Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Muitas empresas estão aproveitando a análise de big data para obter insights de negócios para ajudá-las a tomar decisões inteligentes. Uma organização pode ter um ambiente complexo e regulamentado, com um número crescente de usuários diversos. É vital para uma empresa garantir que os dados críticos de negócios sejam armazenados de forma mais segura, com o nível correto de acesso concedido a usuários individuais. O Azure Data Lake Storage Gen1 foi projetado para ajudar a atender a esses requisitos de segurança. Neste artigo, saiba mais sobre os recursos de segurança do Data Lake Storage Gen1, incluindo:
- Autenticação
- Autorização
- Isolamento de rede
- Proteção de dados
- Auditoria
Autenticação e gerenciamento de identidade
A autenticação é o processo pelo qual a identidade de um usuário é verificada quando o usuário interage com o Data Lake Storage Gen1 ou com qualquer serviço que se conecta ao Data Lake Storage Gen1. Para gerenciamento e autenticação de identidades, o Data Lake Storage Gen1 usa o Microsoft Entra ID, uma solução abrangente de nuvem de gerenciamento de identidade e acesso que simplifica o gerenciamento de usuários e grupos.
Cada assinatura do Azure pode ser associada a uma instância do Microsoft Entra ID. Somente usuários e identidades de serviço definidos em seu serviço Microsoft Entra podem acessar sua conta do Data Lake Storage Gen1, usando o portal do Azure, ferramentas de linha de comando ou por meio de aplicativos cliente que sua organização cria usando o SDK do Data Lake Storage Gen1. As principais vantagens de usar o Microsoft Entra ID como um mecanismo de controle de acesso centralizado são:
- Gerenciamento simplificado do ciclo de vida da identidade. A identidade de um usuário ou serviço (uma identidade principal de serviço) pode ser rapidamente criada e rapidamente revogada simplesmente excluindo ou desativando a conta no diretório.
- Autenticação multifator. A autenticação multifator fornece uma camada adicional de segurança para entradas e transações do usuário.
- Autenticação de qualquer cliente através de um protocolo aberto padrão, como OAuth ou OpenID.
- Federação com serviços de diretório corporativo e provedores de identidade na nuvem.
Autorização e controlo de acessos
Depois que o Microsoft Entra autentica um usuário para que ele possa acessar o Data Lake Storage Gen1, a autorização controla as permissões de acesso para o Data Lake Storage Gen1. O Data Lake Storage Gen1 separa a autorização para atividades relacionadas à conta e a atividades relacionadas a dados da seguinte maneira:
- Controle de acesso baseado em função do Azure (Azure RBAC) para gerenciamento de contas
- POSIX ACL para acessar dados na loja
Azure RBAC para gerenciamento de contas
Quatro funções básicas são definidas para o Data Lake Storage Gen1 por padrão. As funções permitem operações diferentes em uma conta do Data Lake Storage Gen1 por meio do portal do Azure, cmdlets do PowerShell e APIs REST. As funções de Proprietário e Colaborador podem executar uma variedade de funções de administração na conta. Você pode atribuir a função Leitor a usuários que só visualizam dados de gerenciamento de contas.
Observe que, embora as funções sejam atribuídas para o gerenciamento de contas, algumas funções afetam o acesso aos dados. Você precisa usar ACLs para controlar o acesso às operações que um usuário pode executar no sistema de arquivos. A tabela a seguir mostra um resumo dos direitos de gerenciamento e direitos de acesso a dados para as funções padrão.
| Funções | Direitos de gestão | Direitos de acesso aos dados | Explicação |
|---|---|---|---|
| Nenhuma função atribuída | Nenhum | Regido pela ACL | O usuário não pode usar o portal do Azure ou cmdlets do Azure PowerShell para procurar o Data Lake Storage Gen1. O usuário pode usar apenas ferramentas de linha de comando. |
| Proprietário | Todos | Todos | A função Proprietário é um superusuário. Esta função pode gerir tudo e tem acesso total aos dados. |
| Leitor | Somente leitura | Regido pela ACL | A função Leitor pode exibir tudo o que diz respeito ao gerenciamento de contas, como qual usuário está atribuído a qual função. A função Leitor não pode fazer alterações. |
| Contribuidor | Todos, exceto adicionar e remover funções | Regido pela ACL | A função de Colaborador pode gerenciar alguns aspetos de uma conta, como implantações e criação e gerenciamento de alertas. A função de Colaborador não pode adicionar ou remover funções. |
| Administrador de Acesso de Usuário | Adicionar e remover funções | Regido pela ACL | A função Administrador de Acesso de Usuário pode gerenciar o acesso do usuário às contas. |
Para obter instruções, consulte Atribuir usuários ou grupos de segurança a contas do Data Lake Storage Gen1.
Usando ACLs para operações em sistemas de arquivos
O Data Lake Storage Gen1 é um sistema de arquivos hierárquico como o Hadoop Distributed File System (HDFS) e suporta ACLs POSIX. Ele controla as permissões de leitura (r), gravação (w) e execução (x) para recursos para a função Proprietário, para o grupo Proprietários e para outros usuários e grupos. No Data Lake Storage Gen1, as ACLs podem ser habilitadas na pasta raiz, em subpastas e em arquivos individuais. Para obter mais informações sobre como as ACLs funcionam no contexto do Data Lake Storage Gen1, consulte Controle de acesso no Data Lake Storage Gen1.
