Schutz von Daten in Azure Stream Analytics
Azure Stream Analytics ist eine vollständig verwaltete Platform-as-a-Service-Lösung, mit der Sie Echtzeit-Analysepipelines erstellen können. Alle aufwändigen Aufgaben, z. B. die Clusterbereitstellung, die Skalierung von Knoten zur Erfüllung Ihrer Nutzungsanforderungen und die Verwaltung interner Prüfpunkte, werden im Hintergrund verwaltet.
Gespeicherte private Datenressourcen
Azure Stream Analytics speichert die folgenden Metadaten und Daten zur Ausführung:
Abfragedefinition und deren zugehörige Konfiguration
Benutzerdefinierte Funktionen oder Aggregate
Von der Stream Analytics-Runtime benötigte Prüfpunkte
Momentaufnahmen von Verweisdaten
Verbindungsdetails der Ressourcen, die von Ihrem Stream Analytics-Auftrag verwendet werden
Regionsbezogene Data Residency
Azure Stream Analytics speichert Kundendaten und andere Metadaten, die zuvor beschrieben sind. Azure Stream Analytics speichert Kundendaten standardmäßig in einer einzigen Region, sodass dieser Dienst automatisch die Anforderungen hinsichtlich regionsbezogener Data Residency erfüllt, einschließlich der im Trust Center angegebenen Anforderungen. Außerdem können Sie auswählen, dass alle Datenassets (Kundendaten und andere Metadaten), die sich auf Ihren Stream Analytics-Auftrag beziehen, in einer einzigen Region gespeichert werden, indem Sie sie in einem Speicherkonto Ihrer Wahl verschlüsseln.
Verschlüsseln Ihrer Daten
Für Stream Analytics werden für die gesamte Infrastruktur automatisch die bestmöglichen Verschlüsselungsstandards genutzt, um Ihre Daten zu verschlüsseln und zu schützen. Sie können bei Stream Analytics darauf vertrauen, dass Ihre gesamten Daten sicher gespeichert werden, sodass Sie sich nicht um die Verwaltung der Infrastruktur kümmern müssen.
Falls Sie für die Verschlüsselung Ihrer Daten kundenseitig verwaltete Schlüssel verwenden möchten, können Sie Ihr eigenes Speicherkonto (Universell V1 oder V2) zum Speichern der privaten Datenressourcen nutzen, die von der Stream Analytics-Runtime benötigt werden. Ihr Speicherkonto kann bei Bedarf verschlüsselt werden. Von der Stream Analytics-Infrastruktur werden Ihre privaten Datenressourcen nicht dauerhaft gespeichert.
Die entsprechende Einstellung muss beim Erstellen eines Stream Analytics-Auftrags konfiguriert werden und ist während des Lebenszyklus des Auftrags nicht änderbar. Eine Änderung oder Löschung von Speicher, der von Ihrer Stream Analytics-Instanz genutzt wird, ist nicht zu empfehlen. Wenn Sie Ihr Speicherkonto löschen, werden alle privaten Datenressourcen dauerhaft gelöscht, und dies führt dazu, dass für Ihren Auftrag ein Fehler auftritt.
Die Aktualisierung oder Rotation von Schlüsseln für Ihr Speicherkonto ist mit dem Stream Analytics-Portal nicht möglich. Sie können die Schlüssel mit den REST-APIs aktualisieren. Sie können auch eine Verbindung mit Ihrem Auftragsspeicherkonto herstellen, indem Sie die Authentifizierung mit verwalteter Identität verwenden und vertrauenswürdige Dienste zulassen.
Wenn sich das Speicherkonto, das Sie verwenden möchten, in einem Azure Virtual Network befindet, müssen Sie den Authentifizierungsmodus „Verwaltete Identität“ mit Vertrauenswürdige Dienste zulassen verwenden. Weitere Informationen finden Sie unter Verbinden von Stream Analytics-Aufträgen mit Ressourcen in einem virtuellen Azure-Netzwerk.
Konfigurieren des Speicherkontos für private Daten
Verschlüsseln Sie Ihr Speicherkonto, um Ihre Daten zu schützen und den Speicherort Ihrer privaten Daten explizit auszuwählen.
Führen Sie die folgenden Schritte aus, um Ihr Speicherkonto für private Datenressourcen zu konfigurieren. Diese Konfiguration erfolgt über Ihren Stream Analytics-Auftrag und nicht über Ihr Speicherkonto.
Melden Sie sich beim Azure-Portal an.
Klicken Sie im Azure-Portal links oben auf Ressource erstellen.
Klicken Sie in der Ergebnisliste auf Analytics>Stream Analytics-Auftrag.
Fügen Sie auf der Seite des Stream Analytics-Auftrags die erforderlichen Details ein, z. B. Name, Region und Skalierung.
Aktivieren Sie das Kontrollkästchen Secure all private data assets needed by this job in my Storage account (Alle privaten Datenressourcen für diesen Auftrag unter meinem Speicherkonto sichern).
Wählen Sie in Ihrem Abonnement ein Speicherkonto aus. Diese Einstellung kann während des Lebenszyklus des Auftrags nicht geändert werden. Außerdem können Sie diese Option nicht mehr hinzufügen, nachdem der Auftrag erstellt wurde.
Um sich mit einer Verbindungszeichenfolge zu authentifizieren, wählen Sie in der Dropdownliste „Authentifizierungsmodus“ die Option Verbindungszeichenfolge aus. Der Speicherkontoschlüssel wird automatisch aus Ihrem Abonnement ausgefüllt.
Für die Authentifizierung mit einer verwalteten Identität wählen Sie in der Dropdownliste „Authentifizierungsmodus“ die Option Verwaltete Identität aus. Wenn Sie „Verwaltete Identität“ auswählen, müssen Sie Ihren Stream Analytics-Auftrag der Zugriffssteuerungsliste des Speicherkontos mit der Rolle Mitwirkender an Storage-Blobdaten hinzufügen. Wenn Sie Ihrem Auftrag keinen Zugriff gewähren, kann der Auftrag keine Vorgänge ausführen. Weitere Informationen dazu, wie sie Zugriff gewähren, finden Sie unter Zuweisen einer Azure-Rolle für den Zugriff auf Blobdaten.
Von Stream Analytics gespeicherte private Datenressourcen
Alle privaten Daten, die von Stream Analytics dauerhaft aufbewahrt werden müssen, werden unter Ihrem Speicherkonto gespeichert. Beispiele für private Datenressourcen:
Von Ihnen erstellte Abfragen und zugehörige Konfigurationen
Benutzerdefinierte Funktionen
Von der Stream Analytics-Runtime benötigte Prüfpunkte
Momentaufnahmen von Verweisdaten
Verbindungsdetails Ihrer Ressourcen, die von Ihrem Stream Analytics-Auftrag genutzt werden, werden ebenfalls gespeichert. Verschlüsseln Sie Ihr Speicherkonto, um Ihre gesamten Daten zu schützen.
Ermöglicht Data Residency
Sie können dieses Feature verwenden, um Ihre Data Residency-Anforderungen durchzusetzen, indem Sie ein entsprechendes Speicherkonto bereitstellen.