Teilen über


Bewährte Sicherheitsmethoden für Microsoft Purview

Dieser Artikel enthält bewährte Methoden für allgemeine Sicherheitsanforderungen für Microsoft Purview-Governancelösungen. Die beschriebene Sicherheitsstrategie folgt dem mehrstufigen Defense-in-Depth-Ansatz.

Hinweis

Diese bewährten Methoden decken die Sicherheit für einheitliche Datengovernancelösungen von Microsoft Purview ab. Weitere Informationen zu Microsoft Purview-Risiko- und Compliancelösungen finden Sie hier. Weitere Informationen zu Microsoft Purview im Allgemeinen finden Sie hier.

Screenshot: Tiefgehende Verteidigung in Microsoft Purview

Bevor Sie diese Empfehlungen auf Ihre Umgebung anwenden, sollten Sie sich an Ihr Sicherheitsteam wenden, da einige möglicherweise nicht auf Ihre Sicherheitsanforderungen anwendbar sind.

Netzwerksicherheit

Microsoft Purview ist eine PaaS-Lösung (Platform-as-a-Service) in Azure. Sie können die folgenden Netzwerksicherheitsfunktionen für Ihre Microsoft Purview-Konten aktivieren:

Screenshot: Microsoft Purview-Konto in einem Netzwerk

Weitere Informationen finden Sie unter Bewährte Methoden im Zusammenhang mit der Konnektivität mit Azure PaaS-Diensten.

Bereitstellen privater Endpunkte für Microsoft Purview-Konten

Wenn Sie Microsoft Purview in Ihrem privaten Netzwerk verwenden müssen, empfiehlt es sich, Azure Private Link Service mit Ihren Microsoft Purview-Konten für eine teilweise oder End-to-End-Isolation zu verwenden, um eine Verbindung mit dem Microsoft Purview-Governanceportal herzustellen, auf Microsoft Purview-Endpunkte zuzugreifen und Datenquellen zu überprüfen.

Der private Endpunkt des Microsoft Purview-Kontos wird verwendet, um eine weitere Sicherheitsebene hinzuzufügen, sodass nur Clientaufrufe, die aus dem virtuellen Netzwerk stammen, auf das Microsoft Purview-Konto zugreifen können. Dieser private Endpunkt ist auch eine Voraussetzung für den privaten Endpunkt des Portals.

Der private Endpunkt des Microsoft Purview-Portals ist erforderlich, um die Konnektivität mit dem Microsoft Purview-Governanceportal über ein privates Netzwerk zu ermöglichen.

Microsoft Purview kann Datenquellen in Azure oder einer lokalen Umgebung mithilfe privater Erfassungsendpunkte überprüfen.

Weitere Informationen finden Sie unter Microsoft Purview-Netzwerkarchitektur und bewährte Methoden.

Blockieren des öffentlichen Zugriffs mithilfe der Microsoft Purview-Firewall

Sie können den öffentlichen Zugriff von Microsoft Purview deaktivieren, um den Zugriff auf das Microsoft Purview-Konto vollständig über das öffentliche Internet zu sperren. In diesem Fall sollten Sie die folgenden Anforderungen berücksichtigen:

Weitere Informationen finden Sie unter Firewalls zum Einschränken des öffentlichen Zugriffs.

Verwenden von Netzwerksicherheitsgruppen

Sie können eine Azure-Netzwerksicherheitsgruppe verwenden, um Netzwerkdatenverkehr zu und von Azure-Ressourcen in einem virtuellen Azure-Netzwerk zu filtern. Eine Netzwerksicherheitsgruppe enthält Sicherheitsregeln , die eingehenden Netzwerkdatenverkehr an oder ausgehenden Netzwerkdatenverkehr von verschiedenen Arten von Azure-Ressourcen zulassen oder verweigern. Für jede Regel können Sie Quelle und Ziel, Port und Protokoll angeben.

Netzwerksicherheitsgruppen können auf Subnetze von Netzwerkschnittstellen oder virtuellen Azure-Netzwerken angewendet werden, in denen private Microsoft Purview-Endpunkte, selbstgehostete Integration Runtime-VMs und Azure-Datenquellen bereitgestellt werden.

Weitere Informationen finden Sie unter Anwenden von NSG-Regeln für private Endpunkte.

