توفير الأمان للتحليات على نطاق السحابة في Azure

توضح هذه المقالة كيف يمكن لمؤسستك تنفيذ توفير الأمان من خلال الوصول إلى البيانات وإدارة الاستحقاق في Azure.

إدارة الوصول إلى البيانات

يمكن للمؤسسات استخدام المصادقةوالتخويل للتحكم في الوصول إلى خدمات السيناريو الخاصة بها. يوفر قسم أفضل الممارسات لدينا إرشادات لإعداد أمان كل خدمة معينة. على سبيل المثال، يصف قسم أفضل ممارسات Azure Data Lake التحكم في الوصول وتكوينات مستودع البيانات في Azure Data Lake Storage.

في المقالات السابقة، وصفنا كيفية إلحاق تطبيقات البيانات التي تنشئ منتجات البيانات الخاصة بك. كان تركيزنا في الغالب على استخدام الأتمتة قدر الإمكان.

داخل النظام الأساسي ل Azure، هناك طريقتان لمنح الوصول إلى منتجات البيانات:

• استخدام Azure Purview (نهج البيانات)
• استخدام سوق بيانات مخصص، والذي يمنح الوصول من خلال Azure Active Directory Entitlement Management

يتم شرح أسلوب Azure Purview في توفير مجموعة البيانات بواسطة مالكي البيانات لتخزين Azure. لاحظ أن مالكي البيانات يمكنهم أيضا تحديد نهج مجموعات الموارد والاشتراكات.

توضح هذه المقالة كيف يمكنك استخدام Azure Active Directory Entitlement Management مع سوق بيانات مخصص لمنح حق الوصول إلى منتجات البيانات.

ملاحظة

يجب على كل شركة تحديد عملية إدارة البيانات الخاصة بها بالتفصيل لكل منتج بيانات. على سبيل المثال، قد يتم تأمين البيانات ذات التصنيف العام أو الاستخدام الداخلي فقط بواسطة الموارد، ولكن يتم تأمين أي شيء سري أو أعلى باستخدام الخيارات الموضحة في خصوصية البيانات للتحليات على نطاق السحابة في Azure. لمعرفة المزيد حول أنواع التصنيف، راجع متطلبات التحكم في بيانات Azure في مؤسسة حديثة.

إدارة استحقاق Azure AD

إدارة الاستحقاق هي ميزة إدارة الهوية التي تمكن المؤسسات من إدارة الهوية ودورة حياة الوصول على نطاق واسع، من خلال أتمتة مهام سير عمل طلب الوصول وتعيينات الوصول والمراجعات وانتهاء الصلاحية. للحصول على ملخص لإدارة الاستحقاق وقيمته، راجع فيديو ما هي إدارة استحقاق Azure Active Directory؟ .

تفترض هذه المقالة أنك على دراية بإدارة الاستحقاق Azure AD أو أنك درست على الأقل وثائق Microsoft وفهمت المصطلحات التالية.

المصطلح	الوصف
حزمة الوصول	مجموعة من الموارد التي يحتاجها الفريق أو المشروع، والتي يحكمها النهج. يجب دائما احتواء حزمة الوصول في كتالوج. إنشاء حزمة وصول جديدة لسيناريو يحتاج فيه المستخدمون إلى طلب الوصول.
طلب الوصول	طلب للوصول إلى الموارد في حزمة وصول. تمر طلبات الوصول عادة عبر سير عمل الموافقة. إذا تمت الموافقة عليه، يتلقى الطالب تعيين حزمة وصول.
المهمة	تعيين حزمة وصول إلى مستخدم. يتم تزويد المستخدم بجميع أدوار الموارد لحزمة الوصول. عادة ما يتم تعيين تعيينات حزمة الوصول لتنتهي صلاحيتها بعد وقت معين.
Catalog	حاوية من الموارد ذات الصلة وحزم الوصول. تستخدم الكتالوجات للتفويض، مما يسمح لغير المسؤولين بإنشاء حزم الوصول الخاصة بهم. يمكن لمالكي الكتالوجات إضافة الموارد التي يمتلكونها إلى كتالوج.
منشئ الكاتالوج	مستخدم مخول بإنشاء كتالوجات جديدة. عندما ينشئ مستخدم غير مسؤول تم تخويله ليكون منشئ كتالوج كتالوجًا جديدًا، يصبح تلقائيًا مالك ذلك الكتالوج.
المؤسسة المتصلة	دليل أو مجال Microsoft Azure AD خارجي لديك علاقة به. يمكنك تحديد المستخدمين من المؤسسات المتصلة على أنه مسموح لهم بطلب الوصول.
النهج	مجموعة من القواعد التي تحدد دورة حياة الوصول إلى البيانات. يمكن أن تتضمن القواعد كيفية وصول المستخدمين، ومن يمكنه الموافقة على المستخدمين، ومدة وصول المستخدمين من خلال التعيين. ترتبط النهج بحزم الوصول. يمكن أن تحتوي حزمة الوصول على أكثر من نهج واحد. مثال على ذلك هو حزمة لها نهج واحد للموظفين الذين يطلبون الوصول ونهج ثان للمستخدمين الخارجيين الذين يطلبون الوصول.

