Comprensión de las consideraciones de seguridad de la ingesta de datos
La integración de datos requiere un tratamiento seguro de los datos tanto en reposo como en tránsito. Antes de crear la solución de integración de datos, la fase de diseño debe tener en cuenta los requisitos de seguridad. Esto proporcionará inicialmente la cobertura de los sistemas de origen y cómo se ingieren los datos de estos. Sin embargo, es necesario tener un enfoque holístico, que también encapsule la seguridad de los almacenes de datos intermedios en las siguientes áreas.
Red
Hay una serie de problemas que debe tener en cuenta al configurar la seguridad de la red. Es posible que tenga que trabajar con el administrador de Azure de su organización para administrar algunas de estas áreas.
Uso de redes virtuales para proteger los recursos de Azure
Las redes virtuales permiten una comunicación segura entre los servicios de Azure o con los servidores de la red local. Las redes virtuales o VNets son el bloque de creación fundamental para configurar las redes privadas. Permiten la comunicación segura entre los recursos de Azure, los servicios de Internet y el servidor en las redes locales. Azure Data Factory puede ingerir datos de un servidor local o de una máquina virtual hospedada en Azure. Para ello, se puede implementar un entorno de ejecución de integración autohospedado en un servidor dentro de una red virtual. Para restringir el acceso, debe configurar un grupo de seguridad de red (NSG) para que permita solo el acceso administrativo. Al usar Azure-SSIS Integration Runtime, se le ofrece la opción de unirse a una red virtual. Al aceptar esta opción, Azure Data Factory puede crear recursos de red; un ejemplo de ello es que Azure Data Factory crea automáticamente un grupo de seguridad de red y que el puerto 3389 está abierto para todo el tráfico de forma predeterminada. Se debe bloquear para garantizar que solo los administradores tienen acceso.
Uso de los servicios para detectar y evitar intrusiones
Puede denegar la comunicación con direcciones IP conocidas; para ello, habilite el estándar de protección contra denegación de servicio distribuido (DDoS) en las redes virtuales en las que se hospeda el entorno de ejecución de integración. Además, puede usar la inteligencia sobre amenazas integrada de Azure Security Center para denegar las comunicaciones con direcciones IP malintencionadas conocidas o no utilizadas. Se puede usar Azure Firewall con inteligencia sobre amenazas para controlar el acceso a la red. Si se requiere la detección y/o prevención de intrusiones basada en la inspección de la carga, puede redirigir el tráfico a un dispositivo de firewall mediante la tunelización forzada de Azure ExpressRoute o a una aplicación virtual de red que admita esta funcionalidad.
Simplificación de la administración de las reglas de seguridad mediante etiquetas de servicio de red
Las redes virtuales se pueden configurar con etiquetas de servicio. Las etiquetas de servicio permiten agrupar los prefijos de dirección IP de un servicio de Azure determinado con fines administrativos. Mediante el uso de las etiquetas de servicio, puede crear reglas de seguridad de red en grupos de seguridad de red basados en etiquetas de servicio para reducir las sobrecargas administrativas. Al especificar el nombre de la etiqueta de servicio (por ejemplo, DataFactoryManagement) en el campo de origen o destino apropiado de una regla, puede permitir o denegar el tráfico de entrada para el servicio correspondiente.
Control de identidades y acceso
La administración del acceso a los datos es un aspecto importante que se debe tener en cuenta. A continuación se enumeran algunas áreas que se deben tener en cuenta.
Cuentas administrativas
Las cuentas administrativas que se usan para trabajar y administrar Azure Data Factory deben ser cuentas conocidas y dedicadas que se supervisan y administran de forma periódica para asegurarse de que no se ven comprometidas. Para crear instancias de Data Factory, la cuenta de usuario que use para iniciar sesión en Azure debe ser un miembro de los roles colaborador o propietario, o ser administrador de la suscripción de Azure. En entornos de alta seguridad, considere la posibilidad de usar máquinas dedicadas para el acceso administrativo a cualquier tarea administrativa de ADF.
Uso de Active Directory para utilizar el inicio de sesión único
Registre las entidades de servicio en Microsoft Entra ID para aprovechar la administración de tokens de modo que el servicio Azure Data Factory optimice su autenticación en todos los recursos de Azure. Una factoría de datos se puede asociar con una identidad administrada para recursos de Azure que representa esa factoría de datos concreta. Esta identidad administrada se puede usar para la autenticación de Azure SQL Database. Puede acceder a la factoría designada y copiar datos desde la base de datos o en la base de datos usando esta identidad.
Protección de los datos
Es posible que tenga que realizar consideraciones especiales para tipos específicos de datos, como datos médicos o datos financieros, en las siguientes áreas.
Uso del control de acceso basado en roles (RBAC) para controlar el acceso a los recursos
Use RBAC en los orígenes de datos para controlar el acceso a los datos de la entidad de servicio de Azure Data Factory.
Información confidencial
Hay una serie de aspectos que debe tener en cuenta al trabajar con datos confidenciales, como los siguientes:
- Mantener una lista de los almacenes de datos que contienen información confidencial
- Aislar los sistemas que almacenan o procesan información confidencial
- Supervisión y bloqueo de una transferencia no autorizada de información confidencial
- Cifrar toda la información confidencial que pasa en tránsito
- Cifrar toda la información confidencial en reposo
Registro y supervisión
También es importante entender quién accede a los datos y las consideraciones de seguridad deben implicar las siguientes áreas.
Configuración de la administración central de registros de seguridad
Use Azure Monitor para centralizar el almacenamiento de los registros de ingesta que genera Azure Data Factory y realizar consultas en ellos mediante Log Analytics. Además, configure una estrategia para almacenar los registros a largo plazo en cuentas de Azure Storage de modo que tenga los datos para establecer las líneas base de las actividades de ingesta de ADF.
Supervisión y registro de la configuración y el tráfico de paquetes de red de redes virtuales, subredes y NIC
Habilite los registros de flujo de grupo de seguridad de red (NSG) para el NSG que protege la implementación de Integration Runtime y envíe registros a una cuenta de Azure Storage para la auditoría del tráfico. También puede enviar registros de flujo de grupo de seguridad de red a un área de trabajo de Log Analytics y usar el Análisis de tráfico para proporcionar información detallada sobre el flujo de tráfico en la nube de Azure.
Habilitación del registro de auditoría
Puede usar la configuración de diagnóstico de Azure Data Factory para configurar los registros de diagnóstico para realizar el seguimiento de los datos de ejecución de canalización, que se conservan durante 45 días. Puede guardar los registros de diagnóstico en cuentas de Azure Storage para su posterior análisis.
Habilitación de alertas en las actividades
La configuración de diagnóstico para Azure Data Factory que envía registros a Log Analytics puede tener alertas configuradas para varios conjuntos predefinidos de condiciones que pueden alertar a un administrador sobre las actividades.
Siga el estándar de registro y supervisión estándar de la organización.
Compruebe los estándares de la organización para el registro y la supervisión y ajústese al estándar, incluidos:
- Registro de auditoría
- Registros de seguridad
- Registro antimalware
- Directivas de retención de registros