Azure HDInsight on AKS でのエンタープライズ セキュリティの概要

Azure HDInsight on AKS オファーは既定でセキュリティを提供します。また、企業のセキュリティ ニーズに対処する方法がいくつかあります。

この記事では、全体的なセキュリティ アーキテクチャとセキュリティ ソリューションを、境界セキュリティ、認証、認可、暗号化という 4 つの従来のセキュリティの柱に分けて説明します。

セキュリティのアーキテクチャ

企業があらゆるソフトウェアに対応するには、発生する可能性のある脅威を防止し、対処するために厳格なセキュリティ チェックが必要です。 HDInsight on AKS には、複数のレイヤーで保護するための多層セキュリティ モデルが用意されています。 セキュリティ アーキテクチャでは、MSI を使用した最新の認可方法が使用されます。 すべてのストレージ アクセスは MSI を使用し、データベース アクセスはユーザー名/パスワードを使用します。 パスワードは、顧客によって定義された Azure Key Vault に格納されます。 この機能により、セットアップは既定で堅牢かつ安全になります。

次の図は、HDInsight on AKS のセキュリティの高度な技術的アーキテクチャを示しています。

エンタープライズ セキュリティの柱

エンタープライズ セキュリティを確認する 1 つの方法は、コントロールの種類に基づいて、セキュリティ ソリューションを 4 つの主要なグループに分けることです。 セキュリティの柱とも呼ばれるこれらのグループは、境界セキュリティ、認証、認可、および暗号化に分けられます。

境界セキュリティ

HDInsight on AKS の境界セキュリティは、仮想ネットワークを使用して実現されます。エンタープライズ管理者は、仮想ネットワーク (VNET) 内にクラスターを作成し、ネットワーク セキュリティ グループ (NSG) を使用して仮想ネットワークへのアクセスを制限できます。

認証

HDInsight on AKS は、クラスター ログイン用の Microsoft Entra ID ベースの認証を提供し、マネージド ID (MSI) を使用して Azure Data Lake Storage Gen2 内のファイルへのクラスター アクセスをセキュリティで保護します。 マネージド ID は、Azure サービスに自動的に管理される一連の資格情報を提供する Microsoft Entra ID の機能です。 この設定により、企業の従業員は、ドメイン資格情報を使用してクラスター ノードにサインインできます。 アプリで Microsoft Entra ID のマネージド ID を使用すると、他の Microsoft Entra で保護されたリソース (Azure Key Vault、ストレージ、SQL Server、データベースなど) に簡単にアクセスできます。 ID は Azure プラットフォームによって管理され、シークレットをプロビジョニングまたはローテーションする必要はありません。 このソリューションは、HDInsight on AKS クラスターおよびその他の依存リソースへのアクセスをセキュリティで保護するための鍵となります。 マネージド ID を使用すると、接続文字列内の認証情報などのシークレットをアプリから排除することで、アプリのセキュリティを強化できます。

依存リソースへのアクセスを管理するクラスター作成プロセスの一環として、スタンドアロンの Azure リソースであるユーザー割り当てマネージド ID を作成します。

承認

ほとんどの企業では、すべての従業員がすべてのエンタープライズ リソースにフル アクセスできるわけではないというベスト プラクティスに従っています。 同様に、管理者はクラスター リソースのロールベースのアクセス制御ポリシーを定義できます。

リソース所有者は、ロールベースのアクセス制御 (RBAC) を構成できます。 RBAC ポリシーを構成すると、組織内のロールにアクセス許可を関連付けることができます。 この抽象化レイヤーを使用すると、より簡単に、ユーザーが作業の責任を果たすために必要なアクセス許可のみを持つようにできます。 クラスター管理 (コントロール プレーン) およびクラスター データ アクセス (データ プレーン) の認可は、クラスター アクセス管理によって管理される ARM ロールによって管理されます。

クラスター管理ロール (コントロール プレーン/ARM ロール)

上記のロールは、ARM 運用の観点から見たものです。 詳細については、「Azure portal を使用して Azure リソースへのアクセス権をユーザーに付与する - Azure RBAC」を参照してください。

クラスター アクセス (データ プレーン)

ポータルまたは ARM を使用して、ユーザー、サービス プリンシパル、マネージド ID にクラスターへのアクセスを許可できます。

このアクセスにより、次を実行できます

• クラスターを表示し、ジョブを管理する。
• すべての監視および管理操作を実行する。
• 自動スケール操作を実行し、ノード数を更新する。

アクセスは以下に対して提供されません

• クラスターの削除

監査

リソースへの許可されていないアクセスや意図しないアクセスを追跡するには、クラスター リソースへのアクセスを監査する必要があります。 これは、許可されていないアクセスからクラスター リソースを保護するのと同じくらい重要です。

リソース グループ管理者は、アクティビティ ログを使用して、HDInsight on AKS クラスターのリソースとデータへのすべてのアクセスを表示および報告できます。 また、管理者はアクセス制御ポリシーへの変更を表示して報告することができます。

暗号化

データの保護は、組織のセキュリティとコンプライアンス要件を満たすために重要です。 許可されていない従業員からデータへのアクセスを制限すると共に、暗号化する必要があります。 クラスター ノードとコンテナーで使用されるストレージとディスク (OS ディスクと永続データ ディスク) は暗号化されます。 Azure Storage 内のデータは、利用可能な最強のブロック暗号の 1 つである 256 ビット AES 暗号化を使って透過的に暗号化および暗号化解除され、FIPS 140-2 に準拠しています。 Azure Storage 暗号化はすべてのストレージ アカウントに対して有効になっています。これにより、データは既定でセキュリティで保護されるため、Azure Storage 暗号化を利用するためにコードやアプリケーションを変更する必要はありません。 転送中のデータの暗号化は、TLS 1.2 で処理されます。

準拠

Azure コンプライアンス認証は、正式な認定資格を含むさまざまな種類の保証に基づいています。 また、構成証明、検証、承認にも基づいています。 さらに、独立したサードパーティの監査会社による評価や、 Microsoft によって作成された契約の修正、自己評価、顧客向けのガイダンス ドキュメントにも基づきます。 HDInsight on AKS のコンプライアンス情報については、Microsoft セキュリティセンターと Microsoft Azure コンプライアンスの概要を参照してください。

共同責任モデル

次の図は、主要なシステム セキュリティ領域と、使用できるセキュリティ ソリューションをまとめたものです。 また、顧客としての責任であるセキュリティ領域と、サービス プロバイダーとしての HDInsight on AKS の責任である領域についても説明します。

次の表に、セキュリティ ソリューションの種類ごとにリソースへのリンクを示します。