Datenschutz für Analysen auf Cloudebene in Azure
Mit Analysen auf Cloudebene können Organisationen die optimalen Datenzugriffsmuster für ihre Anforderungen ermitteln und gleichzeitig personenbezogene Daten auf mehreren Ebenen schützen. Personenbezogene Daten sind alle Informationen, anhand derer Einzelpersonen identifiziert werden können – also z. B. Führerscheinnummern, Sozialversicherungsnummern, Bankkontodetails, Reisepassnummern, E-Mail-Adressen und Ähnliches. Heutzutage bestehen viele Vorschriften für den Datenschutz der Benutzer.
Um den Datenschutz mit einer Cloudumgebung wie Azure zu wahren, können Sie zunächst ein Datenvertraulichkeitsschema erstellen, das Datenzugriffsrichtlinien angibt. Diese Richtlinien können die zugrunde liegende Architektur definieren, in der sich die Datenanwendung befindet. Außerdem können sie definieren, wie der Datenzugriff autorisiert wird, sowie angeben, auf welche Zeilen oder Spalten nach der Autorisierung zugegriffen werden kann.
Erstellen eines Klassifizierungsschemas für die Vertraulichkeit von Daten
| Klassifizierung | Beschreibung |
|---|---|
| Öffentlich | Jeder kann auf die Daten zugreifen, und die Daten können an jeden gesendet werden (z. B. offene Verwaltungsdaten). |
| Nur interne Verwendung. | Nur Mitarbeiter können auf die Daten zugreifen, und die Daten können nicht an Empfänger außerhalb des Unternehmens gesendet werden. |
| Vertraulich | Die Daten können nur geteilt werden, wenn sie für einen bestimmten Vorgang erforderlich sind. Ohne Geheimhaltungsvereinbarung können die Daten nicht an Empfänger außerhalb des Unternehmens gesendet werden. |
| Vertraulich (personenbezogene Daten) | Die Daten enthalten private Informationen, die maskiert und nur nach dem Need-to-know-Prinzip für eine begrenzte Zeit geteilt werden dürfen. Die Daten können nicht an nicht autorisierte Mitarbeiter oder an Personen außerhalb des Unternehmens gesendet werden. |
| Eingeschränkt | Die Daten können nur mit benannten Personen geteilt werden, die für den Schutz der Daten verantwortlich sind (z. B. juristische Dokumente oder Geschäftsgeheimnisse). |
Vor der Erfassung von Daten müssen Sie die Daten entweder als Daten mit geringem bis mittlerem Vertraulichkeitsgrad oder als vertraulich (personenbezogene Daten) kategorisieren:
- Daten können als Daten mit geringem bis mittlerem Vertraulichkeitsgrad kategorisiert werden, wenn keine Einschränkungen bezüglich der Spalten und Zeilen gelten, die für unterschiedliche Benutzer angezeigt werden.
- Daten können als vertraulich (personenbezogene Daten) kategorisiert werden, wenn Einschränkungen bezüglich der Spalten und Zeilen gelten, die für unterschiedliche Benutzer angezeigt werden.
Wichtig
Die Kategorie eines Datasets kann sich von Daten mit geringem bis mittlerem Vertraulichkeitsgrad in vertraulich (personenbezogene Daten) ändern, wenn Daten mit anderen Datenprodukten kombiniert werden, die zuvor eine niedrigere Klassifizierung hatten. Wenn Daten persistent sein müssen, sollten sie in einen bestimmten Ordner verschoben werden, der sich nach der Vertraulichkeitsstufe und nach dem Onboardingprozess richtet.
Erstellen von Azure-Richtlinien
Nachdem Sie Ihre Datenklassifizierung zugeordnet haben, muss die Klassifizierung mit lokalen Richtlinienanforderungen der regulierten Branche und mit Ihren internen Unternehmensrichtlinien abgestimmt werden. Dieser Schritt hilft Ihnen dabei, Azure-Richtlinien zu erstellen, die steuern, welche Infrastruktur bereitgestellt werden kann, wo sie bereitgestellt werden kann und welche Netzwerk- und Verschlüsselungsstandards verwendet werden.
