Aprovisionamiento de la seguridad para el análisis a escala de la nube en Azure
En este artículo se explica cómo su organización puede implementar el aprovisionamiento de seguridad a través del acceso a los datos y la administración de derechos en Azure.
Administración del acceso a datos
Las organizaciones pueden usar la autenticación y la autorización para controlar el acceso a los servicios del escenario. En nuestra sección de procedimientos recomendados se proporcionan instrucciones para configurar la seguridad de cada servicio en particular. Por ejemplo, en la sección de procedimientos recomendados de Azure Data Lake se describen las configuraciones de control de acceso y lago de datos en Azure Data Lake Storage.
En los artículos anteriores, hemos descrito cómo incorporar aplicaciones de datos que crean los productos de datos. Nuestro enfoque se ha centrado principalmente en el uso de la automatización en la mayor medida posible.
Dentro de la plataforma de Azure, hay dos maneras de proporcionar acceso a los productos de datos:
- Uso de Azure Purview (directivas de datos)
- Uso de un marketplace de datos personalizado, que concede acceso a través de la administración de derechos de Microsoft Entra
El método de Azure Purview se explica en el aprovisionamiento de conjuntos de datos por parte de los propietarios de datos para Azure Storage. Tenga en cuenta que los propietarios de datos también pueden definir directivas para grupos de recursos y suscripciones.
En este artículo se explica cómo puede usar la administración de derechos de Microsoft Entra con un marketplace de datos personalizado para dar acceso a los productos de datos.
Nota:
Cada empresa debe definir su proceso de gobernanza de datos en detalle para cada producto de datos. Por ejemplo, los datos con una clasificación pública o solo de uso interno pueden estar protegidos por los recursos, pero todo lo que tenga nivel confidencial o superior se protege mediante las opciones descritas en la privacidad de los datos para el análisis a escala de la nube en Azure. Para obtener más tipos de clasificación, consulte Requisitos para gobernar datos de Azure en empresas modernas.
Administración de derechos de Microsoft Entra
La administración de derechos es una característica de gobernanza de identidad que permite a las organizaciones administrar el ciclo de vida de identidad y acceso a escala, mediante la automatización de los flujos de trabajo de solicitud de acceso, las asignaciones de acceso, las revisiones y la expiración. En el vídeo sobre la administración de derechos de Microsoft Entra, podrá ver un resumen de la administración de derechos y su valor.
En este artículo se presupone que usted está familiarizado con la administración de derechos de Microsoft Entra ID o que al menos ha estudiado la documentación de Microsoft y entiende la terminología siguiente.
| Término | Descripción |
|---|---|
| Paquete de acceso | Un conjunto de recursos que necesita un equipo o proyecto, regido por una directiva. Un paquete de acceso siempre se encuentra en un catálogo. Se crea un paquete de acceso para un escenario en el que los usuarios necesiten solicitar acceso. |
| Solicitud de acceso | Solicitud para acceder a los recursos de un paquete de acceso. Las solicitudes de acceso suelen pasar por un flujo de trabajo de aprobación. Si se aprueban, el solicitante recibe una asignación de paquete de acceso. |
| Asignación | Una asignación de un paquete de acceso a un usuario. Se le proporciona al usuario todos los roles de recursos de un paquete de acceso. Normalmente, las asignaciones de paquetes de acceso se establecen para que expiren después de un tiempo determinado. |
| Catálogo | Un contenedor de recursos relacionados y paquetes de acceso. Los catálogos se emplean en la delegación, de modo que las personas que no son administradores pueden crear sus propios paquetes de acceso. Los propietarios de catálogos pueden agregar recursos de su propiedad a un catálogo. |
| Creador de catálogos | Un usuario autorizado para crear nuevos catálogos. Cuando un usuario que no es administrador y que está autorizado para ser un creador de catálogos crea un catálogo, se convierte automáticamente en el propietario de dicho catálogo. |
| Organización conectada | Un directorio o dominio externo de Microsoft Entra con el que tiene una relación. Puede especificar que los usuarios de las organizaciones conectadas puedan solicitar acceso. |
| Directiva | Un conjunto de reglas que define el ciclo de vida de acceso a datos. Las reglas pueden incluir el modo en que los usuarios obtienen acceso, quién puede aprobar usuarios y durante cuánto tiempo tienen acceso los usuarios a través de una asignación. Las directivas están vinculadas a paquetes de acceso. Un paquete de acceso puede tener más de una directiva. Un ejemplo sería un paquete que tuviera una directiva para los empleados que solicitan acceso y una segunda directiva para los usuarios externos que solicitan acceso. |
Importante
Actualmente, los inquilinos de Microsoft Entra pueden aprovisionar 500 catálogos con 500 paquetes de acceso. Si su organización necesita aumentar estas capacidades, póngase en contacto con el Soporte técnico de Azure.
