Beveiliging inrichten voor cloudanalyses in Azure

  • Artikel

In dit artikel wordt uitgelegd hoe uw organisatie beveiligingsinrichting kan implementeren via gegevenstoegang en rechtenbeheer in Azure.

Gegevenstoegang beheren

Organisaties kunnen verificatie en autorisatie gebruiken om de toegang tot de services van hun scenario te beheren. De sectie Aanbevolen procedures bevat richtlijnen voor het instellen van de beveiliging van elke specifieke service. In de sectie Best practices voor Azure Data Lake worden bijvoorbeeld toegangsbeheer en data lake-configuraties in Azure Data Lake Storage beschreven.

In eerdere artikelen hebben we beschreven hoe u gegevenstoepassingen kunt onboarden die uw gegevensproducten maken. Onze focus ligt vooral op het gebruik van automatisering zoveel mogelijk.

Binnen het Azure-platform zijn er twee manieren om toegang te verlenen tot gegevensproducten:

  • Azure Purview gebruiken (gegevensbeleid)
  • Een aangepaste gegevensmarktplaats gebruiken, die toegang verleent via Microsoft Entra-rechtenbeheer

De Azure Purview-methode wordt uitgelegd in het inrichten van gegevenssets door gegevenseigenaren voor Azure Storage. Eigenaren van gegevens kunnen ook beleidsregels definiëren voor resourcegroepen en abonnementen.

In dit artikel wordt uitgelegd hoe u Microsoft Entra-rechtenbeheer kunt gebruiken met een aangepaste gegevensmarktplaats om toegang te verlenen tot gegevensproducten.

Notitie

Elk bedrijf moet het proces voor gegevensbeheer gedetailleerd definiëren voor elk gegevensproduct. Gegevens met een openbare classificatie of intern gebruik kunnen bijvoorbeeld alleen worden beveiligd door resources, maar alles wat vertrouwelijk of hoger is, wordt beveiligd met behulp van opties die worden beschreven in gegevensprivacy voor analyses in de cloud in Azure. Zie de vereisten voor het beheren van Azure-gegevens in een moderne onderneming voor meer informatie over classificatietypen.

Microsoft Entra-rechten beheren

Rechtenbeheer is een functie voor identiteitsbeheer waarmee organisaties de levenscyclus van identiteiten en toegang op schaal kunnen beheren door werkstromen voor toegangsaanvragen, toegangstoewijzingen, beoordelingen en verlooptijd te automatiseren. Zie de video Wat is Microsoft Entra-rechtenbeheer? voor een samenvatting van rechtenbeheer en de waarde ervan.

In dit artikel wordt ervan uitgegaan dat u bekend bent met Microsoft Entra ID-rechtenbeheer of dat u ten minste de Microsoft-documentatie hebt bestudeerd en de volgende terminologie begrijpt.

Termijn Omschrijving
Toegangspakket Een bundel resources die een team of project nodig heeft, onder beleid. Een toegangspakket moet altijd zijn opgenomen in een catalogus. Maak een nieuw toegangspakket voor een scenario waarin gebruikers toegang moeten aanvragen.
Toegangsaanvraag Een verzoek om toegang te krijgen tot de resources in een toegangspakket. Toegangsaanvragen doorlopen doorgaans een goedkeuringswerkstroom. Indien goedgekeurd, ontvangt de aanvrager een toewijzing van een toegangspakket.
Toewijzing Een toewijzing van een toegangspakket aan een gebruiker. De gebruiker wordt geleverd met alle resourcerollen van een toegangspakket. Toewijzingen van toegangspakketten verlopen doorgaans na een bepaalde tijd.
Catalogus Een container met verwante resources en toegangspakketten. Catalogi worden gebruikt voor delegering, zodat niet-beheerders hun eigen toegangspakketten kunnen maken. Eigenaars van een catalogus kunnen resources die ze bezitten toevoegen aan een catalogus.
Catalogusmaker Een gebruiker die gemachtigd is om nieuwe catalogi te maken. Wanneer een niet-beheerder die gemachtigd is om een catalogusmaker te zijn een nieuwe catalogus maakt, wordt deze automatisch de eigenaar van die catalogus.
Verbinding maken organisatie Een externe Microsoft Entra-directory of -domein waarmee u een relatie hebt. U kunt gebruikers van verbonden organisaties opgeven dat ze toegang mogen aanvragen.
Beleid Een set regels waarmee de levenscyclus van gegevenstoegang wordt gedefinieerd. Regels kunnen omvatten hoe gebruikers toegang krijgen, wie gebruikers kan goedkeuren en hoelang gebruikers toegang hebben via een toewijzing. Beleidsregels zijn gekoppeld aan toegangspakketten. Een toegangspakket kan meer dan één beleid hebben. Een voorbeeld hiervan is een pakket met één beleid voor werknemers die toegang aanvragen en een tweede beleid voor externe gebruikers die toegang aanvragen.