هام

يمكن للمستأجرين Azure AD حاليا توفير 500 كتالوج مع 500 حزمة وصول. إذا كانت مؤسستك بحاجة إلى زيادة هذه القدرات، فاتصل بدعم Azure.

مهام سير عمل إدارة الوصول إلى البيانات

يمكن لمؤسستك تفويض إدارة الوصول إلى المشرفين على بيانات المجال ومسؤولي البيانات الرئيسيين باستخدام تطبيق مخصص مع إدارة الاستحقاق Azure AD. يحرر هذا التفويض فرق تطبيقات البيانات لدعم أنفسهم دون الحاجة إلى تأجيل فرق النظام الأساسي الخاص بك. يمكنك تعيين مستويات متعددة من الموافقة وأتمتة الإعداد الشامل وإدارة الوصول إلى البيانات عبر Microsoft Graph REST APIوواجهات برمجة تطبيقات REST لإدارة الاستحقاق.

تسمح لك حزم إدارة الاستحقاق Azure AD بتفويض الوصول إلى غير المسؤولين (مثل فرق تطبيقات البيانات) حتى يتمكنوا من إنشاء حزم الوصول. تحتوي حزم الوصول على موارد يمكن للمستخدمين طلبها، مثل الوصول إلى منتجات البيانات. يمكن لمشرفي البيانات ومديري حزم الوصول المفوضين الآخرين تحديد النهج التي تحتوي على القواعد التي يمكن للمستخدمين طلب الوصول إليها، ومن يمكنه الموافقة على وصولهم، ومتى تنتهي صلاحية الوصول المعتمد.

إنشاء كتالوجات

إذا كنت تقوم بتنفيذ مستودع بيانات، فقم بإنشاء كتالوج في إدارة الاستحقاق لكل منطقة هبوط بيانات. اعتمادا على الأتمتة وحجم التنفيذ الخاص بك، يمكنك إما:

• استدعاء واجهات برمجة تطبيقات REST لإدارة الاستحقاق لإنشاء كتالوج للمجال.
• إنشاء كتالوج آخر لكل منطقة هبوط بيانات عبر مدخل إدارة الاستحقاق.

إذا كنت تقوم بتنفيذ شبكة بيانات، فقم بإنشاء كتالوج في إدارة الاستحقاق لكل مجال. اعتمادا على الأتمتة وحجم التنفيذ الخاص بك، يمكنك إما:

• استدعاء واجهات برمجة تطبيقات REST لإدارة الاستحقاق لإنشاء كتالوج للمجال.
• إنشاء كتالوج آخر لكل مجال عبر مدخل إدارة الاستحقاق.

تلميح

يمكن أن يكون لكل كتالوج أذونات المجموعة الخاصة به لإنشاء الحزمة وإدارة الأذونات.

إنشاء منتج البيانات

تتم مناقشة منتجات البيانات في منتجات بيانات التحليلات على نطاق السحابة في Azure. بالنسبة للتطبيقات المخصصة، يتضمن إعداد البيانات توقعا بتوفير أمان شامل.

تتطلب عملية إعداد البيانات بيانات تعريف رئيسية، بما في ذلك:

• مواقع تخزين متعددة اللغات (حساب أو مستودع بيانات)
• الموافقون (مثل المشرفين على البيانات أو كبير مسؤولي البيانات في المجال)
• متطلبات دورة الحياة
• متطلبات المراجعة
• النطاقات
• أسماء منتجات البيانات
• تصنيفات البيانات

الشكل 1: إنشاء منتج بيانات إدارة الوصول إلى البيانات

يوضح الشكل 1 كيف يمكن لفريق تطبيق البيانات أتمتة توفير الأمان لمنتج بيانات مقيم في مستودع بيانات. يتم إرسال طلب إلى Microsoft Graph REST APIs بعد إعداد منتج البيانات إلى:

1. أنشئ مجموعتي أمان عبر واجهة برمجة تطبيقات Azure Active Directory Graph، واحدة تسمح بالوصول للقراءة/الكتابة والأخرى تسمح بالوصول للقراءة فقط.

   • يتم اقتراح اصطلاحات تسمية مجموعة Azure AD التالية لمصادقة المرور Azure AD في مستودعات البيانات:
     • اسم المجال أو اسم منطقة البيانات المنتقل إليها
     • اسم منتج البيانات
     • طبقة مستودع البيانات:
       • RAW للخام
       • ENR للإثراء
       • CUR ل curated
     • اسم منتج البيانات
       • RW للقراءة والكتابة
       • R للقراءة فقط
   • يتم اقتراح اصطلاحات تسمية مجموعة Azure AD التالية للتحكم في الوصول إلى الجدول:
     • اسم المجال أو اسم منطقة البيانات المنتقل إليها
     • اسم منتج البيانات
     • مخطط أو ترويض جدول
       • RW للقراءة والكتابة
       • R للقراءة فقط

2. قم بتعيين مجموعات الأمان الخاصة بك إلى منتج البيانات. بالنسبة لمستودعات البيانات، يتضمن ذلك تطبيق مجموعتي الأمان على مستوى مجلد منتج البيانات وفي طبقة المستودع الصحيحة (أولية أو ثرية أو منسقة).

