Memprovisikan keamanan untuk analitik skala cloud di Azure

Artikel ini menjelaskan bagaimana organisasi Anda dapat menerapkan provisi keamanan melalui akses data dan pengelolaan pemberian hak di Azure.

Mengelola akses data

Organisasi dapat menggunakan autentikasi dan otorisasi untuk mengontrol akses ke layanan skenario mereka. Bagian praktik terbaik kami menyediakan panduan untuk menyiapkan setiap keamanan layanan tertentu. Sebagai contoh, bagian praktik terbaik Azure Data Lake menjelaskan kontrol akses dan konfigurasi data lake di Azure Data Lake Storage.

Di artikel sebelumnya, kami telah menjelaskan cara onboarding aplikasi data yang membuat produk data Anda. Fokus kami didominasi untuk menggunakan otomatisasi sebanyak mungkin.

Dalam platform Azure, ada dua cara untuk memberikan akses ke produk data:

• Menggunakan Azure Purview (kebijakan data)
• Menggunakan marketplace data kustom, yang memberikan akses melalui pengelolaan pemberian hak Microsoft Entra

Metode Azure Purview dijelaskan dalam provisi himpunan data oleh pemilik data untuk Azure Storage. Perhatikan bahwa pemilik data juga dapat menentukan polisi untuk grup sumber daya dan langganan.

Artikel ini menjelaskan cara menggunakan pengelolaan pemberian hak Microsoft Entra dengan marketplace data kustom untuk memberikan akses ke produk data.

Catatan

Setiap bisnis harus menentukan proses tata kelola datanya secara rinci untuk setiap produk data. Misalnya, data dengan klasifikasi publik atau penggunaan internal hanya dapat diamankan oleh sumber daya, tetapi apa pun yang rahasia atau di atasnya diamankan menggunakan opsi yang diuraikan dalam privasi data untuk analitik skala cloud di Azure. Untuk mempelajari selengkapnya tentang jenis klasifikasi, lihat persyaratan untuk mengatur data Azure di perusahaan modern.

Mengelola pemberian izin Microsoft Entra

Pengelolaan pemberian hak adalah fitur tata kelola identitas yang memungkinkan organisasi mengelola identitas dan mengakses siklus hidup dalam skala besar, dengan mengotomatiskan alur kerja permintaan akses, penetapan akses, ulasan, dan kedaluwarsa. Untuk rekap pengelolaan pemberian pemberian izin dan nilainya, lihat video Apa itu pengelolaan pemberian pemberian izin Microsoft Entra? .

Artikel ini mengasumsikan bahwa Anda terbiasa dengan pengelolaan pemberian hak ID Microsoft Entra atau bahwa Anda setidaknya telah mempelajari dokumentasi Microsoft dan memahami terminologi berikut.

Persyaratan	Deskripsi
Paket akses	Bundel sumber daya yang dibutuhkan tim atau proyek, yang diatur oleh kebijakan. Paket akses harus selalu terkandung dalam katalog. Buat paket akses baru untuk skenario di mana pengguna perlu meminta akses.
Permintaan akses	Permintaan untuk mengakses sumber daya dalam paket akses. Permintaan akses biasanya melalui alur kerja persetujuan. Jika disetujui, pemohon menerima penetapan paket akses.
Penetapan	Penetapan paket akses kepada pengguna. Pengguna disediakan dengan semua peran sumber daya paket akses. Penetapan paket akses biasanya diatur untuk kedaluwarsa setelah waktu tertentu.
Katalog	Kontainer sumber daya terkait dan paket akses. Katalog digunakan untuk delegasi, memungkinkan non-administrator dapat membuat paket akses mereka sendiri. Pemilik katalog dapat menambahkan sumber daya yang mereka miliki ke katalog.
Pembuat katalog	Pengguna yang berwenang untuk membuat katalog baru. Ketika pengguna nonadministrator yang berwenang menjadi pembuat katalog dan membuat katalog baru, mereka secara otomatis menjadi pemilik katalog itu.
organisasi Koneksi	Direktori atau domain Microsoft Entra eksternal yang memiliki hubungan dengan Anda. Anda dapat menentukan pengguna dari organisasi yang terhubung sebagai diizinkan untuk meminta akses.
Kebijakan	Sekumpulan aturan yang menentukan siklus hidup akses data. Aturan dapat mencakup cara pengguna mendapatkan akses, siapa yang dapat menyetujui pengguna, dan berapa lama pengguna memiliki akses melalui penugasan. Kebijakan ditautkan ke paket akses. Paket akses dapat memiliki lebih dari satu kebijakan. Contohnya adalah paket yang memiliki satu kebijakan untuk karyawan yang meminta akses dan kebijakan kedua untuk pengguna eksternal yang meminta akses.

