie, mogą łączyć się z usługą Data Lake Storage Gen1.
Sieci wirtualne platformy Azure obsługują tagi usług dla usługi Data Lake Gen 1. Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów. Aby uzyskać więcej informacji, zobacz Omówienie tagów usługi platformy Azure.
Ochrona danych
Usługa Data Lake Storage Gen1 chroni dane w całym cyklu życia. W przypadku danych przesyłanych usługa Data Lake Storage Gen1 używa standardowego protokołu Transport Layer Security (TLS 1.2) w celu zabezpieczenia danych za pośrednictwem sieci.
Usługa Data Lake Storage Gen1 zapewnia również szyfrowanie danych przechowywanych na koncie. Możesz wybrać szyfrowanie danych lub jego brak. Jeśli zdecydujesz się na szyfrowanie, dane przechowywane w usłudze Data Lake Storage Gen1 są szyfrowane przed zapisaniem na nośniku trwałym. W takim przypadku usługa Data Lake Storage Gen1 automatycznie szyfruje dane przed ich utrwaleniem i odszyfrowuje przed odczytem, dzięki czemu jest całkowicie przezroczysta dla klienta uzyskującego dostęp do danych. Po stronie klienta nie jest wymagana zmiana kodu w celu szyfrowania/odszyfrowywania danych.
W przypadku zarządzania kluczami usługa Data Lake Storage Gen1 udostępnia dwa tryby zarządzania głównymi kluczami szyfrowania (MEKs), które są wymagane do odszyfrowywania wszystkich danych przechowywanych w usłudze Data Lake Storage Gen1. Możesz zezwolić usłudze Data Lake Storage Gen1 na zarządzanie zestawami MEKs lub zachować własność zestawów MEKs przy użyciu konta usługi Azure Key Vault. Tryb zarządzania kluczami określa się podczas tworzenia konta usługi Data Lake Storage Gen1. Aby uzyskać więcej informacji na temat zapewniania konfiguracji związanej z szyfrowaniem, zobacz Rozpoczynanie pracy z usługą Azure Data Lake Storage Gen1 przy użyciu witryny Azure Portal.
Dzienniki aktywności i dzienniki diagnostyczne
Dzienniki aktywności lub diagnostyczne można używać w zależności od tego, czy szukasz dzienników dla działań związanych z zarządzaniem kontem, czy działań związanych z danymi.
- Działania związane z zarządzaniem kontami używają interfejsów API usługi Azure Resource Manager i są udostępniane w witrynie Azure Portal za pośrednictwem dzienników aktywności.
- Działania związane z danymi używają interfejsów API REST WebHDFS i są udostępniane w witrynie Azure Portal za pośrednictwem dzienników diagnostycznych.
Dziennik aktywności
Aby zapewnić zgodność z przepisami, organizacja może wymagać odpowiednich śladów inspekcji działań związanych z zarządzaniem kontami, jeśli musi zbadać określone zdarzenia. Usługa Data Lake Storage Gen1 ma wbudowane monitorowanie i rejestruje wszystkie działania związane z zarządzaniem kontami.
W przypadku dzienników inspekcji zarządzania kontami wyświetl i wybierz kolumny, które chcesz rejestrować. Dzienniki aktywności można również wyeksportować do usługi Azure Storage.
Aby uzyskać więcej informacji na temat pracy z dziennikami aktywności, zobacz Wyświetlanie dzienników aktywności w celu inspekcji akcji dotyczących zasobów.
Dzienniki diagnostyczne
Możesz włączyć inspekcję dostępu do danych i rejestrowanie diagnostyczne w witrynie Azure Portal i wysłać dzienniki do konta usługi Azure Blob Storage, centrum zdarzeń lub dzienników usługi Azure Monitor.
Aby uzyskać więcej informacji na temat pracy z dziennikami diagnostycznymi w usłudze Data Lake Storage Gen1, zobacz Uzyskiwanie dostępu do dzienników diagnostycznych dla usługi Data Lake Storage Gen1.
Podsumowanie
Klienci korporacyjni wymagają platformy w chmurze analizy danych, która jest bezpieczna i łatwa w użyciu. Usługa Data Lake Storage Gen1 została zaprojektowana tak, aby ułatwić spełnienie tych potrzeb dzięki zarządzaniu tożsamościami i uwierzytelnianiu za pośrednictwem integracji z Microsoft Entra, autoryzacji opartej na listach kontroli dostępu (ACL), izolacji sieciowej, szyfrowaniu danych podczas przesyłania i w stanie spoczynku oraz inspekcji.
Jeśli chcesz zobaczyć nowe funkcje w usłudze Data Lake Storage Gen1, wyślij nam swoją opinię na forum Usługi UserVoice usługi Data Lake Storage Gen1.