Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo fornece uma introdução à segurança no Azure Data Explorer para ajudá-lo a proteger seus dados e recursos na nuvem e atender às necessidades de segurança de sua empresa. É importante manter os clusters seguros. Proteger seus clusters inclui um ou mais recursos do Azure que incluem acesso e armazenamento seguros. Este artigo fornece informações para ajudá-lo a manter o cluster seguro.
Para obter mais recursos sobre conformidade para sua empresa ou organização, consulte a documentação de conformidade do Azure.
Segurança de rede
A segurança da rede é um requisito partilhado por muitos dos nossos clientes empresariais preocupados com a segurança. A intenção é isolar o tráfego de rede e limitar a superfície de ataque para o Azure Data Explorer e comunicações correspondentes. Portanto, você pode bloquear o tráfego originado de segmentos de rede que não sejam do Azure Data Explorer e garantir que apenas o tráfego de fontes conhecidas atinja os pontos finais do Azure Data Explorer. Isto inclui tráfego originado no local ou fora do Azure, com destino no Azure e vice-versa.
O Azure Data Explorer dá suporte a pontos de extremidade privados para obter isolamento e segurança de rede. Os pontos de extremidade privados fornecem uma maneira segura de se conectar ao cluster do Azure Data Explorer usando um endereço IP privado da sua rede virtual, trazendo efetivamente o serviço para a sua VNet. Isso garante que o tráfego entre sua rede virtual e o serviço viaje pela rede de backbone da Microsoft, eliminando a exposição da Internet pública.
Para obter mais informações sobre como configurar pontos de extremidade privados para seu cluster, consulte Ponto de extremidade privado.
Identidade e controlo de acesso
Controle de acesso baseado em funções
Use o controle de acesso baseado em função (RBAC) para segregar tarefas e conceder apenas o acesso necessário aos usuários do cluster. Em vez de conceder a todos permissões irrestritas no cluster, você pode permitir que apenas usuários atribuídos a funções específicas executem determinadas ações. Você pode configurar o controle de acesso para os bancos de dados no portal do Azure, usando a CLI do Azure ou o Azure PowerShell.
Identidades gerenciadas para recursos do Azure
Um desafio comum ao criar aplicativos em nuvem é o gerenciamento de credenciais em seu código para autenticação em serviços de nuvem. Manter as credenciais seguras é uma tarefa importante. As credenciais não devem ser armazenadas em estações de trabalho de desenvolvedores ou verificadas no controle do código-fonte. O Azure Key Vault fornece uma maneira segura de armazenar credenciais, segredos e outras chaves, mas seu código precisa se autenticar no Cofre da Chave para recuperá-los.
O recurso de identidades gerenciadas do Microsoft Entra para recursos do Azure resolve esse problema. O recurso fornece aos serviços do Azure uma identidade gerenciada automaticamente no Microsoft Entra ID. Pode utilizar a identidade para se autenticar em qualquer serviço que suporte a autenticação do Microsoft Entra, incluindo o Cofre da Chave, sem quaisquer credenciais no seu código. Para obter mais informações sobre esse serviço, consulte a página de visão geral de identidades gerenciadas para recursos do Azure .
Proteção de dados
Criptografia de disco do Azure
O Azure Disk Encryption ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. Ele fornece criptografia de volume para o sistema operacional e discos de dados das máquinas virtuais do cluster. O Azure Disk Encryption também se integra ao Azure Key Vault, que nos permite controlar e gerenciar as chaves e segredos de criptografia de disco e garantir que todos os dados nos discos da VM sejam criptografados.
Chaves geridas pelo cliente com o Azure Key Vault
Por padrão, os dados são criptografados com chaves gerenciadas pela Microsoft. Para obter controle adicional sobre chaves de criptografia, você pode fornecer chaves gerenciadas pelo cliente para usar na criptografia de dados. Você pode gerenciar a criptografia de seus dados no nível de armazenamento com suas próprias chaves. Uma chave gerenciada pelo cliente é usada para proteger e controlar o acesso à chave de criptografia raiz, que é usada para criptografar e descriptografar todos os dados. As chaves gerenciadas pelo cliente oferecem maior flexibilidade para criar, girar, desabilitar e revogar controles de acesso. Também pode auditar as chaves de encriptação utilizadas para proteger os dados.