Flujos de trabajo de administración de acceso a datos
Su organización puede delegar la gobernanza de acceso a los administradores de datos de dominio y a los directores de datos utilizando una aplicación personalizada con la administración de derechos de Microsoft Entra. Esta delegación libera a los equipos de aplicaciones de datos para que se den soporte a sí mismos sin necesidad de recurrir a sus equipos de la plataforma. Puede establecer varios niveles de aprobación y automatizar la incorporación de un extremo a otro y la administración del acceso a datos a través de la API de REST de Microsoft Graph y las API de REST de administración de derechos.
Los paquetes de administración de derechos de Microsoft Entra le permiten delegar el acceso a los no administradores (como los equipos de aplicaciones de datos) para que puedan crear paquetes de acceso. Los paquetes de acceso contienen recursos que los usuarios pueden solicitar, como el acceso a los productos de datos. Los administradores de datos y otros administradores de paquetes de acceso delegados pueden definir directivas que contengan reglas sobre qué usuarios pueden solicitar acceso, quién puede aprobar su acceso y cuándo expira su acceso aprobado.
Crear catálogos
Si va a implementar una instancia de LakeHouse de datos, cree un catálogo en la administración de derechos para cada zona de aterrizaje de datos. Según la automatización y el tamaño de la implementación, puede:
- Llamar a las API de REST de administración de derechos para crear un catálogo para el dominio.
- Crear otro catálogo para cada zona de aterrizaje de datos a través del portal de administración de derechos.
Si va a implementar una malla de datos, cree un catálogo en la administración de derechos para cada dominio. Según la automatización y el tamaño de la implementación, puede:
- Llamar a las API de REST de administración de derechos para crear un catálogo para el dominio.
- Crear otro catálogo para cada dominio a través del portal de administración de derechos.
Sugerencia
Cada catálogo puede tener sus propios permisos de grupo para la creación de paquetes y la administración de permisos.
Creación de productos de datos
Los productos de datos se describen en Productos de análisis de datos a escala de la nube en Azure. En el caso de las aplicaciones personalizadas, la incorporación de datos implica la expectativa de que se proporcione seguridad de un extremo a otro.
El proceso de incorporación de datos requiere metadatos clave, entre los que se incluyen:
- Ubicaciones de almacenamiento polyglot (proceso o lago de datos)
- Aprobadores (como administradores de datos o director de datos de un dominio)
- Requisitos del ciclo de vida
- Revisión de los requisitos
- Dominios
- Nombres de productos de datos
- Clasificaciones
Figura 1: Gestión del acceso a los datos; creación de productos de datos
En la Figura 1 se muestra cómo el equipo de aplicaciones de datos puede automatizar el aprovisionamiento de seguridad para un producto de datos que reside en un lago de datos. Una solicitud se envía a las API de REST de Microsoft Graph después de la incorporación de productos de datos para:
Crear dos grupos de seguridad a través de Graph API de Azure Active Directory, uno que permita acceso de lectura/escritura y otro que permita acceso de solo lectura.
- Recomendamos las siguientes convenciones de nomenclatura de grupos de Microsoft Entra para la autenticación transferida de Microsoft Entra en lagos de datos:
- Nombre de dominio o nombre de zona de aterrizaje de datos
- Nombre del producto de datos
- Capa de lago de datos:
RAWpara los que no tengan formatoENRpara los enriquecidosCURpara los seleccionados
- Nombre del producto de datos
RWpara lectura y escrituraRpara solo lectura
- Recomendamos las siguientes convenciones de nomenclatura de grupos de Microsoft Entra para el control de acceso a tablas:
- Nombre de dominio o nombre de zona de aterrizaje de datos
- Nombre del producto de datos
- Nombre de esquema o tabla
RWpara lectura y escrituraRpara solo lectura
- Recomendamos las siguientes convenciones de nomenclatura de grupos de Microsoft Entra para la autenticación transferida de Microsoft Entra en lagos de datos:
Asignar los grupos de seguridad al producto de datos. En el caso de los lagos de datos, esto implica aplicar los dos grupos de seguridad en el nivel de carpeta de producto de datos y en la capa de lago correcta (sin procesar, enriquecido o mantenido).