Für regulierte Branchen hat Microsoft viele politische Initiativen zur Einhaltung gesetzlicher Bestimmungen entwickelt, die als Baseline für Compliance-Frameworks fungieren.
Für die Datenklassifizierung, die den gleichen Regeln für Verschlüsselung und zulässige Infrastruktur-SKUs folgt, und für politische Initiativen können sich die Daten in der gleichen Zielzone befinden.
Eingeschränkte Daten sollten in einer dedizierten Datenzielzone unter einer Verwaltungsgruppe gehostet werden, in der Sie höhere Infrastrukturanforderungen definieren können – etwa kundenseitig verwaltete Schlüssel für die Verschlüsselung sowie Ein- oder Ausgangsbeschränkungen, die auf die Zielzone angewendet werden.
Hinweis
In der Anleitung wurde die Platzierung von vertraulichen (personenbezogenen) Daten und von Daten mit geringem bis mittlerem Vertraulichkeitsgrad in der gleichen Datenzielzone, aber in unterschiedlichen Speicherkonten untersucht. Dies macht die Lösung jedoch unter Umständen in der Netzwerkschicht kompliziert (etwa mit Netzwerksicherheitsgruppen).
Jede bereitgestellte Datengovernancelösung sollte einschränken, wer im Katalog nach eingeschränkten Daten suchen kann.
Implementieren Sie ggf. auch den bedingten Zugriff von Microsoft Entra ID für alle Datenressourcen und Dienste sowie Just-In-Time-Zugriff für eingeschränkte Daten, um die Sicherheit zu verbessern.
Verschlüsselung
Zusätzlich zur Definition von Richtlinien für den Standort und für zulässige Azure-Dienste empfiehlt es sich, die Verschlüsselungsanforderungen für die jeweilige Datenklassifizierung zu berücksichtigen.
- Welche Anforderungen haben Sie an die Schlüsselverwaltung?
- Welche Anforderungen haben Sie hinsichtlich der Speicherung dieser Schlüssel?
- Was sind Ihre klassifizierungsspezifischen Anforderungen für die Verschlüsselung ruhender Daten?
- Was sind Ihre klassifizierungsspezifischen Anforderungen für die Verschlüsselung von Daten während der Übertragung?
- Was sind Ihre klassifizierungsspezifischen Anforderungen für die Verschlüsselung aktiv verwendeter Daten?
Für die Schlüsselverwaltung können Verschlüsselungsschlüssel plattformseitig oder kundenseitig verwaltet werden. Microsoft hat die Schlüsselverwaltung in Azure dokumentiert, um Ihnen bei der Wahl einer Schlüsselverwaltungslösung zu helfen. Weitere Informationen finden Sie in der Übersicht über die Schlüsselverwaltung in Azure sowie unter Auswählen der richtigen Schlüsselverwaltungslösung.
Microsoft hat Dokumentationsmaterial veröffentlicht, in dem die Verschlüsselung ruhender Daten in Azure sowie die Datenverschlüsselungsmodelle erläutert werden, damit Sie die verfügbaren Verschlüsselungsoptionen besser verstehen können.
Microsoft gibt Kunden die Möglichkeit, das TLS-Protokoll (Transport Layer Security) zum Schutz von Daten bei der Übertragung zwischen Clouddiensten und Kunden zu verwenden. Weitere Informationen finden Sie unter Verschlüsselung von Daten während der Übertragung.
Falls In Ihrem Szenario Daten während der Verwendung verschlüsselt bleiben müssen, zielt das Bedrohungsmodell „Confidential Computing in Azure“ darauf ab, das Vertrauen zu minimieren oder dafür zu sorgen, dass keine Cloudanbieteroperatoren oder anderer Akteure in der Domäne des Mandanten während der Ausführung auf Code und Daten zugreifen können.
