Approvisionner la sécurité pour l’analytique à l’échelle du cloud dans Azure
Cet article explique comment votre entreprise peut implémenter le provisionnement de la sécurité par la gestion de l'accès aux données et des droits d’utilisation dans Azure.
Gérer l’accès aux données
Les organisations peuvent utiliser l’authentification et l’autorisation pour contrôler l’accès à leurs services du scénario. Notre section sur les meilleures pratiques fournit des conseils pour la mise en place de la sécurité de chaque service particulier. À titre d'exemple, la section sur les meilleures pratiques d'Azure Data Lake décrit le contrôle d'accès et les configurations du lac de données dans Azure Data Lake Storage.
Dans les articles précédents, nous avons décrit comment intégrer les applications de données qui créent vos produits de données. Notre objectif était principalement d’utiliser l’automatisation le plus possible.
La plateforme Azure offre deux façons de donner accès aux produits de données :
- Utilisation d’Azure Purview (stratégies de données)
- Utilisation d’une place de marché de données personnalisée, qui accorde l’accès en utilisant la gestion des droits d’utilisation Microsoft Entra
La méthode Azure Purview est expliquée dans la section sur l’approvisionnement de jeux de données par les propriétaires de données pour Azure Storage. Notez que les propriétaires de données peuvent également définir des stratégies pour des groupes de ressources et des abonnements.
Cet article explique comment utiliser la gestion des droits d’utilisation Microsoft Entra avec une place de marché de données personnalisée pour donner accès aux produits de données.
Remarque
Chaque entreprise doit définir son processus de gouvernance des données en détail pour chaque produit de données. Par exemple, les données avec une classification publique ou à usage interne uniquement peuvent être sécurisées par des ressources, mais tout ce qui est confidentiel ou ultérieur est sécurisé à l'aide des options décrites dans la section Confidentialité des données pour l’analyse à l’échelle du cloud dans Azure. Pour en savoir plus sur les types de classification, consultez Exigences pour la gouvernance des données Azure dans une entreprise moderne.
Gérer les droits d’utilisation Microsoft Entra
Gestion des droits d'utilisation est une fonctionnalité de gouvernance des identités qui permet aux organisations de gérer le cycle de vie des identités et des accès à grande échelle, en automatisant les workflows de requête d’accès, les attributions d’accès, les évaluations et l’expiration. Pour un récapitulatif de la gestion des droits d’utilisation et sa valeur, regardez la vidéo What is Microsoft Entra entitlement management?.
Cet article suppose que vous êtes familiarisé avec la gestion des droits d’utilisation Microsoft Entra ID, ou que vous avez au moins étudié la documentation Microsoft et compris la terminologie suivante.
| Terme | Description |
|---|---|
| Package d’accès | Bundle de ressources dont une équipe ou un projet a besoin et qui régi par une stratégie. Un package d’accès doit toujours figurer dans un catalogue. Créez un package d’accès pour un scénario dans lequel les utilisateurs doivent demander l’accès. |
| Demande d’accès | Demande d’accès aux ressources dans un package d’accès. Les demandes d'accès suivent généralement un workflow d'approbation. Si une demande est approuvée, l’utilisateur demandeur reçoit une affectation de package d’accès. |
| Affectation | Attribution d'un package d'accès à un utilisateur. L’utilisateur se voit attribuer tous les rôles de ressources d’un package d’accès. Les affectations de package d’accès sont généralement configurées pour expirer après un certain délai. |
| Catalogue | Conteneur de ressources connexes et de packages d’accès. Les catalogues sont utilisés pour la délégation, permettant aux non-administrateurs de créer leurs propres packages d’accès. Les propriétaires de catalogue peuvent ajouter les ressources qu’ils possèdent à un catalogue. |
| Créateur de catalogue | Utilisateur autorisé à créer des catalogues. Lorsqu’un utilisateur non-administrateur, autorisé à être créateur de catalogue, crée un catalogue, il devient automatiquement le propriétaire de ce catalogue. |
| Organisation connectée | Un répertoire ou un domaine Microsoft Entra externe avec lequel vous entretenez une relation. Vous pouvez spécifier que les utilisateurs des organisations connectées sont autorisés à demander l'accès. |
| Policy | Ensemble de règles qui définit le cycle de vie de l'accès aux données. Les règles peuvent inclure la façon dont les utilisateurs obtiennent l'accès, qui peut approuver les utilisateurs, et combien de temps les utilisateurs ont accès par le biais d'une affectation. Les stratégies sont liées aux packages d'accès. Un package d’accès peut avoir plusieurs stratégies. Exemple : un package contenant une stratégie pour les employés demandant l'accès et une seconde stratégie pour les utilisateurs externes demandant l'accès. |
Important
Les locataires Microsoft Entra peuvent actuellement provisionner 500 catalogues avec 500 packages d’accès. Si votre organisation a besoin d'augmenter ces capacités, contactez le support Azure.
