Segurança no Azure Data Explorer

Este artigo fornece uma introdução à segurança no Azure Data Explorer que ajudam a proteger seus dados e recursos na nuvem e atender às necessidades de segurança de sua empresa. É importante manter seus clusters seguros. A proteção de seus clusters inclui um ou mais recursos do Azure que incluem acesso seguro e armazenamento. Este artigo fornece informações para ajudá-lo a manter seu cluster seguro.

Para obter mais recursos sobre conformidade para sua empresa ou organização, consulte a documentação de conformidade do Azure.

Segurança de rede

A segurança de rede é um requisito compartilhado por muitos de nossos clientes corporativos preocupados com segurança. A intenção é isolar o tráfego de rede e limitar a superfície de ataque para o Azure Data Explorer e comunicações correspondentes. Portanto, você pode bloquear o tráfego originado de segmentos de rede que não sejam do Azure Data Explorer e garantir que somente o tráfego de fontes conhecidas alcance os pontos de extremidade do Azure Data Explorer. Isso inclui o tráfego originado localmente ou fora do Azure, com um destino do Azure e vice-versa. O Azure Data Explorer dá suporte aos seguintes recursos para atingir essa meta:

É altamente recomendável usar pontos de extremidade privados para proteger o acesso de rede ao cluster. Essa opção tem muitas vantagens quando comparada à injeção de rede virtual e resulta em uma sobrecarga de manutenção menor, incluindo um processo de implantação mais simples e sendo mais robusta para alterações de rede virtual.

Identidade e controle de acesso

Controle de acesso baseado em função

Use o RBAC (controle de acesso baseado em função) para separar as tarefas e conceder somente o acesso necessário aos usuários do cluster. Em vez de dar a todos permissões irrestritas ao cluster, você pode permitir que somente os usuários atribuídos a funções específicas executem determinadas ações. É possível configurar o controle de acesso para banco de dados no portal do Azure, usando a CLI do Azure ou o Azure PowerShell.

Identidades gerenciadas dos recursos do Azure

Um desafio comum ao criar aplicativos de nuvem é o gerenciamento de credenciais no código para autenticar serviços de nuvem. Proteger as credenciais é uma tarefa importante. As credenciais não devem ser armazenadas em estações de trabalho do desenvolvedor nem verificadas no controle do código-fonte. O Azure Key Vault fornece uma maneira de armazenar com segurança as credenciais, os segredos e outras chaves, mas seu código precisa se autenticar no Key Vault para recuperá-los.

O recurso Microsoft Entra identidades gerenciadas para recursos do Azure resolve esse problema. O recurso fornece aos serviços do Azure uma identidade gerenciada automaticamente em Microsoft Entra ID. Você pode usar a identidade para autenticar em qualquer serviço que dê suporte à autenticação Microsoft Entra, incluindo Key Vault, sem credenciais em seu código. Para obter mais informações sobre esse serviço, confira a página de visão geral Identidades gerenciadas para recursos do Azure.

Proteção de dados

Criptografia de disco do Azure

O Azure Disk Encryption ajuda a proteger seus dados e a atender aos compromissos de conformidade e segurança da sua organização. Ele fornece criptografia de volume para o sistema operacional e discos de dados de suas máquinas virtuais do cluster. O Azure Disk Encryption também se integra ao Azure Key Vault, que nos permite controlar e gerenciar as chaves e os segredos de criptografia de disco e garantir que todos os dados nos discos de VM sejam criptografados.

Chaves gerenciadas pelo cliente com o Azure Key Vault

Por padrão, os dados são criptografados com chaves gerenciadas pela Microsoft. Para obter controle adicional sobre as chaves de criptografia, você pode fornecer chaves gerenciadas pelo cliente para usar para criptografia de dados. Você pode gerenciar a criptografia de seus dados em nível de armazenamento com suas próprias chaves. Uma chave gerenciada pelo cliente é usada para proteger e controlar o acesso à chave de criptografia raiz, que é usada para criptografar e descriptografar todos os dados. Chaves gerenciadas pelo cliente oferecem maior flexibilidade para criar, desabilitar e revogar controles de acesso, assim como fazer a rotação deles. Você também pode auditar as chaves de criptografia usadas para proteger seus dados.