Penting

Penyewa Microsoft Entra saat ini dapat menyediakan 500 katalog dengan 500 paket akses. Jika organisasi Anda perlu meningkatkan kapasitas ini, hubungi Dukungan Azure.

Alur kerja manajemen akses data

Organisasi Anda dapat mendelegasikan tata kelola akses ke pengurus data domain dan kepala petugas data Anda menggunakan aplikasi kustom dengan pengelolaan pemberian hak Microsoft Entra. Delegasi ini membebaskan tim aplikasi data untuk mendukung diri mereka sendiri tanpa perlu menunggak tim platform Anda. Anda dapat mengatur beberapa tingkat persetujuan dan mengotomatiskan onboarding end-to-end dan manajemen akses data melalui REST API Microsoft Graph dan REST API Pengelolaan Pemberian Hak.

Paket pengelolaan pemberian hak Microsoft Entra memungkinkan Anda mendelegasikan akses ke non-administrator (seperti tim aplikasi data Anda) sehingga mereka dapat membuat paket akses. Paket akses berisi sumber daya yang dapat diminta pengguna, seperti akses ke produk data. Pengurus data Anda dan manajer paket akses yang didelegasikan lainnya dapat menentukan kebijakan yang berisi aturan yang dapat meminta akses pengguna, yang dapat menyetujui akses mereka, dan kapan akses yang disetujui kedaluwarsa.

Membuat katalog

Jika Anda menerapkan data lakehouse, buat katalog dalam pengelolaan pemberian izin untuk setiap zona pendaratan data. Bergantung pada otomatisasi dan ukuran implementasi Anda, Anda dapat:

• Panggil REST API Pengelolaan Pemberian Izin untuk membuat katalog untuk domain.
• Buat katalog lain untuk setiap zona pendaratan data melalui portal Pengelolaan Pemberian Izin.

Jika Anda menerapkan jala data, buat katalog dalam pengelolaan pemberian izin untuk setiap domain. Bergantung pada otomatisasi dan ukuran implementasi Anda, Anda dapat:

• Panggil REST API Pengelolaan Pemberian Izin untuk membuat katalog untuk domain.
• Buat katalog lain untuk setiap domain melalui portal Pengelolaan Pemberian Izin.

Tip

Setiap katalog dapat memiliki izin grupnya sendiri untuk pembuatan paket dan manajemen izin.

Pembuatan produk data

Produk data dibahas dalam produk data analitik skala cloud di Azure. Untuk aplikasi kustom, onboarding data melibatkan harapan bahwa keamanan end-to-end akan disediakan.

Proses onboarding data memerlukan metadata kunci, termasuk:

• Lokasi penyimpanan Poliglot (komputasi atau data lake)
• Pemberi persetujuan (seperti pengurus data atau kepala petugas data domain)
• Persyaratan siklus hidup
• Meninjau persyaratan
• Domain
• Nama produk data
• Klasifikasi Data

Gambar 1: Pembuatan produk data manajemen akses data

Gambar 1 menggambarkan bagaimana tim aplikasi data Anda dapat mengotomatiskan provisi keamanan untuk produk data yang berada di data lake. Permintaan dikirim ke REST API Microsoft Graph setelah onboarding produk data ke:

1. Buat dua grup keamanan melalui Azure Active Directory Graph API, satu mengizinkan akses baca/tulis dan yang lain hanya mengizinkan akses baca.

   • Konvensi penamaan grup Microsoft Entra berikut disarankan untuk autentikasi pass-through Microsoft Entra di data lake:
     • Nama domain atau nama zona pendaratan data
     • Nama produk data
     • Lapisan data lake:
       • RAW untuk mentah
       • ENR untuk diperkaya
       • CUR untuk dikuratori
     • Nama produk data
       • RW untuk baca-tulis
       • R untuk baca-saja
   • Konvensi penamaan grup Microsoft Entra berikut disarankan untuk kontrol akses tabel:
     • Nama domain atau nama zona pendaratan data
     • Nama produk data
     • Skema atau jinak tabel
       • RW untuk baca-tulis
       • R untuk baca-saja

2. Tetapkan grup keamanan Anda ke produk data. Untuk data lake, ini melibatkan penerapan dua grup keamanan Anda di tingkat folder produk data dan di lapisan lake yang benar (mentah, diperkaya, atau dikumpulkan).

