AKS üzerinde Azure HDInsight'ta kurumsal güvenliğe genel bakış

Not

31 Ocak 2025'te AKS'de Azure HDInsight'ı kullanımdan kaldırmaya devam edeceğiz. 31 Ocak 2025'den önce, iş yüklerinizin aniden sonlandırılmasını önlemek için iş yüklerinizi Microsoft Fabric'e veya eşdeğer bir Azure ürününe geçirmeniz gerekir. Aboneliğinizdeki kalan kümeler durdurulur ve konaktan kaldırılır.

Kullanımdan kaldırma tarihine kadar yalnızca temel destek sağlanacaktır.

Önemli

Bu özellik şu anda önizlemededir. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan daha fazla yasal hüküm içerir. Bu belirli önizleme hakkında bilgi için bkz . AKS üzerinde Azure HDInsight önizleme bilgileri. Sorular veya özellik önerileri için lütfen AskHDInsight'ta ayrıntıları içeren bir istek gönderin ve Azure HDInsight Topluluğu hakkında daha fazla güncelleştirme için bizi takip edin.

AKS üzerinde Azure HDInsight varsayılan olarak güvenlik sunar ve kurumsal güvenlik gereksinimlerinizi karşılamak için çeşitli yöntemler vardır.

Bu makale, genel güvenlik mimarisini ve güvenlik çözümlerini dört geleneksel güvenlik sütununa bölerek kapsar: çevre güvenliği, kimlik doğrulaması, yetkilendirme ve şifreleme.

Güvenlik mimarisi

Herhangi bir yazılım için kurumsal hazırlık, ortaya çıkabilecek tehditleri önlemek ve ele almak için sıkı güvenlik denetimleri gerektirir. AKS üzerinde HDInsight, sizi birden çok katmanda korumak için çok katmanlı bir güvenlik modeli sağlar. Güvenlik mimarisi, MSI kullanarak modern yetkilendirme yöntemlerini kullanır. Tüm depolama erişimi MSI ve veritabanı erişimi ise kullanıcı adı/parola üzerinden yapılır. Parola, müşteri tarafından tanımlanan Azure Key Vault'ta depolanır. Bu özellik kurulumu varsayılan olarak sağlam ve güvenli hale getirir.

Aşağıdaki diyagramda AKS üzerinde HDInsight'ta güvenliğin üst düzey teknik mimarisi gösterilmektedir.

Kümenin kimliğini doğrulama güvenlik akışını gösteren ekran görüntüsü.

Kurumsal güvenlik sütunları

Kurumsal güvenliğe bakmanın bir yolu, güvenlik çözümlerini denetim türüne göre dört ana gruba bölmektir. Bu gruplar güvenlik sütunları olarak da adlandırılır ve şu türlerdendir: çevre güvenliği, kimlik doğrulaması, yetkilendirme ve şifreleme.

Çevre güvenliği

AKS üzerinde HDInsight'ta çevre güvenliği sanal ağlar aracılığıyla sağlanır. Kuruluş yöneticisi, sanal ağ (VNET) içinde bir küme oluşturabilir ve sanal ağa erişimi kısıtlamak için ağ güvenlik gruplarını (NSG) kullanabilir.

Kimlik Doğrulaması

AKS üzerinde HDInsight, küme oturum açma bilgileri için Microsoft Entra ID tabanlı kimlik doğrulaması sağlar ve yönetilen kimlikleri (MSI) kullanarak Azure Data Lake Storage 2. Nesil dosyalara küme erişiminin güvenliğini sağlar. Yönetilen kimlik, Azure hizmetlerine bir dizi otomatik olarak yönetilen kimlik bilgisi sağlayan bir Microsoft Entra Id özelliğidir. Bu kurulumla, kuruluş çalışanları etki alanı kimlik bilgilerini kullanarak küme düğümlerinde oturum açabilir. Microsoft Entra ID'den yönetilen kimlik, uygulamanızın Azure Key Vault, Depolama, SQL Server ve Veritabanı gibi diğer Microsoft Entra korumalı kaynaklarına kolayca erişmesini sağlar. Azure platformu tarafından yönetilen kimlik, gizli dizileri sağlamanızı veya döndürmenizi gerektirmez. Bu çözüm, AKS kümesinde ve diğer bağımlı kaynaklarda HDInsight'ınıza erişimin güvenliğini sağlamaya yönelik bir anahtardır. Yönetilen kimlikler, bağlantı dizesi kimlik bilgileri gibi uygulamanızdaki gizli dizileri ortadan kaldırarak uygulamanızı daha güvenli hale getirir.

Bağımlı kaynaklarınıza erişimi yöneten küme oluşturma işleminin bir parçası olarak tek başına bir Azure kaynağı olan kullanıcı tarafından atanan bir yönetilen kimlik oluşturursunuz.

Yetkilendirme

Çoğu kuruluşun izlediği en iyi uygulama, her çalışanın tüm kurumsal kaynaklara tam erişime sahip olmadığından emin olmaktır. Benzer şekilde, yönetici küme kaynakları için rol tabanlı erişim denetimi ilkeleri tanımlayabilir.