Informationen zu aktuellen Angeboten für Confidential Computing in Azure finden Sie unter Azure Confidential Computing-Produkte.
Datengovernance
Nachdem Sie die Richtlinien für die Bereitstellung zulässiger Azure-Dienste definiert haben, müssen Sie entscheiden, wie Zugriff auf das Datenprodukt gewährt werden soll.
Wenn Sie über eine Datengovernancelösung wie Microsoft Purview oder Azure Databricks Unity Catalog verfügen, können Sie Datenressourcen/-produkte für angereicherte und kuratierte Data Lake-Ebenen erstellen. Stellen Sie sicher, dass Sie die Berechtigungen im Datenkatalog so festlegen, dass diese Datenobjekte geschützt sind.
Microsoft Purview bietet zentrale Verwaltungs-, Schutz- und Steuerungsfunktionen:
- Zugriff auf Daten
- Datenlebenszyklus:
- Interne und externe Richtlinien und Vorschriften
- Richtlinien für die Datenfreigabe
- Identifizieren von vertraulichen (personenbezogenen) Daten
- Einblicke in Schutz und Konformität
- Richtlinien für die Berichterstellung zum Datenschutz
Weitere Informationen zur Verwaltung des Lese- oder Änderungszugriffs mit Microsoft Purview finden Sie unter Konzepte für Microsoft Purview-Datenbesitzerrichtlinien.
Unabhängig davon, ob Sie Microsoft Purview oder eine andere Datengovernancelösung implementieren möchten, müssen Richtlinien mithilfe von Microsoft Entra ID-Gruppen auf Datenprodukte angewendet werden.
Es ist wichtig, für die Integration eines neuen Datasets die REST-API der Datengovernancelösung zu verwenden. Datenanwendungsteams erstellen Datenprodukte und registrieren sie bei der Datengovernancelösung, um vertrauliche (personenbezogene) Daten zu identifizieren. Die Datengovernancelösung importiert die Definition und verweigert jeglichen Datenzugriff, bis die Teams die entsprechenden Zugriffsrichtlinien eingerichtet haben.
Schützen vertraulicher Daten mithilfe von Mustern
Es gibt mehrere Muster, die eingeführt werden können – abhängig von den Daten, Diensten und Richtlinien, die Sie zum Schutz vertraulicher Daten implementieren müssen.
Mehrere Kopien
Für jedes Datenprodukt, das als vertraulich (personenbezogene Daten) klassifiziert ist, werden durch die zugehörige Pipeline zwei Kopien erstellt. Die erste Kopie wird als Daten mit geringem bis mittlerem Vertraulichkeitsgrad klassifiziert. Bei dieser Kopie wurden alle Spalten vom Typ vertraulich (personenbezogene Daten) entfernt, und sie wird im Ordner für Daten mit geringem bis mittlerem Vertraulichkeitsgrad für das Datenprodukt erstellt. Die andere Kopie wird im Ordner für vertrauliche (personenbezogene) Daten erstellt und beinhaltet alle vertraulichen Daten. Jedem Ordner wird eine Microsoft Entra ID-Sicherheitsgruppe mit Leseberechtigungen und eine Microsoft Entra ID-Sicherheitsgruppe mit Schreibberechtigungen zugewiesen.
Wenn Microsoft Purview verwendet wird, können Sie beide Versionen des Datenprodukts registrieren und Richtlinien verwenden, um die Daten zu schützen.
Dieser Prozess trennt zwar vertrauliche (personenbezogene) Daten und Daten mit geringem bis mittlerem Vertraulichkeitsgrad, ein Benutzer, dem Zugriff auf vertrauliche (personenbezogene) Daten gewährt wurde, kann jedoch alle Zeilen abfragen. Möglicherweise muss Ihre Organisation nach anderen Lösungen suchen, die Sicherheit auf Zeilenebene zum Filtern von Zeilen bieten.