3. Buat paket akses yang menggabungkan grup keamanan Anda bersama dengan pemberi izin dan siklus hidup yang diperlukan (tinjauan akses dan kedaluwarsa).

Tip

Dalam skenario kompleks, Anda dapat membuat grup keamanan pengumpulan izin untuk mengambil beberapa grup keamanan, tetapi ini akan menjadi tugas manual SETELAH Anda membuat grup keamanan produk data Anda.

Meminta akses produk data

Anda dapat mengotomatiskan pemberian akses produk data menggunakan aplikasi kustom dan REST API Pengelolaan Pemberian Hak.

Gambar 2: Meminta akses ke produk data.

Gambar 2 menyediakan gambaran umum alur kerja permintaan akses produk data.

Permintaan akses pengguna

1. Pengguna data menelusuri marketplace data untuk menemukan produk yang ingin mereka akses.
2. Antarmuka marketplace data dengan REST API Pengelolaan Pemberian Hak dan meminta akses ke produk data untuk pengguna.
3. Tunduk pada kebijakan dan akun, pemberi persetujuan diberi tahu dan meninjau permintaan akses di portal manajemen akses mereka. Jika permintaan disetujui, pengguna akan diberi tahu dan diberi akses ke himpunan data.
4. Jika organisasi Anda ingin memberikan izin pengguna berdasarkan metadata (seperti pembagian, judul, atau lokasi pengguna), Anda dapat menambahkan grup dinamis di ID Microsoft Entra sebagai grup yang disetujui.

Status permintaan pengguna

Layanan lain yang termasuk dalam marketplace data dapat memeriksa status permintaan akses produk data saat ini. Layanan ini dapat berinteraksi dengan REST API Pengelolaan Pemberian Hak untuk mencantumkan semua permintaan terutang untuk nama prinsip pengguna atau layanan.

Ringkasan manajemen akses data

Manajemen akses data di Azure dibagi menjadi tingkatan berikut:

• Lapisan fisik (seperti poliglot yang menyimpan himpunan data Anda)
• Grup keamanan Microsoft Entra
• Paket akses
• Pengguna dan tim yang mengakses himpunan data

Diagram di atas menyediakan contoh implementasi jala data di mana satu katalog telah dibuat untuk setiap domain. Tim produk data melakukan onboarding himpunan data atau produk baru ke domain data. Grup Microsoft Entra dibuat dan ditetapkan ke himpunan data. Anda dapat memberikan akses dengan autentikasi pass-through Microsoft Entra atau dengan kontrol akses tabel menggunakan Azure Databricks, Azure Synapse Analytics, atau penyimpanan poliglot analitik lainnya.

Pengelolaan pemberian hak Microsoft Entra membuat paket akses di katalog paket akses domain. Paket akses dapat berisi beberapa grup Microsoft Entra. Paket ini Finance Analysis memberikan akses ke keuangan dan LOB A, sementara Finance Writers paket memberikan akses ke skema F dan LOB A. Hanya berikan akses tulis ke pembuat himpunan data. Jika tidak, akses baca-saja harus menjadi default Anda.

Penting

Diagram sebelumnya menggambarkan cara Anda menambahkan grup pengguna Microsoft Entra. Anda dapat menggunakan proses yang sama untuk menambahkan perwakilan layanan Azure, yang digunakan oleh tim integrasi atau produk data untuk alur penyerapan dan banyak lagi. Anda harus menyiapkan dua pengaturan siklus hidup: satu untuk pengguna untuk meminta akses jangka pendek (30 hari), dan satu lagi untuk meminta akses yang lebih lama (90 hari).

Langkah berikutnya

• Mengatur anggota tim operasi data untuk analitik skala cloud di Azure
• Menyebarkan pengelolaan pemberian pemberian izin Microsoft Entra (video)
• Jelajahi skenario umum dalam pengelolaan pemberian izin Microsoft Entra untuk informasi selengkapnya tentang cara mengelola pemberian izin.