Kaynak sahipleri rol tabanlı erişim denetimini (RBAC) yapılandırabilir. RBAC ilkelerini yapılandırmak, izinleri kuruluştaki bir rolle ilişkilendirmenize olanak tanır. Bu soyutlama katmanı, kişilerin yalnızca iş sorumluluklarını yerine getirmek için gereken izinlere sahip olmasını kolaylaştırır. Küme erişim yönetimi tarafından yönetilen küme yönetimi (denetim düzlemi) ve küme veri erişimi (veri düzlemi) için ARM rolleri tarafından yönetilen yetkilendirme.

Küme yönetimi rolleri (Denetim Düzlemi / ARM Rolleri)

Eylem AKS Küme Havuzu Yöneticisinde HDInsight AKS Kümesi Yöneticisinde HDInsight
Küme havuzu oluşturma/silme
Küme havuzuna izin ve rol atama
Küme oluşturma/silme
Kümeyi Yönet
Yapılandırma Yönetimi
Betik eylemleri
Kitaplık Yönetimi
İzleme
Ölçeklendirme eylemleri

Yukarıdaki roller ARM işlemleri açısındandır. Daha fazla bilgi için bkz . Azure portalını kullanarak kullanıcıya Azure kaynaklarına erişim izni verme - Azure RBAC.

Küme erişimi (Veri Düzlemi)

Kullanıcıların, hizmet sorumlularının, yönetilen kimliğin portal veya ARM kullanarak kümeye erişmesine izin vekleyebilirsiniz.

Bu erişim,

  • Kümeleri görüntüleyin ve işleri yönetin.
  • Tüm izleme ve yönetim işlemlerini gerçekleştirin.
  • Otomatik ölçeklendirme işlemlerini gerçekleştirin ve düğüm sayısını güncelleştirin.

Için erişim sağlanmadı

  • Küme silme

Küme veri erişimini gösteren ekran görüntüsü.

Önemli

Yeni eklenen tüm kullanıcılar, hizmet durumunu görüntülemek için ek "Azure Kubernetes Service RBAC Okuyucusu" rolü gerektirir.

Denetim

Kaynakların yetkisiz veya kasıtsız erişimini izlemek için küme kaynak erişiminin denetlenmesi gerekir. Küme kaynaklarını yetkisiz erişime karşı korumak kadar önemlidir.

Kaynak grubu yöneticisi, etkinlik günlüğünü kullanarak AKS kümesi kaynakları ve verileri üzerinde HDInsight'a tüm erişimi görüntüleyebilir ve raporlayabilir. Yönetici, erişim denetimi ilkelerini görüntüleyebilir ve değişiklikleri bildirebilir.

Şifreleme

Verilerin korunması, kurumsal güvenlik ve uyumluluk gereksinimlerini karşılamak için önemlidir. Yetkisiz çalışanların verilerine erişimi kısıtlamanın yanı sıra, verileri şifrelemeniz gerekir. Küme düğümleri ve kapsayıcılar tarafından kullanılan depolama ve diskler (işletim sistemi diski ve kalıcı veri diski) şifrelenir. Azure Depolama'daki veriler, kullanılabilir en güçlü blok şifrelemelerinden biri olan 256 bit AES şifrelemesi kullanılarak saydam olarak şifrelenir ve şifreleri çözülür ve FIPS 140-2 ile uyumludur. Azure Depolama şifrelemesi tüm depolama hesapları için etkindir ve bu da verilerin varsayılan olarak güvenli olmasını sağlar. Azure Depolama şifrelemeden yararlanmak için kodunuzu veya uygulamalarınızı değiştirmeniz gerekmez. Aktarımdaki verilerin şifresi TLS 1.2 ile işlenir.

Uyumluluk

Azure uyumluluk teklifleri, resmi sertifikalar da dahil olmak üzere çeşitli güvence türlerini temel alır. Ayrıca kanıtlamalar, doğrulamalar ve yetkilendirmeler. Bağımsız üçüncü taraf denetim firmaları tarafından üretilen değerlendirmeler. Microsoft tarafından üretilen sözleşme değişiklikleri, kendi kendine değerlendirmeler ve müşteri rehberliği belgeleri. AKS uyumluluk bilgileri hakkında HDInsight için bkz. Microsoft Güven Merkezi ve Microsoft Azure uyumluluğuna genel bakış.

Paylaşılan sorumluluk modeli

Aşağıdaki görüntüde, ana sistem güvenlik alanları ve kullanabileceğiniz güvenlik çözümleri özetlenir. Ayrıca müşteri olarak hangi güvenlik alanlarının sizin sorumluluklarınız olduğunu ve hizmet sağlayıcısı olarak AKS üzerinde HDInsight'ın sorumluluğunda olan alanları vurgular.

Paylaşılan sorumluluk modelini gösteren ekran görüntüsü.

Aşağıdaki tabloda her güvenlik çözümü türü için kaynaklara bağlantılar sağlanmaktadır.

Güvenlik alanı Kullanılabilir çözümler Sorumlu taraf
Veri Erişim Güvenliği Azure Data Lake Storage 2. Nesil için erişim denetim listesi ACL'lerini yapılandırma Customer
Depolamada Güvenli aktarım gerekli özelliğini etkinleştirme Customer
Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma Customer
İşletim sistemi güvenliği AKS sürümlerinde en son HDInsight ile küme oluşturma Customer
Ağ güvenliği Sanal ağ yapılandırma
Güvenlik Duvarı kurallarını kullanarak trafiği yapılandırma Customer
Giden trafiği yapılandırma gerekli Customer