Sicherheit auf Zeilen- und Spaltenebene
Wenn Sie Zeilen filtern müssen, die Benutzern angezeigt werden, können Sie Ihre Daten in eine Computelösung verschieben, die Sicherheit auf Zeilenebene verwendet.
Die Wahl des passenden Azure-Diensts oder der passenden Microsoft Fabric-Lösung für Ihren speziellen Anwendungsfall ist wichtig, um Überarbeitungen vorzubeugen. Eine OLTP-Datenbank eignet sich nicht für umfangreiche Analysen. Umgekehrt kann eine auf Big Data-Analysen zugeschnittene Lösung keine Reaktionszeiten im Millisekundenbereich erzielen, wie sie bei einer E-Commerce-Anwendung benötigt werden.
Um mit Lösungen zu arbeiten, die Sicherheit auf Zeilenebene unterstützen, erstellen die Datenanwendungsteams verschiedene Microsoft Entra ID-Gruppen und weisen Berechtigungen basierend auf der Vertraulichkeit der Daten zu.
Zur weiteren Betrachtung des Szenarios legen wir fest, dass neben Sicherheit auf Zeilenebene auch der Zugriff auf bestimmte Spalten eingeschränkt werden muss. Die Datenanwendungsteams haben die vier Microsoft Entra ID-Gruppen mit schreibgeschütztem Zugriff erstellt, wie in der folgenden Tabelle zu sehen:
| Gruppieren | Berechtigung |
|---|---|
DA-AMERICA-HRMANAGER-R |
Anzeigen der Personaldatenressource des Personalwesens für Nordamerika mit Gehaltsinformationen. |
DA-AMERICA-HRGENERAL-R |
Anzeigen der Personaldatenressource des Personalwesens für Nordamerika ohne Gehaltsinformationen. |
DA-EUROPE-HRMANAGER-R |
Anzeigen der Personaldatenressource des Personalwesens für Europa mit Gehaltsinformationen. |
DA-EUROPE-HRGENERAL-R |
Anzeigen der Personaldatenressource des Personalwesens für Europa ohne Gehaltsinformationen. |
Die erste Ebene der Einschränkungen unterstützt die dynamische Datenmaskierung, durch die für Benutzer ohne Berechtigungen vertrauliche Daten ausblendet werden. Dieser Ansatz bietet den Vorteil, dass er mit einer REST-API in das Onboarding eines Datasets integriert werden kann.
Die zweite Ebene von Einschränkungen besteht im Hinzufügen von Sicherheit auf Spaltenebene, um zu verhindern, dass Mitarbeitern ohne Personalverantwortung Gehälter angezeigt werden, sowie im Hinzufügen von Sicherheit auf Zeilenebene, um die Zeilen einzuschränken, die für europäische und nordamerikanische Teammitglieder angezeigt werden.
Spaltenverschlüsselung
Die dynamische Datenmaskierung maskiert die Daten dort, wo sie angezeigt werden. Es gibt jedoch Anwendungsfälle, in denen die Lösung nie Zugriff auf die Nur-Text-Daten haben darf.
SQL Always Encrypted ist ein leistungsstarkes Feature von Microsoft, das die Sicherheit vertraulicher Daten verbessert, die in SQL Server-Datenbanken gespeichert sind. SQL Always Encrypted stellt sicher, dass vertrauliche Daten, die in SQL Server-Datenbanken gespeichert sind, stets sicher und vor unbefugtem Zugriff geschützt sind. Dieses Feature trägt dazu bei, maximale Datenvertraulichkeit und Einhaltung gesetzlicher Bestimmungen zu gewährleisten, indem die Daten sowohl im Ruhezustand als auch während der Übertragung verschlüsselt werden.
Durch clientseitige Ver- und Entschlüsselungsvorgänge stellt Always Encrypted sicher, dass vertrauliche Daten stets vor unbefugtem Zugriff geschützt sind. Die einfache Integration und die Compliancevorteile machen es zu einem wichtigen Tool für Organisationen, die ihre wertvollsten Datenressourcen schützen möchten.