Die folgenden NSG-Regeln sind für Datenquellen für die Microsoft Purview-Überprüfung erforderlich:

Richtung Source Quellportbereich Ziel Zielport Protokoll Aktion
Eingehend Private IP-Adressen oder Subnetze der selbstgehosteten Integration Runtime-VMs * Private IP-Adressen oder Subnetze für Datenquellen 443 Beliebig Zulassen

Die folgenden NSG-Regeln sind auf den Verwaltungscomputern erforderlich, um auf das Microsoft Purview-Governanceportal zuzugreifen:

Richtung Source Quellportbereich Ziel Zielport Protokoll Aktion
Ausgehend Private IP-Adressen oder Subnetze von Verwaltungscomputern * IP-Adressen oder Subnetze des privaten Endpunkts für Microsoft Purview-Konten und -Portal 443 Beliebig Zulassen
Ausgehend Private IP-Adressen oder Subnetze von Verwaltungscomputern * Diensttag: AzureCloud 443 Beliebig Zulassen

Die folgenden NSG-Regeln sind auf selbstgehosteten Integration Runtime-VMs für die Microsoft Purview-Überprüfung und Metadatenerfassung erforderlich:

Wichtig

Erwägen Sie das Hinzufügen zusätzlicher Regeln mit relevanten Diensttags basierend auf Ihren Datenquellentypen.

Richtung Source Quellportbereich Ziel Zielport Protokoll Aktion
Ausgehend Private IP-Adressen oder Subnetze der selbstgehosteten Integration Runtime-VMs * Private IP-Adressen oder Subnetze von Datenquellen 443 Beliebig Zulassen
Ausgehend Private IP-Adressen oder Subnetze der selbstgehosteten Integration Runtime-VMs * IP-Adressen oder Subnetze des Microsoft Purview-Kontos und des privaten Erfassungsendpunkts 443 Beliebig Zulassen
Ausgehend Private IP-Adressen oder Subnetze der selbstgehosteten Integration Runtime-VMs * Diensttag: Servicebus 443 Beliebig Zulassen
Ausgehend Private IP-Adressen oder Subnetze der selbstgehosteten Integration Runtime-VMs * Diensttag: Storage 443 Beliebig Zulassen
Ausgehend Private IP-Adressen oder Subnetze der selbstgehosteten Integration Runtime-VMs * Diensttag: AzureActiveDirectory 443 Beliebig Zulassen
Ausgehend Private IP-Adressen oder Subnetze der selbstgehosteten Integration Runtime-VMs * Diensttag: DataFactory 443 Beliebig Zulassen
Ausgehend Private IP-Adressen oder Subnetze der selbstgehosteten Integration Runtime-VMs * Diensttag: KeyVault 443 Beliebig Zulassen

Die folgenden NSG-Regeln sind für private Endpunkte für Microsoft Purview-Konten, -Portal und -Erfassungsendpunkte erforderlich:

Richtung Source Quellportbereich Ziel Zielport Protokoll Aktion
Eingehend Private IP-Adressen oder Subnetze der selbstgehosteten Integration Runtime-VMs * IP-Adressen oder Subnetze des Microsoft Purview-Kontos und des privaten Erfassungsendpunkts 443 Beliebig Zulassen
Eingehend Private IP-Adressen oder Subnetze von Verwaltungscomputern * IP-Adressen oder Subnetze des Microsoft Purview-Kontos und des privaten Erfassungsendpunkts 443 Beliebig Zulassen

Weitere Informationen finden Sie unter Netzwerkanforderungen für selbstgehostete Integration Runtime.

Zugriffsverwaltung

Die Identitäts- und Zugriffsverwaltung stellt die Grundlage für einen großen Prozentsatz der Sicherheitssicherheit bereit. Sie ermöglicht den Zugriff basierend auf identitätsbasierten Authentifizierungs- und Autorisierungskontrollen in Clouddiensten. Diese Kontrollen schützen Daten und Ressourcen und entscheiden, welche Anforderungen zugelassen werden sollen.

Im Zusammenhang mit Der Rollen- und Zugriffsverwaltung in Microsoft Purview können Sie die folgenden bewährten Sicherheitsmethoden anwenden:

  • Definieren Sie Rollen und Zuständigkeiten zum Verwalten von Microsoft Purview auf Steuerungsebene und Datenebene:
    • Definieren Sie Rollen und Aufgaben, die zum Bereitstellen und Verwalten von Microsoft Purview in einem Azure-Abonnement erforderlich sind.
    • Definieren Sie Rollen und Aufgaben, die für die Datenverwaltung und -governance mithilfe von Microsoft Purview erforderlich sind.
  • Weisen Sie Azure Active Directory-Gruppen Rollen zu, anstatt einzelnen Benutzern Rollen zuzuweisen.
  • Verwenden Sie die Azure Active Directory-Berechtigungsverwaltung , um den Benutzerzugriff mithilfe von Zugriffspaketen azure AD-Gruppen zuzuordnen.
  • Erzwingen Sie die mehrstufige Authentifizierung für Microsoft Purview-Benutzer, insbesondere für Benutzer mit privilegierten Rollen wie Sammlungsadministratoren, Datenquellenadministratoren oder Datenkuratoren.

Verwalten eines Microsoft Purview-Kontos auf Steuerungsebene und Datenebene

Steuerungsebene bezieht sich auf alle Vorgänge im Zusammenhang mit der Azure-Bereitstellung und -Verwaltung von Microsoft Purview in Azure Resource Manager.