Recomendamos que você defina ACLs para vários usuários usando grupos de segurança. Adicione utilizadores a um grupo de segurança e, em seguida, atribua as ACLs de um ficheiro ou pasta a esse grupo de segurança. Isso é útil quando você deseja fornecer permissões atribuídas, porque você está limitado a um máximo de 28 entradas para permissões atribuídas. Para obter mais informações sobre como proteger melhor os dados armazenados no Data Lake Storage Gen1 usando grupos de segurança do Microsoft Entra, consulte Atribuir usuários ou grupo de segurança como ACLs ao sistema de arquivos Data Lake Storage Gen1.
Isolamento de rede
Use o Data Lake Storage Gen1 para ajudar a controlar o acesso ao seu armazenamento de dados no nível da rede. Você pode estabelecer firewalls e definir um intervalo de endereços IP para seus clientes confiáveis. Com um intervalo de endereços IP, somente os clientes que têm um endereço IP dentro do intervalo definido podem se conectar ao Data Lake Storage Gen1.
Tags de serviço de suporte de redes virtuais do Azure (VNet) para Data Lake Gen 1. Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço incluídos pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam. Para obter mais informações, consulte Visão geral das marcas de serviço do Azure.
Proteção de dados
O Data Lake Storage Gen1 protege os seus dados durante todo o seu ciclo de vida. Para dados em trânsito, o Data Lake Storage Gen1 usa o protocolo Transport Layer Security (TLS 1.2) padrão do setor para proteger os dados pela rede.
O Data Lake Storage Gen1 também fornece criptografia para os dados armazenados na conta. Pode optar por encriptar os seus dados ou por não utilizar encriptação. Se você optar pela criptografia, os dados armazenados no Data Lake Storage Gen1 serão criptografados antes de serem armazenados em mídia persistente. Nesse caso, o Data Lake Storage Gen1 criptografa automaticamente os dados antes de persistir e descriptografa os dados antes da recuperação, para que seja completamente transparente para o cliente que acessa os dados. Não é necessária nenhuma alteração de código no lado do cliente para encriptar/desencriptar dados.
Para o gerenciamento de chaves, o Data Lake Storage Gen1 fornece dois modos para gerenciar suas chaves mestras de criptografia (MEKs), que são necessárias para descriptografar quaisquer dados armazenados no Data Lake Storage Gen1. Você pode permitir que o Data Lake Storage Gen1 gerencie os MEKs para você ou optar por manter a propriedade dos MEKs usando sua conta do Azure Key Vault. Você especifica o modo de gerenciamento de chaves ao criar uma conta do Data Lake Storage Gen1. Para obter mais informações sobre como fornecer configuração relacionada à criptografia, consulte Introdução ao Azure Data Lake Storage Gen1 usando o Portal do Azure.
Registos de atividade e de diagnóstico
Você pode usar logs de atividade ou diagnóstico, dependendo se estiver procurando logs para atividades relacionadas ao gerenciamento de contas ou atividades relacionadas a dados.
- As atividades relacionadas ao gerenciamento de contas usam APIs do Azure Resource Manager e são exibidas no portal do Azure por meio de logs de atividades.
- As atividades relacionadas a dados usam APIs REST do WebHDFS e são exibidas no portal do Azure por meio de logs de diagnóstico.
Registo de atividades
Para cumprir os regulamentos, uma organização pode exigir trilhas de auditoria adequadas das atividades de gerenciamento de contas se precisar investigar incidentes específicos. O Data Lake Storage Gen1 tem monitoramento integrado e registra todas as atividades de gerenciamento de contas.
Para registos de auditoria de gestão de contas, visualize e escolha as colunas que deseja registar. Você também pode exportar logs de atividades para o Armazenamento do Azure.
Para obter mais informações sobre como trabalhar com logs de atividades, consulte Exibir logs de atividades para auditar ações em recursos.
Registos de diagnósticos
Você pode habilitar a auditoria de acesso a dados e o registo de diagnóstico no portal do Azure e enviar os registos para uma conta de armazenamento de blobs do Azure, para um hub de eventos ou para registos do Azure Monitor.
Para obter mais informações sobre como trabalhar com logs de diagnóstico com o Data Lake Storage Gen1, consulte Acessando logs de diagnóstico para o Data Lake Storage Gen1.
Resumo
Os clientes corporativos exigem uma plataforma de nuvem de análise de dados que seja segura e fácil de usar. O Data Lake Storage Gen1 foi projetado para ajudar a atender a esses requisitos por meio do gerenciamento e autenticação de identidades por meio da integração do Microsoft Entra, autorização baseada em ACL, isolamento de rede, criptografia de dados em trânsito e em repouso e auditoria.
Se você quiser ver novos recursos no Data Lake Storage Gen1, envie-nos seus comentários no fórum Data Lake Storage Gen1 UserVoice.