3. إنشاء حزمة وصول تجمع مجموعات الأمان الخاصة بك جنبا إلى جنب مع الموافقين المطلوبين ودورة الحياة (مراجعات صلاحية الوصول وانتهاء الصلاحية).

تلميح

في السيناريوهات المعقدة، يمكنك إنشاء مجموعة أمان مجموعة أذونات لالتقاط مجموعات أمان متعددة، ولكن هذه ستكون مهمة يدوية بعد إنشاء مجموعات أمان منتجات البيانات بالفعل.

طلب الوصول إلى منتج البيانات

يمكنك أتمتة منح الوصول إلى منتج البيانات باستخدام تطبيق مخصص وواجهات برمجة تطبيقات REST لإدارة الاستحقاق.

الشكل 2: طلب الوصول إلى منتج بيانات.

يوفر الشكل 2 نظرة عامة على سير عمل طلب الوصول إلى منتج البيانات.

طلب وصول المستخدم

1. يتصفح مستخدم البيانات سوق البيانات لاكتشاف المنتجات التي يريد الوصول إليها.
2. واجهات سوق البيانات مع واجهات برمجة تطبيقات REST لإدارة الاستحقاق ويطلب الوصول إلى منتج البيانات للمستخدم.
3. رهنا بالنهج والحساب، يتم إعلام الموافقين ومراجعة طلب الوصول في مدخل إدارة الوصول الخاص بهم. إذا تمت الموافقة على الطلب، يتم إعلام المستخدم ومنحه حق الوصول إلى مجموعة البيانات.
4. إذا كانت مؤسستك تريد منح أذونات المستخدم استنادا إلى بيانات التعريف (مثل قسمة المستخدم أو عنوانه أو موقعه)، فيمكنك إضافة مجموعات ديناميكية في Azure AD كمجموعة معتمدة.

حالة طلب المستخدم

يمكن للخدمات الأخرى المضمنة في سوق البيانات التحقق من الحالة الحالية لطلبات الوصول إلى منتجات البيانات. يمكن أن تتفاعل هذه الخدمات مع واجهات برمجة تطبيقات REST لإدارة الاستحقاق لسرد جميع الطلبات المعلقة لاسم المستخدم أو مبدأ الخدمة.

ملخص إدارة الوصول إلى البيانات

تنقسم إدارة الوصول إلى البيانات في Azure إلى المستويات التالية:

• الطبقة المادية (مثل تخزين مجموعة البيانات متعددة اللغات)
• مجموعات أمان Azure Active Directory
• حِزم الوصول
• المستخدمون والفرق الذين يصلون إلى مجموعات البيانات

يوفر الرسم التخطيطي أعلاه مثالا لتنفيذ شبكة البيانات حيث تم إنشاء كتالوج واحد لكل مجال. تقوم فرق منتجات البيانات بإلحاق مجموعة البيانات الجديدة أو المنتج بمجال بيانات. يتم إنشاء مجموعة Azure AD وتعيينها إلى مجموعة البيانات. يمكنك منح حق الوصول باستخدام مصادقة المرور Azure AD أو مع التحكم في الوصول إلى الجدول باستخدام Azure Databricks أو Azure Synapse Analytics أو مخازن التحليلات المتعددة الأخرى.

تنشئ إدارة الاستحقاق Azure AD حزم الوصول في كتالوج حزم الوصول إلى المجالات. يمكن أن تحتوي حزم الوصول على مجموعات Azure AD متعددة. Finance Analysis تمنح الحزمة حق الوصول إلى التمويل و LOB A، بينما تمنح الحزمة Finance Writers حق الوصول إلى المخطط F و LOB A. امنح حق الوصول للكتابة فقط إلى منشئي مجموعة البيانات. وإلا، يجب أن يكون الوصول للقراءة فقط هو الإعداد الافتراضي الخاص بك.

هام

يوضح الرسم التخطيطي السابق كيفية إضافة Azure AD مجموعات المستخدمين. يمكنك استخدام نفس العملية لإضافة أساسيات خدمة Azure، والتي تستخدمها فرق منتجات التكامل أو البيانات لمسارات الاستيعاب والمزيد. يجب إعداد إعدادين لدورة الحياة: أحدهما للمستخدمين لطلب الوصول قصير الأجل (30 يوما)، والآخر لطلب وصول أطول (90 يوما).

الخطوات التالية

• تنظيم أعضاء فريق عمليات البيانات للتحليات على نطاق السحابة في Azure
• توزيع إدارة استحقاق Azure Active Directory (فيديو)
• استكشف السيناريوهات الشائعة في إدارة الاستحقاق Azure AD للحصول على مزيد من المعلومات حول كيفية إدارة الاستحقاق.