Datenebene bezieht sich auf alle Vorgänge im Zusammenhang mit der Interaktion mit Microsoft Purview innerhalb von Data Map und Data Catalog.

Sie können Benutzern, Sicherheitsgruppen und Dienstprinzipalen aus Ihrem Azure Active Directory-Mandanten, der dem Azure-Abonnement von Microsoft Purview instance zugeordnet ist, Rollen auf Steuerungsebene und Datenebene zuweisen.

Beispiele für Vorgänge auf Steuerungsebene und Vorgänge auf Datenebene:

Aufgabe Bereich Empfohlene Rolle Welche Rollen sollen verwendet werden?
Bereitstellen eines Microsoft Purview-Kontos Steuerungsebene Besitzer oder Mitwirkender für Azure-Abonnements Azure RBAC-Rollen
Einrichten eines privaten Endpunkts für Microsoft Purview Steuerungsebene Contributor Azure RBAC-Rollen
Löschen eines Microsoft Purview-Kontos Steuerungsebene Contributor Azure RBAC-Rollen
Hinzufügen oder Verwalten einer selbstgehosteten Integration Runtime (SHIR) Steuerungsebene Datenquellenadministrator Microsoft Purview-Rollen
Anzeigen von Microsoft Purview-Metriken zum Abrufen der aktuellen Kapazitätseinheiten Steuerungsebene Reader Azure RBAC-Rollen
Erstellen einer Sammlung Datenebene sammlungs Admin Microsoft Purview-Rollen
Registrieren einer Datenquelle Datenebene sammlungs Admin Microsoft Purview-Rollen
Überprüfen eines SQL Server Datenebene Datenquellenadministrator und Datenleser oder Datenkurator Microsoft Purview-Rollen
Suchen in Microsoft Purview Data Catalog Datenebene Datenquellenadministrator und Datenleser oder Datenkurator Microsoft Purview-Rollen

Rollen der Microsoft Purview-Ebene werden in Microsoft Purview instance in Microsoft Purview-Sammlungen definiert und verwaltet. Weitere Informationen finden Sie unter Zugriffssteuerung in Microsoft Purview.

Befolgen Sie die Empfehlungen für den rollenbasierten Azure-Zugriff für Aufgaben auf Azure-Steuerungsebene.

Authentifizierung und Autorisierung

Um Zugriff auf Microsoft Purview zu erhalten, müssen Benutzer authentifiziert und autorisiert werden. Die Authentifizierung ist der Prozess, bei dem nachgewiesen wird, dass der Benutzer der ist, der er zu sein vorgibt. Autorisierung bezieht sich auf die Steuerung des Zugriffs innerhalb von Microsoft Purview, die sammlungen zugewiesen ist.

Wir verwenden Azure Active Directory, um Authentifizierungs- und Autorisierungsmechanismen für Microsoft Purview in Sammlungen bereitzustellen. Sie können den folgenden Sicherheitsprinzipalen Microsoft Purview-Rollen aus Ihrem Azure Active Directory-Mandanten zuweisen, der dem Azure-Abonnement zugeordnet ist, in dem Ihre Microsoft Purview-instance gehostet wird:

  • Benutzer und Gastbenutzer (wenn sie ihrem Azure AD-Mandanten bereits hinzugefügt wurden)
  • Sicherheitsgruppen
  • Verwaltete Identitäten
  • Dienstprinzipale

Differenzierte Microsoft Purview-Rollen können einer flexiblen Auflistungshierarchie innerhalb der Microsoft Purview-instance zugewiesen werden.

Screenshot: Microsoft Purview-Zugriffsverwaltung

Definieren des Modells mit den geringsten Rechten

Als allgemeine Regel ist es unerlässlich, den Zugriff basierend auf den Sicherheitsprinzipien der geringsten Rechte zu beschränken, wenn Sie Sicherheitsrichtlinien für den Datenzugriff erzwingen möchten.

In Microsoft Purview können Datenquellen, Ressourcen und Überprüfungen mithilfe von Microsoft Purview-Sammlungen organisiert werden. Sammlungen sind hierarchische Gruppierung von Metadaten in Microsoft Purview, bieten aber gleichzeitig einen Mechanismus zum Verwalten des Zugriffs in Microsoft Purview. Rollen in Microsoft Purview können einer Sammlung basierend auf der Hierarchie Ihrer Sammlung zugewiesen werden.

Verwenden Sie Microsoft Purview-Sammlungen, um die Metadatenhierarchie Ihrer organization für eine zentralisierte oder delegierte Verwaltungs- und Governancehierarchie basierend auf dem Modell mit den geringsten Rechten zu implementieren.

Befolgen Sie das Zugriffsmodell mit den geringsten Rechten, wenn Sie Rollen in Microsoft Purview-Sammlungen zuweisen, indem Sie Aufgaben innerhalb Ihres Teams trennen und Benutzern nur die Menge an Zugriff gewähren, die sie für ihre Aufgaben benötigen.

