Защита данных в Azure Stream Analytics
Azure Stream Analytics — это полностью управляемая платформа как услуга, которая позволяет создавать конвейеры аналитики в режиме реального времени. Все сложные процессы, в том числе подготовка кластера, масштабирование узлов в соответствии с использованием и управление внутренними контрольными точками, осуществляется за кулисами.
Сохраняемые частные ресурсы данных
Чтобы обеспечить свою работу, Azure Stream Analytics сохраняет следующие метаданные и данные:
определение запроса и связанную с ним конфигурацию;
определяемые пользователем функции или агрегаты;
контрольные точки, необходимые для среды выполнения Stream Analytics;
моментальные снимки эталонных данных;
сведения о подключении ресурсов, используемые заданием Stream Analytics.
Место расположения данных в регионе
Azure Stream Analytics хранит данные клиента и другие метаданные, описанные ранее. Azure Stream Analytics хранит данные клиентов в одном регионе по умолчанию, поэтому эта служба автоматически удовлетворяет требованиям к месту расположения данных региона, включая те, которые указаны в Центре управления безопасностью. Кроме того, вы можете хранить все ресурсы данных (данные клиента и другие метаданные), связанные с заданием Stream Analytics, в одном регионе, шифруя их в учетной записи хранения по своему усмотрению.
Шифрование данных
Для шифрования и защиты данных Stream Analytics автоматически применяет лучшие в своем классе стандарты шифрования в масштабах все инфраструктуры. Вы можете доверять Stream Analytics безопасно хранить все данные, чтобы не беспокоиться об управлении инфраструктурой.
Если вы хотите использовать для шифрования данных ключи, управляемые клиентом, для хранения частных ресурсов данных, необходимых для среды выполнения Stream Analytics, можно использовать собственную учетную запись хранения (общего назначения версии 1 или 2). Учетную запись хранения можно шифровать по мере необходимости. Ни один из частных ресурсов данных не хранится постоянно в инфраструктуре Stream Analytics.
Этот параметр должен быть настроен во время создания задания Stream Analytics и не может быть изменен в течение жизненного цикла задания. Изменение или удаление хранилища, используемого Stream Analytics, не рекомендуется. Если удалить учетную запись хранения, вы окончательно удалите все ресурсы частных данных и приведет к сбою задания.
Обновление или смена ключей в учетной записи хранения невозможно с помощью портала Stream Analytics. Ключи можно обновить с помощью интерфейсов REST API. Вы также можете подключиться к учетной записи хранения заданий, используя проверку подлинности на основе управляемого удостоверения с параметром "Разрешение доверенных служб".
Если учетная запись хранения, которую вы хотите использовать, находится в виртуальной сети Azure, необходимо использовать режим проверки подлинности c управляемым удостоверением с параметром Разрешение доверенных служб. Дополнительные сведения см. в статье "Подключение заданий Stream Analytics к ресурсам в виртуальной сети Azure".
Настройка учетной записи хранения для частных данных
Зашифруйте учетную запись хранения, чтобы защитить все данные и явно выбрать расположение частных данных.
Выполните следующие действия, чтобы настроить учетную запись хранения для частных ресурсов данных. Эта настройка выполняется из задания Stream Analytics, а не из учетной записи хранения.
Войдите на портал Azure.
Щелкните Создать ресурс в верхнем левом углу окна портала Azure.
В списке результатов выберите Аналитика>Задание Stream Analytics.
Заполните страницу задания Stream Analytics, указав необходимые сведения, например имя, регион и масштаб.
Установите флажок Secure all private data assets needed by this job in my Storage account (Защитить все ресурсы конфиденциальных данных, необходимые этому заданию, в учетной записи хранения).
Выберите учетную запись хранения в вашей подписке. Этот параметр нельзя изменить в течение жизненного цикла задания. Этот параметр также нельзя добавить после создания задания.
Для проверки подлинности с помощью строки подключения в раскрывающемся списке "Режим проверки подлинности" выберите Строка подключения. Ключ учетной записи хранения автоматически подставится из вашей подписки.
Чтобы пройти проверку подлинности с помощью управляемого удостоверения, выберите управляемое удостоверение в раскрывающемся списке режима проверки подлинности. Если выбрано управляемое удостоверение, задание Stream Analytics необходимо добавить в список управления доступом учетной записи хранения с ролью Участник для данных BLOB-объектов хранилища. Если вы не предоставляете доступ к заданию, задание не может выполнять никаких операций. Дополнительные сведения о предоставлении доступа см. в статье "Назначение роли Azure для доступа к данным BLOB-объектов".
Частные ресурсы данных, хранимые Stream Analytics
Все частные данные, которые должны храниться Stream Analytics, сохраняются в учетной записи хранения. Ниже приведены примеры частных ресурсов данных.
Созданные запросы и связанные с ними конфигурации
Пользовательские функции
контрольные точки, необходимые для среды выполнения Stream Analytics;
моментальные снимки эталонных данных;
Также сохраняются сведения о подключении для ресурсов, которые используются в задании Stream Analytics. К учетной записи хранения следует применить шифрование, чтобы защитить все данные.
Включении функции "Место расположения данных"
Эту функцию можно использовать для применения любых требований к месту расположения данных, предоставив учетную запись хранения соответствующим образом.