Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Restringir o acesso de saída do cluster é importante para reduzir riscos como a exfiltração de dados. Um agente mal-intencionado pode potencialmente criar uma tabela externa para uma conta de armazenamento e extrair grandes quantidades de dados. Você pode controlar o acesso de saída ao nível do cluster, habilitando o acesso de saída restrito e configurando listas de permissões baseadas em FQDN ou políticas de chamada.
Importante
Você pode configurar a lista de aceitação baseada em FQDN ou políticas de chamada para acesso de saída restrito. A configuração de ambos resulta em um erro.
Proteção Contra Transferência de Dados Não Autorizada
A exfiltração de dados é uma preocupação significativa para as empresas, especialmente quando dados confidenciais ou proprietários são armazenados em clusters. Sem controles adequados, atores mal-intencionados ou sistemas mal configurados podem potencialmente transferir dados para destinos externos não autorizados.
O recurso de acesso de saída restrito ajuda a reduzir esse risco, permitindo que você:
- Restringir o tráfego de saída: impeça transferências de dados não autorizadas bloqueando todo o tráfego de saída, exceto para destinos explicitamente permitidos.
- Controle o acesso com listas de permissões baseadas em FQDN: especifique os FQDNs (Nomes de Domínio Totalmente Qualificados) exatos com os quais o cluster pode se comunicar, garantindo que os dados sejam enviados apenas para pontos de extremidade confiáveis.
- Implementar políticas de chamada: Defina regras detalhadas para tipos específicos de tráfego de saída, como SQL ou chamadas para dados externos, permitindo ou negando acesso conforme os requisitos de segurança da sua organização.
Ao implementar o acesso de saída restrito, as empresas podem garantir que seus clusters do Azure Data Explorer estejam protegidos contra riscos de exfiltração de dados, alinhando-se com os padrões de conformidade e segurança.
Ativar ou desativar o acesso de saída restrito
Você pode habilitar ou desabilitar o acesso de saída restrito na camada ARM configurando a restrictOutboundNetworkAccess propriedade no modelo ARM do cluster.
Depois que o acesso de saída restrito estiver habilitado, não será possível fazer alterações na política de chamada usando os comandos de política de cluster de chamada .alter ou .alter-merge. Para fazer alterações na política de chamada, atualize a propriedade allowedFqdnList ou o modelo allowedCallout ARM usando a CLI do Azure.
Exemplo: Ativar acesso de saída restrito
O modelo ARM a seguir permite acesso de saída restrito para seu cluster:
No exemplo a seguir, substitua <ClusterName> e <ClusterRegion> por seus próprios valores.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Kusto/Clusters",
"apiVersion": "2021-02-01",
"name": "<ClusterName>",
"location": "<ClusterRegion>",
"properties": {
"restrictOutboundNetworkAccess": "Enabled"
}
}
]
}
Exemplo: Desativar acesso de saída restrito
Para desativar o acesso de saída restrito, defina a restrictOutboundNetworkAccess propriedade como Disabled:
No exemplo a seguir, substitua <ClusterName> e <ClusterRegion> por seus próprios valores.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Kusto/Clusters",
"apiVersion": "2021-02-01",
"name": "<ClusterName>",
"location": "<ClusterRegion>",
"properties": {
"restrictOutboundNetworkAccess": "Disabled"
}
}
]
}
Exemplo: habilitar o acesso de saída restrito usando o portal do Azure
Vá para o seu cluster no portal do Azure.
Navegue até Segurança + rede>Rede>Restringir acesso de saída.
Selecione Ativado para ativar o acesso de saída restrito.
Selecione Salvar para enviar a configuração.
Configurar listas de permissões baseadas em FQDN
Quando o acesso de saída restrito está habilitado, pode permitir FQDNs específicos adicionando-os à propriedade allowedFqdnList no modelo ARM do cluster.