Weitere Informationen zum Zuweisen des Zugriffsmodells mit den geringsten Rechten in Microsoft Purview basierend auf der Microsoft Purview-Sammlungshierarchie finden Sie unter Zugriffssteuerung in Microsoft Purview.

Geringere Offenlegung privilegierter Konten

Das Schützen des privilegierten Zugriffs ist ein wichtiger erster Schritt zum Schutz von Geschäftsressourcen. Die Minimierung der Anzahl von Personen, die Zugriff auf sichere Informationen oder Ressourcen haben, verringert die Wahrscheinlichkeit, dass ein böswilliger Benutzer Zugriff erhält oder ein autorisierter Benutzer versehentlich eine sensible Ressource beeinträchtigt.

Reduzieren Sie die Anzahl der Benutzer mit Schreibzugriff in Ihrem Microsoft Purview-instance. Halten Sie die Anzahl der Sammlungsadministratoren und Datenkuratorrollen bei der Stammsammlung minimal.

Verwenden der mehrstufigen Authentifizierung und des bedingten Zugriffs

Azure Active Directory Multi-Factor Authentication bietet eine weitere Sicherheits- und Authentifizierungsebene. Für mehr Sicherheit wird empfohlen, Richtlinien für bedingten Zugriff für alle privilegierten Konten zu erzwingen.

Wenden Sie mithilfe von Azure Active Directory-Richtlinien für bedingten Zugriff Azure AD Multi-Factor Authentication bei der Anmeldung für alle einzelnen Benutzer an, die Microsoft Purview-Rollen mit Änderungszugriff innerhalb Ihrer Microsoft Purview-Instanzen zugewiesen sind: Sammlung Admin, Datenquellen Admin, Datenkurator.

Aktivieren Sie die mehrstufige Authentifizierung für Ihre Administratorkonten, und stellen Sie sicher, dass Sich die Benutzer des Administratorkontos für MFA registriert haben.

Sie können Ihre Richtlinien für bedingten Zugriff definieren, indem Sie Microsoft Purview als Cloud-App auswählen.

Verhindern des versehentlichen Löschens von Microsoft Purview-Konten

In Azure können Sie Ressourcensperren auf ein Azure-Abonnement, eine Ressourcengruppe oder eine Ressource anwenden, um versehentliches Löschen oder Ändern kritischer Ressourcen zu verhindern.

Aktivieren Sie die Azure-Ressourcensperre für Ihre Microsoft Purview-Konten, um das versehentliche Löschen von Microsoft Purview-Instanzen in Ihren Azure-Abonnements zu verhindern.

Das Hinzufügen einer CanNotDelete - oder ReadOnly -Sperre zum Microsoft Purview-Konto verhindert nicht Lösch- oder Änderungsvorgänge innerhalb der Microsoft Purview-Datenebene, verhindert jedoch vorgänge auf Steuerungsebene, z. B. das Löschen des Microsoft Purview-Kontos, das Bereitstellen eines privaten Endpunkts oder die Konfiguration von Diagnoseeinstellungen.

Weitere Informationen finden Sie unter Grundlegendes zum Umfang von Sperren.

Ressourcensperren können Microsoft Purview-Ressourcengruppen oder -Ressourcen zugewiesen werden. Sie können jedoch keine Azure-Ressourcensperre verwalteten Microsoft Purview-Ressourcen oder einer verwalteten Ressourcengruppe zuweisen.

Implementieren einer Break glass-Strategie

Planen Sie eine Strategie für das Break-Glass für Ihren Azure Active Directory-Mandanten, Ihr Azure-Abonnement und Microsoft Purview-Konten, um eine mandantenweite Kontosperrung zu verhindern.

Weitere Informationen zu Azure AD und der Azure-Notfallzugriffsplanung finden Sie unter Verwalten von Konten für den Notfallzugriff in Azure AD.

Weitere Informationen zur Microsoft Purview-Break-Glass-Strategie finden Sie unter Bewährte Methoden und Entwurfsempfehlungen für Microsoft Purview-Sammlungen.

Bedrohungsschutz und Verhinderung der Datenexfiltration

Microsoft Purview bietet umfassende Einblicke in die Vertraulichkeit Ihrer Daten, was es für Sicherheitsteams, die Microsoft Defender for Cloud verwenden, nützlich macht, um den Sicherheitsstatus der organization zu verwalten und vor Bedrohungen für ihre Workloads zu schützen. Datenressourcen sind nach wie vor ein beliebtes Ziel für böswillige Akteure. Daher ist es für Sicherheitsteams von entscheidender Bedeutung, vertrauliche Datenressourcen in ihren Cloudumgebungen zu identifizieren, zu priorisieren und zu schützen. Um diese Herausforderung zu bewältigen, kündigen wir die Integration zwischen Microsoft Defender für Cloud und Microsoft Purview in der öffentlichen Vorschau an.

