Schutz von Daten in Azure Stream Analytics
Azure Stream Analytics ist eine vollständig verwaltete Platform-as-a-Service-Lösung, mit der Sie Echtzeit-Analysepipelines erstellen können. Alle aufwändigen Aufgaben, z. B. die Clusterbereitstellung, die Skalierung von Knoten zur Erfüllung Ihrer Nutzungsanforderungen und die Verwaltung interner Prüfpunkte, werden im Hintergrund verwaltet.
Gespeicherte private Datenressourcen
Azure Stream Analytics speichert die folgenden Metadaten und Daten zur Ausführung:
Abfragedefinition und deren zugehörige Konfiguration
Benutzerdefinierte Funktionen oder Aggregate
Von der Stream Analytics-Runtime benötigte Prüfpunkte
Momentaufnahmen von Verweisdaten
Verbindungsdetails der Ressourcen, die von Ihrem Stream Analytics-Auftrag verwendet werden
Regionsbezogene Data Residency
Azure Stream Analytics speichert Kundendaten und andere Metadaten, die oben beschrieben sind. Kundendaten werden von Azure Stream Analytics standardmäßig in einer einzigen Region gespeichert, sodass dieser Dienst automatisch die Anforderungen hinsichtlich regionsbezogener Data Residency erfüllt, einschließlich der im Trust Center angegebenen Anforderungen. Außerdem können Sie auswählen, dass alle Datenassets (Kundendaten und andere Metadaten), die sich auf Ihren Stream Analytics-Auftrag beziehen, in einer einzigen Region gespeichert werden, indem Sie sie in einem Speicherkonto Ihrer Wahl verschlüsseln.
Verschlüsseln Ihrer Daten
Für Stream Analytics werden für die gesamte Infrastruktur automatisch die bestmöglichen Verschlüsselungsstandards genutzt, um Ihre Daten zu verschlüsseln und zu schützen. Sie können bei Stream Analytics darauf vertrauen, dass Ihre gesamten Daten sicher gespeichert werden, sodass Sie sich nicht um die Verwaltung der Infrastruktur kümmern müssen.
Falls Sie für die Verschlüsselung Ihrer Daten kundenseitig verwaltete Schlüssel verwenden möchten, können Sie Ihr eigenes Speicherkonto (Universell V1 oder V2) zum Speichern der privaten Datenressourcen nutzen, die von der Stream Analytics-Runtime benötigt werden. Ihr Speicherkonto kann bei Bedarf verschlüsselt werden. Von der Stream Analytics-Infrastruktur werden Ihre privaten Datenressourcen nicht dauerhaft gespeichert.
Die entsprechende Einstellung muss beim Erstellen eines Stream Analytics-Auftrags konfiguriert werden und ist während des Lebenszyklus des Auftrags nicht änderbar. Eine Änderung oder Löschung von Speicher, der von Ihrer Stream Analytics-Instanz genutzt wird, ist nicht zu empfehlen. Wenn Sie Ihr Speicherkonto löschen, werden alle privaten Datenressourcen dauerhaft gelöscht, und dies führt dazu, dass für Ihren Auftrag ein Fehler auftritt.
Die Aktualisierung oder Rotation von Schlüsseln für Ihr Speicherkonto ist mit dem Stream Analytics-Portal nicht möglich. Sie können die Schlüssel mit den REST-APIs aktualisieren. Sie können auch eine Verbindung mit Ihrem Auftragsspeicherkonto herstellen, indem Sie die Authentifizierung mit verwalteter Identität verwenden und vertrauenswürdige Dienste zulassen.
Wenn sich das Speicherkonto, das Sie verwenden möchten, in einem Azure Virtual Network befindet, müssen Sie den Authentifizierungsmodus „Verwaltete Identität“ mit Vertrauenswürdige Dienste zulassen verwenden. Weitere Informationen finden Sie unter Verbinden von Stream Analytics-Aufträgen mit Ressourcen in einem Azure Virtual Network (VNet).
Konfigurieren des Speicherkontos für private Daten
Verschlüsseln Sie Ihr Speicherkonto, um Ihre Daten zu schützen und den Speicherort Ihrer privaten Daten explizit auszuwählen.
Führen Sie die folgenden Schritte aus, um Ihr Speicherkonto für private Datenressourcen zu konfigurieren. Diese Konfiguration erfolgt über Ihren Stream Analytics-Auftrag und nicht über Ihr Speicherkonto.
Melden Sie sich beim Azure-Portal an.
Klicken Sie im Azure-Portal links oben auf Ressource erstellen.
Klicken Sie in der Ergebnisliste auf Analytics>Stream Analytics-Auftrag.
Fügen Sie auf der Seite des Stream Analytics-Auftrags die erforderlichen Details ein, z. B. Name, Region und Skalierung.
Aktivieren Sie das Kontrollkästchen Secure all private data assets needed by this job in my Storage account (Alle privaten Datenressourcen für diesen Auftrag unter meinem Speicherkonto sichern).
Wählen Sie in Ihrem Abonnement ein Speicherkonto aus. Beachten Sie, dass diese Einstellung während des Lebenszyklus des Auftrags nicht geändert werden kann. Außerdem können Sie diese Option nicht mehr hinzufügen, nachdem der Auftrag erstellt wurde.
Um sich mit einer Verbindungszeichenfolge zu authentifizieren, wählen Sie in der Dropdownliste „Authentifizierungsmodus“ die Option Verbindungszeichenfolge aus. Der Speicherkontoschlüssel wird automatisch aus Ihrem Abonnement ausgefüllt.
Für die Authentifizierung mit einer verwalteten Identität wählen Sie in der Dropdownliste „Authentifizierungsmodus“ die Option Verwaltete Identität aus. Wenn Sie „Verwaltete Identität“ auswählen, müssen Sie Ihren Stream Analytics-Auftrag der Zugriffssteuerungsliste des Speicherkontos mit der Rolle Mitwirkender an Storage-Blobdaten hinzufügen. Wenn Sie dem Auftrag keinen Zugriff gewähren, kann er keine Vorgänge ausführen. Weitere Informationen zum Gewähren von Zugriff finden Sie unter Verwenden von Azure RBAC zum Zuweisen des Zugriffs einer verwalteten Identität auf eine andere Ressource.
Von Stream Analytics gespeicherte private Datenressourcen
Alle privaten Daten, die von Stream Analytics dauerhaft aufbewahrt werden müssen, werden unter Ihrem Speicherkonto gespeichert. Beispiele für private Datenressourcen:
Von Ihnen erstellte Abfragen und zugehörige Konfigurationen
Benutzerdefinierte Funktionen
Von der Stream Analytics-Runtime benötigte Prüfpunkte
Momentaufnahmen von Verweisdaten
Verbindungsdetails Ihrer Ressourcen, die von Ihrem Stream Analytics-Auftrag genutzt werden, werden ebenfalls gespeichert. Verschlüsseln Sie Ihr Speicherkonto, um Ihre gesamten Daten zu schützen.
Ermöglicht Data Residency
Sie können dieses Feature verwenden, um Ihre Data Residency-Anforderungen durchzusetzen, indem Sie ein entsprechendes Speicherkonto bereitstellen.