Belangrijk

Microsoft Entra-tenants kunnen momenteel 500 catalogi inrichten met 500 toegangspakketten. Als uw organisatie deze capaciteiten moet verhogen, neemt u contact op met de ondersteuning van Azure.

Werkstromen voor gegevenstoegangsbeheer

Uw organisatie kan toegangsbeheer delegeren aan uw domeingegevensstewards en chief data officers met behulp van een aangepaste toepassing met Microsoft Entra-rechtenbeheer. Met deze delegatie kunnen teams van gegevenstoepassingen zichzelf ondersteunen zonder dat ze hoeven uit te stellen aan uw platformteams. U kunt meerdere goedkeuringsniveaus instellen en uw end-to-end onboarding en data access management automatiseren via Microsoft Graph REST API en Entitlement Management REST API's.

Met Microsoft Entra-rechtenbeheerpakketten kunt u toegang delegeren aan niet-beheerders (zoals uw datatoepassingsteams) zodat ze toegangspakketten kunnen maken. Toegangspakketten bevatten resources die gebruikers kunnen aanvragen, zoals toegang tot gegevensproducten. Uw gegevensstewards en andere gedelegeerde toegangspakketbeheerders kunnen beleidsregels definiëren die regels bevatten waarvoor gebruikers toegang kunnen aanvragen, die hun toegang kunnen goedkeuren en wanneer hun goedgekeurde toegang verloopt.

Catalogussen maken

Als u een Data Lakehouse implementeert, maakt u een catalogus in rechtenbeheer voor elke datalandingszone. Afhankelijk van automatisering en de grootte van uw implementatie, kunt u het volgende doen:

  • Roep de REST API's van Rechtenbeheer aan om een catalogus voor het domein te maken.
  • Maak een andere catalogus voor elke gegevenslandingszone via de Rechtenbeheer-portal.

Als u een data mesh implementeert, maakt u een catalogus in rechtenbeheer voor elk domein. Afhankelijk van automatisering en de grootte van uw implementatie, kunt u het volgende doen:

  • Roep de REST API's van Rechtenbeheer aan om een catalogus voor het domein te maken.
  • Maak een andere catalogus voor elk domein via de Rechtenbeheer-portal.

Fooi

Elke catalogus kan zijn eigen groepsmachtigingen hebben voor het maken en beheren van machtigingen voor pakketten.

Gegevensproduct maken

Gegevensproducten worden besproken in gegevensproducten op cloudschaal in Azure. Voor aangepaste toepassingen omvat onboarding van gegevens een verwachting dat end-to-end-beveiliging wordt ingericht.

Voor het onboardingproces voor gegevens zijn belangrijke metagegevens vereist, waaronder:

  • Polyglot-opslaglocaties (compute of data lake)
  • Goedkeurders (zoals data-stewards of de chief data officer van een domein)
  • Levenscyclusvereisten
  • Vereisten beoordelen
  • Domeinen
  • Productnamen van gegevens
  • Classificaties

Create data product security groupsAfbeelding 1: Gegevenstoegangsbeheergegevens maken

Afbeelding 1 illustreert hoe uw gegevenstoepassingsteam de beveiligingsinrichting voor een gegevensproduct dat zich in een data lake bevindt, kan automatiseren. Er wordt een aanvraag verzonden naar de Microsoft Graph REST API's nadat de onboarding van gegevensproduct is uitgevoerd naar:

  1. Maak twee beveiligingsgroepen via de Azure Active Directory Graph API, één die lees-/schrijftoegang toestaat en een andere die alleen leestoegang toestaat.

    • De volgende naamconventies voor Microsoft Entra-groepen worden voorgesteld voor passthrough-verificatie van Microsoft Entra in data lakes:
      • Domeinnaam of naam van gegevenslandingszone
      • Productnaam van gegevens
      • Data Lake-laag:
        • RAW voor onbewerkt
        • ENR voor verrijkt
        • CUR voor gecureerd
      • Productnaam van gegevens
        • RW voor lezen/schrijven
        • R voor alleen-lezen
    • De volgende naamconventies voor Microsoft Entra-groepen worden voorgesteld voor toegangsbeheer voor tabellen:
      • Domeinnaam of naam van gegevenslandingszone
      • Productnaam van gegevens
      • Schema of tabel tame
        • RW voor lezen/schrijven
        • R voor alleen-lezen

  2. Wijs uw beveiligingsgroepen toe aan het gegevensproduct. Voor data lakes is dit het toepassen van uw twee beveiligingsgroepen op het niveau van de gegevensproductmap en op de juiste lakelaag (onbewerkt, verrijkt of gecureerd).