Integration in Microsoft 365 und Microsoft Defender für Cloud

Häufig besteht eine der größten Herausforderungen für sicherheitsrelevante organization in einem Unternehmen darin, Ressourcen basierend auf ihrer Wichtigkeit und Vertraulichkeit zu identifizieren und zu schützen. Microsoft hat kürzlich die Integration von Microsoft Purview und Microsoft Defender for Cloud in public Preview angekündigt, um diese Herausforderungen zu meistern.

Wenn Sie Ihre Microsoft 365-Vertraulichkeitsbezeichnungen für Ressourcen und Datenbankspalten in Microsoft Purview erweitert haben, können Sie mithilfe von Microsoft Defender für Cloud aus Bestand, Warnungen und Empfehlungen basierend auf erkannten Vertraulichkeitsbezeichnungen von Ressourcen nachverfolgen.

  • Für Empfehlungen haben wir Sicherheitskontrollen bereitgestellt, die Ihnen helfen zu verstehen, wie wichtig jede Empfehlung für Ihren allgemeinen Sicherheitsstatus ist. Microsoft Defender für Cloud enthält einen Sicherheitsbewertungswert für jedes Steuerelement, um Ihnen bei der Priorisierung Ihrer Sicherheitsarbeit zu helfen. Weitere Informationen finden Sie unter Sicherheitskontrollen und deren Empfehlungen.

  • Für Warnungen haben wir jeder Warnung Schweregradbezeichnungen zugewiesen, damit Sie die Reihenfolge priorisieren können, in der Sie sich um die einzelnen Warnungen kümmern. Weitere Informationen finden Sie unter Wie werden Warnungen klassifiziert?.

Weitere Informationen finden Sie unter Integrieren von Microsoft Purview in Azure-Sicherheitsprodukte.

Informationsschutz

Sichere Metadatenextraktion und -speicherung

Microsoft Purview ist eine Datengovernancelösung in der Cloud. Sie können verschiedene Datenquellen aus verschiedenen Datensystemen aus Ihren lokalen, Azure- oder Multicloudumgebungen in Microsoft Purview registrieren und überprüfen. Während die Datenquelle in Microsoft Purview registriert und gescannt wird, verbleiben die tatsächlichen Daten und Datenquellen an ihren ursprünglichen Speicherorten. Nur Metadaten werden aus Datenquellen extrahiert und in Microsoft Purview Data Map gespeichert. Dies bedeutet, dass Sie keine Daten aus der Region oder ihrem ursprünglichen Speicherort verschieben müssen, um die Metadaten in Microsoft Purview zu extrahieren.

Wenn ein Microsoft Purview-Konto bereitgestellt wird, wird außerdem eine verwaltete Ressourcengruppe in Ihrem Azure-Abonnement bereitgestellt. Innerhalb dieser Ressourcengruppe wird ein verwaltetes Azure Storage-Konto bereitgestellt. Das verwaltete Speicherkonto wird zum Erfassen von Metadaten aus Datenquellen während der Überprüfung verwendet. Da diese Ressourcen von Microsoft Purview genutzt werden, können keine anderen Benutzer oder Prinzipale mit Ausnahme des Microsoft Purview-Kontos auf sie zugreifen. Dies liegt daran, dass zum Zeitpunkt der Bereitstellung des Microsoft Purview-Kontos automatisch eine Verweigerungszuweisung der rollenbasierten Zugriffssteuerung in Azure (RBAC) für alle Prinzipale zu dieser Ressourcengruppe hinzugefügt wird, wodurch CRUD-Vorgänge für diese Ressourcen verhindert werden, wenn sie nicht von Microsoft Purview initiiert werden.

Wo werden Metadaten gespeichert?

Microsoft Purview extrahiert während des Überprüfungsvorgangs nur die Metadaten aus verschiedenen Datenquellensystemen in Microsoft Purview Data Map.

Sie können ein Microsoft Purview-Konto in Ihrem Azure-Abonnement in allen unterstützten Azure-Regionen bereitstellen.

Alle Metadaten werden in Data Map in Ihrem Microsoft Purview-instance gespeichert. Dies bedeutet, dass die Metadaten in derselben Region wie Ihre Microsoft Purview-instance gespeichert werden.

Wie werden Metadaten aus Datenquellen extrahiert?

Mit Microsoft Purview können Sie eine der folgenden Optionen verwenden, um Metadaten aus Datenquellen zu extrahieren:

  • Azure-Runtime. Metadatendaten werden in derselben Region wie Ihre Datenquellen extrahiert und verarbeitet.

    Screenshot: Verbindungsfluss zwischen Microsoft Purview, der Azure-Runtime und Datenquellen

    1. Eine manuelle oder automatische Überprüfung wird vom Microsoft Purview Data Map über die Azure Integration Runtime initiiert.