Use o Azure Key Vault para armazenar suas chaves gerenciadas pelo cliente. Você pode criar suas próprias chaves e armazená-las em um cofre de chaves ou pode usar uma API do Cofre de Chaves do Azure para gerar chaves. O cluster do Azure Data Explorer e o Cofre da Chave do Azure devem estar na mesma região, mas podem estar em assinaturas diferentes. Para obter mais informações sobre o Azure Key Vault, consulte O que é o Azure Key Vault?. Para obter uma explicação detalhada sobre chaves gerenciadas pelo cliente, consulte Chaves gerenciadas pelo cliente com o Cofre de Chaves do Azure. Configure chaves gerenciadas pelo cliente em seu cluster do Azure Data Explorer usando o Portal, C#, modelo do Azure Resource Manager, CLIou PowerShell.
Observação
As chaves gerenciadas pelo cliente dependem de identidades gerenciadas para recursos do Azure, um recurso do Microsoft Entra ID. Para configurar chaves gerenciadas pelo cliente no portal do Azure, configure uma identidade gerenciada para seu cluster conforme descrito em Configurar identidades gerenciadas para seu cluster do Azure Data Explorer.
Armazenar chaves gerenciadas pelo cliente no Azure Key Vault
Para habilitar chaves gerenciadas pelo cliente em um cluster, use um Cofre de Chaves do Azure para armazenar suas chaves. Você deve ativar as propriedades Soft Delete e Do Not Purge no cofre de chaves. O repositório de chaves deve estar localizado na mesma região do cluster. O Azure Data Explorer utiliza identidades geridas para recursos do Azure para se autenticar no cofre de chaves para operações de encriptação e desencriptação. As identidades gerenciadas não oferecem suporte a cenários entre diretórios.
Girar chaves gerenciadas pelo cliente
Você pode girar uma chave gerenciada pelo cliente no Cofre de Chaves do Azure de acordo com suas políticas de conformidade. Para girar uma chave, no Cofre da Chave do Azure, atualize a versão da chave ou crie uma nova chave e atualize o cluster para criptografar dados usando o novo URI de chave. Você pode executar essas etapas usando a CLI do Azure ou no portal. Girar a chave não aciona a recriptografia de dados existentes no cluster.
Ao girar uma chave, normalmente você especifica a mesma identidade usada ao criar o cluster. Opcionalmente, configure uma nova identidade atribuída pelo usuário para acesso à chave ou habilite e especifique a identidade atribuída ao sistema do cluster.
Observação
Certifique-se de que as permissões Get, Unwrap Key e Wrap Key necessárias estejam definidas para a identidade configurada para acesso à chave.
Atualizar versão da chave
Um cenário comum é atualizar a versão da chave usada como uma chave gerenciada pelo cliente. Dependendo de como a criptografia de cluster está configurada, a chave gerenciada pelo cliente no cluster é atualizada automaticamente ou deve ser atualizada manualmente.
Revogar o acesso a chaves gerenciadas pelo cliente
Para revogar o acesso a chaves gerenciadas pelo cliente, use o PowerShell ou a CLI do Azure. Para obter mais informações, consulte Azure Key Vault PowerShell ou Azure Key Vault CLI. A revogação do acesso bloqueia o acesso a todos os dados no nível de armazenamento do cluster, uma vez que a chave de encriptação é, consequentemente, inacessível pelo Azure Data Explorer.
Observação
Quando o Azure Data Explorer identificar que o acesso a uma chave gerenciada pelo cliente foi revogado, ele suspenderá automaticamente o cluster para excluir quaisquer dados armazenados em cache. Assim que o acesso à chave for retornado, o cluster será retomado automaticamente.