  3. Maak een toegangspakket dat uw beveiligingsgroepen samen met de vereiste goedkeurders en levenscyclus bundelt (toegangsbeoordelingen en verlopen).

Fooi

In complexe scenario's kunt u een beveiligingsgroep voor het verzamelen van machtigingen maken om meerdere beveiligingsgroepen vast te leggen, maar dit is een handmatige taak nadat u uw gegevensproductbeveiligingsgroepen al hebt gemaakt.

Toegang tot gegevensproduct aanvragen

U kunt de toekenning van gegevensproducttoegang automatiseren met behulp van een aangepaste toepassing en de REST API's voor Rechtenbeheer.

Request access to a data productAfbeelding 2: Toegang tot een gegevensproduct aanvragen.

Afbeelding 2 biedt een overzicht van een werkstroom voor toegangsaanvragen voor gegevensproducttoegang.

Aanvraag voor gebruikerstoegang

  1. Een gegevensgebruiker bladert door de gegevensmarktplaats om de producten te ontdekken die ze willen openen.
  2. De data marketplace-interfaces met de Rechtenbeheer REST API's en vraagt toegang tot het gegevensproduct voor de gebruiker aan.
  3. Afhankelijk van beleid en account worden goedkeurders op de hoogte gesteld en de toegangsaanvraag in hun toegangsbeheerportal bekeken. Als de aanvraag is goedgekeurd, krijgt de gebruiker een melding en krijgt deze toegang tot de gegevensset.
  4. Als uw organisatie gebruikersmachtigingen wil verlenen op basis van metagegevens (zoals de afdeling, titel of locatie van een gebruiker), kunt u dynamische groepen toevoegen in Microsoft Entra-id als een goedgekeurde groep.

Status van gebruikersaanvraag

Andere services die zijn opgenomen in de gegevensmarktplaats, kunnen controleren op de huidige status van toegangsaanvragen voor gegevensproduct. Deze services kunnen interfacen met de Rechtenbeheer REST API's om alle openstaande aanvragen voor de naam van een gebruiker of service-principal weer te geven.

Samenvatting van gegevenstoegangsbeheer

Gegevenstoegangsbeheer in Azure is onderverdeeld in de volgende lagen:

  • De fysieke laag (zoals de polyglot die uw gegevensset opslaat)
  • Microsoft Entra-beveiligingsgroepen
  • Toegangspakketten
  • Gebruikers en teams die toegang hebben tot gegevenssets

Example of using Microsoft Entra Entitlement Management.

Het bovenstaande diagram biedt een voorbeeld van een data mesh-implementatie waarbij er één catalogus is gemaakt voor elk domein. Gegevensproductteams onboarden de nieuwe gegevensset of het nieuwe product naar een gegevensdomein. Er wordt een Microsoft Entra-groep gemaakt en toegewezen aan de gegevensset. U kunt toegang verlenen met Pass Through-verificatie van Microsoft Entra of met toegangsbeheer voor tabellen met behulp van Azure Databricks, Azure Synapse Analytics of andere polyglotarchieven voor analyses.

Microsoft Entra-rechtenbeheer maakt toegangspakketten in de catalogus met domeinentoegangspakketten. Access-pakketten kunnen meerdere Microsoft Entra-groepen bevatten. Het Finance Analysis pakket biedt toegang tot financiën en LOB A, terwijl het Finance Writers pakket toegang biedt tot schema F en LOB A. Alleen schrijftoegang verlenen aan makers van gegevenssets. Anders moet alleen-lezentoegang de standaardinstelling zijn.

Belangrijk

In het vorige diagram ziet u hoe u Microsoft Entra-gebruikersgroepen toevoegt. U kunt hetzelfde proces gebruiken om Azure-service-principals toe te voegen, die worden gebruikt door integratie- of gegevensproductteams voor opnamepijplijnen en meer. U moet twee levenscyclus-instellingen instellen: één voor gebruikers om korte toegang (30 dagen) aan te vragen en een andere voor het aanvragen van langere toegang (90 dagen).

Volgende stappen