    2. Die Azure Integration Runtime stellt eine Verbindung mit der Datenquelle her, um Metadaten zu extrahieren.

    3. Metadaten werden im verwalteten Microsoft Purview-Speicher in die Warteschlange eingereiht und in Azure Blob Storage gespeichert.

    4. Metadaten werden an den Microsoft Purview Data Map gesendet.

  • Selbstgehostete Integration Runtime. Metadaten werden von der selbstgehosteten Integration Runtime im Arbeitsspeicher der selbstgehosteten Integration Runtime-VMs extrahiert und verarbeitet, bevor sie an Microsoft Purview Data Map gesendet werden. In diesem Fall müssen Kunden eine oder mehrere selbstgehostete Windows-basierte Integration Runtime-VMs in ihren Azure-Abonnements oder lokalen Umgebungen bereitstellen und verwalten. Das Überprüfen lokaler und VM-basierter Datenquellen erfordert immer die Verwendung einer selbstgehosteten Integration Runtime. Die Azure Integration Runtime wird für diese Datenquellen nicht unterstützt. Die folgenden Schritte zeigen den Kommunikationsfluss auf hoher Ebene, wenn Sie eine selbstgehostete Integration Runtime verwenden, um eine Datenquelle zu überprüfen.

    Screenshot: Verbindungsfluss zwischen Microsoft Purview, einer selbstgehosteten Runtime und Datenquellen.

    1. Eine manuelle oder automatische Überprüfung wird ausgelöst. Microsoft Purview stellt eine Verbindung mit Azure Key Vault her, um die Anmeldeinformationen für den Zugriff auf eine Datenquelle abzurufen.

    2. Die Überprüfung wird vom Microsoft Purview Data Map über eine selbstgehostete Integration Runtime initiiert.

    3. Der selbstgehostete Integration Runtime-Dienst der VM stellt eine Verbindung mit der Datenquelle her, um Metadaten zu extrahieren.

    4. Metadaten werden im VM-Arbeitsspeicher für die selbstgehostete Integration Runtime verarbeitet. Metadaten werden im verwalteten Microsoft Purview-Speicher in die Warteschlange eingereiht und dann in Azure Blob Storage gespeichert.

    5. Metadaten werden an den Microsoft Purview Data Map gesendet.

    Wenn Sie Metadaten aus Datenquellen mit vertraulichen Daten extrahieren müssen, die die Grenzen Ihres lokalen Netzwerks nicht verlassen können, wird dringend empfohlen, die selbstgehostete Integration Runtime-VM in Ihrem Unternehmensnetzwerk bereitzustellen, in dem sich Datenquellen befinden, um Metadaten in der lokalen Umgebung zu extrahieren und zu verarbeiten und nur Metadaten an Microsoft Purview zu senden.

    Screenshot: Verbindungsfluss zwischen Microsoft Purview, einer lokalen selbstgehosteten Runtime und Datenquellen im lokalen Netzwerk.

    1. Eine manuelle oder automatische Überprüfung wird ausgelöst. Microsoft Purview stellt eine Verbindung mit Azure Key Vault her, um die Anmeldeinformationen für den Zugriff auf eine Datenquelle abzurufen.

    2. Die Überprüfung wird über die lokale selbstgehostete Integration Runtime initiiert.

    3. Der selbstgehostete Integration Runtime-Dienst der VM stellt eine Verbindung mit der Datenquelle her, um Metadaten zu extrahieren.

    4. Metadaten werden im VM-Arbeitsspeicher für die selbstgehostete Integration Runtime verarbeitet. Metadaten werden im verwalteten Microsoft Purview-Speicher in die Warteschlange eingereiht und dann in Azure Blob Storage gespeichert. Tatsächliche Daten verlassen niemals die Grenze Ihres Netzwerks.

    5. Metadaten werden an den Microsoft Purview Data Map gesendet.

Informationsschutz und -verschlüsselung

Azure bietet viele Mechanismen, um Daten im Ruhezustand und beim Wechsel von einem Standort an einen anderen privat zu halten. Bei Microsoft Purview werden ruhende Daten mit von Microsoft verwalteten Schlüsseln und bei der Übertragung von Daten mithilfe von Transport Layer Security (TLS) v1.2 oder höher verschlüsselt.

Transport Layer Security (Verschlüsselung während der Übertragung)

Daten während der Übertragung (auch als Daten in Bewegung bezeichnet) werden in Microsoft Purview verschlüsselt.

Um zusätzlich zu den Zugriffssteuerungen eine weitere Sicherheitsebene hinzuzufügen, schützt Microsoft Purview Kundendaten, indem daten in Bewegung mit Transport Layer Security (TLS) verschlüsselt und Daten während der Übertragung vor Out-of-Band-Angriffen (z. B. Traffic Capture) geschützt werden. Es verwendet Verschlüsselung, um sicherzustellen, dass Angreifer die Daten nicht einfach lesen oder ändern können.

Microsoft Purview unterstützt die Datenverschlüsselung während der Übertragung mit Transport Layer Security (TLS) v1.2 oder höher.