Exemplo: Permitir FQDNs específicos usando modelos ARM
O modelo ARM a seguir permite o acesso de saída a FQDNs específicos, mantendo o acesso de saída restrito habilitado:
No exemplo a seguir, substitua <ClusterName> e <ClusterRegion> por seus próprios valores.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Kusto/Clusters",
"apiVersion": "2021-02-01",
"name": "<ClusterName>",
"location": "<ClusterRegion>",
"properties": {
"restrictOutboundNetworkAccess": "Enabled",
"allowedFqdnList": [
"example.sql.azuresynapse.net",
"example.blob.core.windows.net"
]
}
}
]
}
Exemplo: Permitir FQDNs específicos usando o portal do Azure
Vá para o seu cluster no portal do Azure.
Navegue até Segurança + rede>Rede>Restringir acesso de saída.
Selecione Habilitado para habilitar o acesso de saída restrito e configurar os FQDNs.
Selecione Salvar para enviar a configuração.
Configurar políticas de destaques (pré-visualização)
Como alternativa, poderá configurar políticas de chamada de atenção diretamente no modelo ARM ou a usar a CLI do Azure. As políticas de chamadas permitem definir regras específicas para acesso de saída a SQL, armazenamento ou outros pontos de extremidade.
Observação
Não é possível configurar políticas de chamada com acesso de saída restrito diretamente no portal do Azure.
Exemplo: Configurar políticas de anotações usando o modelo ARM
O modelo ARM a seguir configura políticas de chamada juntamente com acesso de saída restrito:
No exemplo a seguir, substitua <ClusterName> e <ClusterRegion> por seus próprios valores.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Kusto/Clusters",
"apiVersion": "2021-02-01",
"name": "<ClusterName>",
"location": "<ClusterRegion>",
"properties": {
"restrictOutboundNetworkAccess": "Enabled",
"calloutPolicies": [
{
"calloutType": "sql",
"calloutUriRegex": "[a-z0-9][a-z0-9\\-]{0,61}[a-z0-9]?\\.database\\.windows\\.net/?$",
"outboundAccess": "Allow"
},
{
"calloutType": "external_data",
"calloutUriRegex": ".*",
"outboundAccess": "Deny"
}
]
}
}
]
}
Exemplo: Configurar políticas de notificação utilizando a CLI do Azure
Você também pode configurar políticas de chamada utilizando o Azure CLI. O comando a seguir define as políticas de chamada para um cluster:
No exemplo a seguir, substitua <ResourceGroupName> e <ClusterName> por seus próprios valores.
az resource update --resource-group <ResourceGroupName> \
--name <ClusterName> \
--resource-type Microsoft.Kusto/clusters \
--set properties.calloutPolicies='[
{
"calloutType": "sql",
"calloutUriRegex": "sqlname\\.database\\.azure\\.com/?$",
"outboundAccess": "Allow"
}
]'
Verificar políticas e acesso de saída restrito
Depois de ativar o acesso de saída restrita ou configurar políticas de chamada, pode verificar a configuração executando o seguinte comando de gestão na interface web do Azure Data Explorer.
.show cluster policy callout
Este comando exibe as políticas de texto explicativo atuais e os FQDNs permitidos.
Observação
Há políticas padrão definidas para que um cluster se comunique com sua camada de armazenamento interno, o que não expõe nenhum risco de exfiltração de dados.
Limitações
Embora o acesso de saída restrito ofereça segurança robusta, é importante estar ciente de algumas limitações:
- As listas de permissões baseadas em FQDN não suportam chamadas de webapi.
- Você pode configurar listas de permissão baseadas em FQDN ou políticas de chamadas, mas não ambas. A tentativa de configurar ambos resulta em um erro de configuração.
- Os clusters têm um conjunto de políticas padrão para comunicação interna com sua camada de armazenamento. Essas políticas não podem ser alteradas e não representam um risco para a exfiltração de dados.
- Não é possível configurar políticas de chamada com acesso de saída restrito diretamente no portal do Azure.