Use o Azure Key Vault para armazenar as chaves gerenciadas pelo cliente. Você pode criar suas próprias chaves e armazená-las em um cofre de chaves ou pode usar as APIs do Azure Key Vault para gerar chaves. O cluster do Azure Data Explorer e o Azure Key Vault devem estar na mesma região, mas podem estar em assinaturas diferentes. Para obter mais informações sobre o Azure Key Vault, confira O que é o Azure Key Vault?. Para uma explicação detalhada sobre chaves gerenciadas pelo cliente, consulte Chaves gerenciadas pelo cliente com o Azure Key Vault. Configurar chaves gerenciadas pelo cliente em seu cluster do Azure Data Explorer usando o Portal, C#, modelo do Azure Resource Manager, CLI ou o PowerShell

Observação

As chaves gerenciadas pelo cliente dependem de identidades gerenciadas para recursos do Azure, um recurso de ID de Microsoft Entra. Para configurar chaves gerenciadas pelo cliente no portal do Azure, configure uma identidade gerenciada para o cluster, conforme descrito em Configurar identidades gerenciadas para seu cluster do Azure Data Explorer.

Armazenar chaves gerenciadas pelo cliente no Azure Key Vault

Para habilitar chaves gerenciadas pelo cliente em um cluster, você precisa usar um Azure Key Vault para armazenar suas chaves. Habilite as propriedades Exclusão Temporária e Não Limpar no cofre de chaves. O cofre de chaves deve estar na mesma região que o cluster. O Azure Data Explorer usa identidades gerenciadas para recursos do Azure para se autenticar no cofre de chaves para operações de criptografia e descriptografia. Identidades gerenciadas não têm suporte a cenários entre diretórios.

Fazer a rotação de chaves gerenciadas pelo cliente

Você pode fazer a rotação de uma chave gerenciada pelo cliente no Azure Key Vault de acordo com suas políticas de conformidade. Para girar uma chave, no Azure Key Vault, atualize a versão da chave ou crie uma nova chave e, em seguida, atualize o cluster para criptografar dados usando o URI da nova chave. Execute essas etapas usando a CLI do Azure ou no portal. A rotação da chave não dispara uma nova criptografia de dados existentes no cluster.

Ao girar uma chave, normalmente, você especifica a mesma identidade usada ao criar o cluster. Opcionalmente, configure uma nova identidade atribuída ao usuário para o acesso à chave ou habilite e especifique a identidade atribuída ao sistema do cluster.

Observação

Verifique se as permissões Get, Desencapsular chave e Encapsular Chave necessárias estão definidas para a identidade configurada para acesso à chave.

Atualizar a versão de chave

Um cenário comum é atualizar a versão da chave usada como uma chave gerenciada pelo cliente. Dependendo de como a criptografia do cluster é configurada, a chave gerenciada pelo cliente no cluster é atualizada automaticamente ou precisa ser atualizada manualmente.

Revogar o acesso a chaves gerenciadas pelo cliente

Para revogar o acesso às chaves gerenciadas pelo cliente, use o PowerShell ou a CLI do Azure. Para obter mais informações, confira PowerShell do Azure Key Vault ou CLI do Azure Key Vault. Revogar o acesso bloqueia o acesso a todos os dados em nível de armazenamento do cluster, pois a chave de criptografia fica, por essa razão, inacessível pelo Azure Data Explorer.

Observação

Quando o Azure Data Explorer identifica que o acesso a uma chave gerenciada pelo cliente é revogada, ele suspende automaticamente o cluster para excluir todos os dados armazenados em cache. Depois que o acesso à chave for retornado, o cluster será retomado automaticamente.