Weitere Informationen finden Sie unter Verschlüsseln vertraulicher Informationen während der Übertragung.

Transparente Datenverschlüsselung (Verschlüsselung ruhender Daten)

Ruhende Daten umfassen Informationen, die sich in einem persistenten Speicher auf physischen Medien in einem beliebigen digitalen Format befinden. Die Medien können Dateien auf magnetischen oder optischen Medien, archivierte Daten und Datensicherungen in Azure-Regionen enthalten.

Um zusätzlich zur Zugriffssteuerung eine weitere Sicherheitsebene hinzuzufügen, verschlüsselt Microsoft Purview ruhende Daten zum Schutz vor Out-of-Band-Angriffen (z. B. zugriff auf den zugrunde liegenden Speicher). Die Verschlüsselung wird mit von Microsoft verwalteten Schlüsseln verwendet. Diese Vorgehensweise trägt dazu bei, dass Angreifer die Daten nicht einfach lesen oder ändern können.

Weitere Informationen finden Sie unter Verschlüsseln vertraulicher ruhender Daten.

Optionale Event Hubs-Namespacekonfiguration

Jedes Microsoft Purview-Konto kann Event Hubs konfigurieren, auf die über den Atlas Kafka-Endpunkt zugegriffen werden kann. Dies kann bei der Erstellung unter Konfiguration oder über die Azure-Portal unter Kafka-Konfiguration aktiviert werden. Es wird empfohlen, den optionalen verwalteten Event Hub nur zu aktivieren, wenn er zum Verteilen von Ereignissen in oder außerhalb des Microsoft Purview-Kontos Data Map verwendet wird. Um diesen Informationsverteilungspunkt zu entfernen, konfigurieren Sie diese Endpunkte entweder nicht, oder entfernen Sie sie.

Um konfigurierte Event Hubs-Namespaces zu entfernen, können Sie die folgenden Schritte ausführen:

  1. Suchen Sie im Azure-Portal nach Ihrem Microsoft Purview-Konto, und öffnen Sie es.
  2. Wählen Sie kafka-Konfiguration unter Einstellungen auf der Seite Ihres Microsoft Purview-Kontos im Azure-Portal aus.
  3. Wählen Sie die Event Hubs aus, die Sie deaktivieren möchten. (Hookhubs senden Nachrichten an Microsoft Purview. Notification Hubs empfangen Benachrichtigungen.)
  4. Wählen Sie Entfernen aus, um die Auswahl zu speichern und den Deaktivierungsprozess zu starten. Dies kann einige Minuten dauern. Screenshot: Kafka-Konfigurationsseite der Microsoft Purview-Kontoseite im Azure-Portal mit hervorgehobener Schaltfläche

Hinweis

Wenn Sie einen privaten Erfassungsendpunkt haben, wenn Sie diesen Event Hubs-Namespace deaktivieren, wird nach dem Deaktivieren des privaten Erfassungsendpunkts möglicherweise als getrennt angezeigt.

Weitere Informationen zum Konfigurieren dieser Event Hubs-Namespaces finden Sie unter Konfigurieren von Event Hubs für Atlas Kafka-Themen.

Verwaltung von Anmeldeinformationen

Um Metadaten aus einem Datenquellensystem in Microsoft Purview Data Map zu extrahieren, müssen Die Datenquellensysteme in Microsoft Purview Data Map registriert und überprüft werden. Um diesen Prozess zu automatisieren, haben wir Connectors für verschiedene Datenquellensysteme in Microsoft Purview zur Verfügung gestellt, um den Registrierungs- und Überprüfungsprozess zu vereinfachen.

Um eine Verbindung mit einer Datenquelle herzustellen, benötigt Microsoft Purview Anmeldeinformationen mit schreibgeschütztem Zugriff auf das Datenquellensystem.

Es wird empfohlen, die Verwendung der folgenden Anmeldeinformationsoptionen für die Überprüfung nach Möglichkeit zu priorisieren:

  1. Verwaltete Microsoft Purview-Identität
  2. Benutzerseitig zugewiesene verwaltete Identität
  3. Dienstprinzipale
  4. Andere Optionen wie Kontoschlüssel, SQL-Authentifizierung usw.

Wenn Sie anstelle verwalteter Identitäten Optionen verwenden, müssen alle Anmeldeinformationen in einem Azure-Schlüsseltresor gespeichert und geschützt werden. Microsoft Purview erfordert get/list-Zugriff auf das Geheimnis für die Azure Key Vault-Ressource.