Crear un paquete de acceso que agrupe los grupos de seguridad junto con los aprobadores y el ciclo de vida necesarios (revisiones de acceso y expiración).
Sugerencia
En escenarios complejos, puede crear un grupo de seguridad de recopilación de permisos para capturar varios grupos de seguridad, pero esto sería una tarea manual DESPUÉS de haber creado los grupos de seguridad de productos de datos.
Solicitud de acceso al producto de datos
Puede automatizar la concesión de acceso a los productos de datos mediante una aplicación personalizada y las API de REST de administración de derechos.
Figura 2: Solicitud de acceso a un producto de datos.
En la Figura 2 se ofrece una visión general del flujo de trabajo de una solicitud de acceso a un producto de datos.
Solicitud de acceso de usuario
- Un usuario de datos examina el marketplace de datos para detectar los productos a los que desea acceder.
- El marketplace de datos interactúa con las API de REST de administración de derechos y solicita acceso al producto de datos para el usuario.
- Con sujeción a la directiva y a la cuenta, se notifica a los aprobadores y revisa la solicitud de acceso en su portal de administración de acceso. Si la solicitud se aprueba, se notifica al usuario y se le proporciona acceso al conjunto de datos.
- Si su organización desea conceder permisos a los usuarios en función de los metadatos (como la división, el cargo o la ubicación de un usuario), puede añadir grupos dinámicos en Microsoft Entra ID como grupo aprobado.
Estado de solicitud del usuario
Otros servicios incluidos en el marketplace de datos pueden comprobar el estado actual de las solicitudes de acceso al producto de datos. Estos servicios pueden interactuar con las API de REST de administración de derechos para enumerar todas las solicitudes pendientes de un nombre de entidad de servicio o usuario.
Resumen de la administración del acceso a datos
La administración del acceso a datos se divide en los siguientes niveles:
- La capa física (por ejemplo, el polyglot que almacena el conjunto de datos)
- Grupos de seguridad de Microsoft Entra
- Paquetes de acceso
- Usuarios y equipos que acceden a conjuntos de datos
En el diagrama anterior se proporciona una implementación de malla de datos de ejemplo en la que se ha creado un catálogo para cada dominio. Los equipos de productos de datos incorporan el nuevo conjunto de datos o producto a un dominio de datos. Se crea un grupo de Microsoft Entra y se asigna al conjunto de datos. Puede conceder acceso con la autenticación transferida de Microsoft Entra o con el control de acceso a las tablas mediante Azure Databricks, Azure Synapse Analytics u otros almacenes polyglot de análisis.
La administración de derechos de Microsoft Entra crea paquetes de acceso en el catálogo de paquetes de acceso de los dominios. Los paquetes de acceso pueden contener varios grupos de Microsoft Entra. El paquete Finance Analysis proporciona acceso a los datos financieros y a la aplicación de línea de negocio, mientras que el paquete Finance Writers proporciona acceso al esquema F y a la aplicación de línea de negocio A. Conceda acceso de escritura solo a los creadores de conjuntos de datos. De lo contrario, el acceso de solo lectura debe ser el valor predeterminado.
Importante
En el diagrama anterior se muestra cómo agregar grupos de usuarios de Microsoft Entra. Puede utilizar el mismo proceso para agregar entidades de servicio de Azure, que usan los equipos de productos de datos o de integración para canalizaciones de ingesta, entre otras operaciones. Debe configurar dos opciones de ciclo de vida, una para que los usuarios soliciten acceso a corto plazo (30 días) y otra para solicitar períodos de acceso más largos (90 días).
Pasos siguientes
- Organización de los miembros del equipo de operaciones de datos para el análisis a escala de nube en Azure
- Implementación de la administración de derechos de Microsoft Entra (vídeo)
- Explore los escenarios comunes de la administración de derechos de Microsoft Entra para obtener más información sobre cómo administrar derechos.