Flux de travail pour la gestion de l'accès aux données
Votre organisation peut déléguer la gouvernance de l’accès aux responsables de données de votre domaine et aux responsables de données en chef, en utilisant une application personnalisée avec la gestion des droits d’utilisation Microsoft Entra. Cette délégation permet aux équipes chargées des applications de données de se prendre en charge sans avoir à s'en remettre à vos équipes chargées des plateformes. Vous pouvez définir plusieurs niveaux d'approbation et automatiser votre intégration de bout en bout ainsi que la gestion de l'accès aux données via l’API REST Microsoft Graph et les API REST de gestion des droits d'utilisation.
Les packages de gestion des droits d’utilisation Microsoft Entra vous permettent de déléguer l’accès à des non-administrateurs (notamment vos équipes d’application de données) afin qu’ils puissent créer des packages d’accès. Les packages d'accès contiennent des ressources que les utilisateurs peuvent demander, comme l'accès aux produits de données. Vos administrateurs de données et autres gestionnaires de packages d'accès délégués peuvent définir des stratégies contenant des règles pour savoir quels utilisateurs peuvent demander un accès, qui peut approuver leur accès et quand leur accès approuvé expire.
Créer des catalogues
Si vous implémentez un entrepôt de données, créez un catalogue dans la gestion des droits d'utilisation pour chaque zone d'atterrissage des données. En fonction de l'automatisation et de la taille de votre implémentation, vous pouvez soit :
- Appeler les API REST de gestion des droits d'utilisation pour créer un catalogue pour le domaine.
- Créer un autre catalogue pour chaque zone d'atterrissage des données via le portail de gestion des droits d'utilisation.
Si vous implémentez un maillage de données, créez un catalogue dans la gestion des droits d'utilisation pour chaque domaine. En fonction de l'automatisation et de la taille de votre implémentation, vous pouvez soit :
- Appeler les API REST de gestion des droits d'utilisation pour créer un catalogue pour le domaine.
- Créer un autre catalogue pour chaque domaine via le portail de gestion des droits d'utilisation.
Conseil
Chaque catalogue peut avoir ses propres autorisations de groupe pour la création de packages et la gestion des autorisations.
Création d’un produit de données
Les produits de données sont abordés dans Produits de données d'analyse à l'échelle du cloud dans Azure. Pour les applications personnalisées, l'intégration des données implique une sécurité de bout en bout.
Le processus d’intégration des données nécessite des métadonnées clés, notamment :
- Emplacements de stockage Polyglot (calcul ou lac de données)
- Approbateurs (gestionnaires de données ou directeur des données d’un domaine)
- Exigences du cycle de vie
- Examiner les conditions requises
- Domaines
- Noms de produits de données
- Classifications
Figure 1 :Création d’un accès à la gestion des produits de données
La figure 1 montre comment votre équipe d'application de données peut automatiser l’approvisionnement de la sécurité pour un produit de données résidant dans un lac de données. Une requête est envoyée aux API REST Microsoft Graph après l'intégration du produit de données :
Créez deux groupes de sécurité via l'API Azure Active Directory Graph, l'un autorisant l'accès en lecture/écriture et l'autre autorisant uniquement l'accès en lecture.
- Les conventions de nommage de groupe Microsoft Entra suivantes sont suggérées pour l’authentification directe Microsoft Entra dans les lacs de données :
- Nom de domaine ou nom de zone d’atterrissage des données
- Nom du produit de données
- Couche lac de données :
RAWpour rawENRpour enrichiCURpour organisé
- Nom du produit de données
RWpour la lecture-écritureRpour la lecture seule
- Les conventions de nommage de groupe Microsoft Entra suivantes sont suggérées pour le contrôle d’accès aux tables :
- Nom de domaine ou nom de zone d’atterrissage des données
- Nom du produit de données
- Nom du schéma ou de la table
RWpour la lecture-écritureRpour la lecture seule
- Les conventions de nommage de groupe Microsoft Entra suivantes sont suggérées pour l’authentification directe Microsoft Entra dans les lacs de données :
Attribuez vos groupes de sécurité au produit de données. Pour les lacs de données, il s'agit d'appliquer vos deux groupes de sécurité au niveau du dossier du produit de données et à la couche correcte du lac (brute, enrichie ou organisée).