Im Allgemeinen können Sie die folgenden Optionen zum Einrichten der Integration Runtime und der Anmeldeinformationen verwenden, um Datenquellensysteme zu überprüfen:

Szenario Laufzeitoption Unterstützte Anmeldeinformationen
Datenquelle ist eine Azure Platform-as-a-Service-Instanz, z. B. Azure Data Lake Storage Gen 2 oder Azure SQL innerhalb eines öffentlichen Netzwerks. Option 1: Azure Runtime Verwaltete Microsoft Purview-Identität, Dienstprinzipal oder Zugriffsschlüssel/SQL-Authentifizierung (abhängig vom Azure-Datenquellentyp)
Datenquelle ist eine Azure Platform-as-a-Service-Instanz, z. B. Azure Data Lake Storage Gen 2 oder Azure SQL innerhalb eines öffentlichen Netzwerks. Option 2: Selbstgehostete Integration Runtime Dienstprinzipal oder Zugriffsschlüssel/SQL-Authentifizierung (abhängig vom Azure-Datenquellentyp)
Datenquelle ist eine Azure Platform-as-a-Service-Instanz, z. B. Azure Data Lake Storage Gen2 oder Azure SQL innerhalb eines privaten Netzwerks mit Azure Private Link Service. Selbstgehostete Integration Runtime Dienstprinzipal oder Zugriffsschlüssel/SQL-Authentifizierung (abhängig vom Azure-Datenquellentyp)
Die Datenquelle befindet sich in einer Azure-IaaS-VM, z. B. SQL Server In Azure bereitgestellte selbstgehostete Integration Runtime SQL-Authentifizierung oder Standardauthentifizierung (abhängig vom Azure-Datenquellentyp)
Die Datenquelle befindet sich in einem lokalen System wie SQL Server oder Oracle. In Azure oder im lokalen Netzwerk bereitgestellte selbstgehostete Integration Runtime SQL-Authentifizierung oder Standardauthentifizierung (abhängig vom Azure-Datenquellentyp)
Multicloud Azure-Runtime oder selbstgehostete Integration Runtime basierend auf Datenquellentypen Unterstützte Anmeldeinformationsoptionen variieren je nach Datenquellentypen.
Power BI-Mandant Azure-Runtime Verwaltete Microsoft Purview-Identität

In diesem Leitfaden erfahren Sie mehr über die einzelnen Quellen und die unterstützten Authentifizierungsoptionen.

Weitere Empfehlungen

Anwenden bewährter Sicherheitsmethoden für selbstgehostete Laufzeit-VMs

Erwägen Sie die Sicherung der Bereitstellung und Verwaltung von VMs der selbstgehosteten Integration Runtime in Azure oder Ihrer lokalen Umgebung, wenn die selbstgehostete Integration Runtime zum Überprüfen von Datenquellen in Microsoft Purview verwendet wird.

Befolgen Sie für selbstgehostete Integration Runtime-VMs, die als virtuelle Computer in Azure bereitgestellt werden, die Empfehlungen zu bewährten Sicherheitsmethoden für virtuelle Windows-Computer.

  • Sperren Sie eingehenden Datenverkehr für Ihre VMs mithilfe von Netzwerksicherheitsgruppen und Azure Defender-Zugriff auf Just-in-Time.
  • Installieren Sie Antiviren- oder Antischadsoftware.
  • Stellen Sie Azure Defender bereit, um Erkenntnisse zu potenziellen Anomalien auf den VMs zu erhalten.
  • Beschränken Sie die Softwaremenge auf den VMs der selbstgehosteten Integration Runtime. Obwohl es keine obligatorische Voraussetzung ist, über einen dedizierten virtuellen Computer für eine selbstgehostete Runtime für Microsoft Purview zu verfügen, wird dringend empfohlen, dedizierte VMs speziell für Produktionsumgebungen zu verwenden.
  • Überwachen Sie die VMs mithilfe von Azure Monitor für VMs. Mithilfe des Log Analytics-Agents können Sie Inhalte wie Leistungsmetriken erfassen, um die erforderliche Kapazität für Ihre VMs anzupassen.
  • Durch die Integration virtueller Computer in Microsoft Defender für Cloud können Sie Bedrohungen verhindern, erkennen und darauf reagieren.
  • Halten Sie Ihre Computer auf dem neuesten Stand. Sie können die automatische Windows Update aktivieren oder die Updateverwaltung in Azure Automation verwenden, um Updates auf Betriebssystemebene für das Betriebssystem zu verwalten.
  • Verwenden Sie mehrere Computer, um die Resilienz und Verfügbarkeit zu erhöhen. Sie können mehrere selbstgehostete Integration Runtimes bereitstellen und registrieren, um die Überprüfungen auf mehrere selbstgehostete Integration Runtime-Computer zu verteilen, oder die selbstgehostete Integration Runtime auf einer VM-Skalierungsgruppe bereitstellen, um eine höhere Redundanz und Skalierbarkeit zu erzielen.
  • Optional können Sie planen, Azure Backup von Ihren selbstgehosteten Integration Runtime-VMs zu aktivieren, um die Wiederherstellungszeit einer selbstgehosteten Integration Runtime-VM zu verlängern, wenn es zu einem Notfall auf VM-Ebene kommt.

Nächste Schritte