Créez un package d’accès qui regroupe vos groupes de sécurité avec les approbateurs et le cycle de vie requis (révisions d’accès et expiration).
Conseil
Dans des scénarios complexes, vous pouvez créer un groupe de sécurité de collection d'autorisations pour capturer plusieurs groupes de sécurité, mais il s'agit d'une tâche manuelle qui intervient APRÈS avoir créé vos groupes de sécurité de produits de données.
Demander l’accès à un produit de données
Vous pouvez automatiser l’octroi de l’accès au produit de données à l’aide d’une application personnalisée et des API REST de gestion des droits d’utilisation.
Figure 2 : Demander l’accès à un produit de données.
La figure 2 donne un aperçu du workflow d'une demande d'accès à un produit de données.
Demande d’accès d’un utilisateur
- Un utilisateur de données parcourt la place de marché des données pour découvrir les produits auxquels il souhaite accéder.
- La place de marché des données sert d'interface avec les API REST de gestion des droits d'utilisation et demande l'accès au produit de données pour l'utilisateur.
- Sous réserve des stratégies et des comptes, les approbateurs sont informés et examinent la demande d'accès dans leur portail de gestion des accès. Si la demande est approuvée, l’utilisateur est averti et bénéficie de l’accès au jeu de données.
- Si votre organisation veut accorder aux utilisateurs des autorisations basées sur des métadonnées (comme le département, la fonction ou la localisation), vous pouvez ajouter des groupes dynamiques dans Microsoft Entra ID comme groupes approuvés.
Etat de la demande d’un utilisateur
D’autres services inclus dans la Place de marché des données peuvent vérifier l’état actuel des demandes d’accès à des produits de données. Ces services peuvent servir d’interface avec les API REST de gestion des droits d’utilisateur afin de répertorier toutes les demandes en suspens pour un nom de principe d'utilisateur ou de service.
Résumé de la gestion de l'accès aux données
La gestion de l’accès aux données dans Azure est composée des niveaux suivants :
- Couche physique (telle que le système Polyglot qui stocke votre jeu de données)
- Groupes de sécurité Microsoft Entra
- Packages d’accès
- Utilisateurs et équipes qui accèdent aux jeux de données
Le diagramme ci-dessus fournit un exemple d'implémentation de maillage de données où un catalogue a été créé pour chaque domaine. Les équipes des produits de données intègrent le nouveau jeu de données ou produit à un domaine de données. Un groupe Microsoft Entra est créé et attribué au jeu de données. Vous pouvez accorder l’accès avec l’authentification directe Microsoft Entra ou avec le contrôle d’accès aux tables en utilisant Azure Databricks, Azure Synapse Analytics ou d’autres magasins d’analyse polyglottes.
La gestion des droits d’utilisation Microsoft Entra crée des packages d’accès dans le catalogue de packages d’accès aux domaines. Les packages d’accès peuvent contenir plusieurs groupes Microsoft Entra. Le package Finance Analysis donne accès aux finances et à l’application métier A tandis que le package Finance Writers donne accès au schéma F et à l’application métier A. Accordez uniquement un accès en écriture à ceux qui créent le jeu de données. Dans le cas contraire, un accès en lecture seule doit être votre valeur par défaut.
Important
Le schéma précédent montre comment ajouter des groupes d’utilisateurs Microsoft Entra. Le même processus permet d’ajouter des principaux de service Azure, qui sont utilisés par les équipes d’intégration ou de produits de données pour les pipelines d’ingestion, et plus encore. Vous devriez configurer deux paramètres de cycle de vie, un pour les utilisateurs qui demandent un accès à court terme (30 jours) et un autre pour demander un accès plus long (90 jours).
Étapes suivantes
- Organiser les membres des équipes des opérations sur les données pour l’analyse à l’échelle du cloud dans Azure
- Deploy Microsoft Entra entitlement management (vidéo)
- Explorez les scénarios courants de gestion des droits d’utilisation Microsoft Entra pour plus d’informations sur la gestion des droits d’utilisation.