Gegevensbescherming in Azure Stream Analytics

Azure Stream Analytics is een volledig beheerd platform-as-a-service waarmee u realtime analysepijplijnen kunt bouwen. Alle zware taken, zoals het inrichten van clusters, het schalen van knooppunten voor uw gebruik en het beheren van interne controlepunten, worden achter de schermen beheerd.

Persoonlijke gegevensassets die zijn opgeslagen

Azure Stream Analytics bewaart de volgende metagegevens en gegevens om uit te voeren:

  • Querydefinitie en de bijbehorende configuratie

  • Door de gebruiker gedefinieerde functies of aggregaties

  • Controlepunten die nodig zijn voor de Stream Analytics-runtime

  • Momentopnamen van referentiegegevens

  • Verbindingsgegevens van de resources die door uw Stream Analytics-taak worden gebruikt

Als u wilt voldoen aan uw nalevingsverplichtingen in een gereguleerde branche of omgeving, kunt u meer lezen over het nalevingsaanbod van Microsoft.

In-Region Data Residency

In Azure Stream Analytics worden klantgegevens en andere metagegevens opgeslagen die hierboven worden beschreven. Klantgegevens worden standaard door Azure Stream Analytics opgeslagen in één regio, zodat deze service automatisch voldoet aan de vereisten voor de locatie van regiogegevens, inclusief de vereisten die zijn opgegeven in het Vertrouwenscentrum. Daarnaast kunt u ervoor kiezen om alle gegevensassets (klantgegevens en andere metagegevens) met betrekking tot uw Stream Analytics-taak in één regio op te slaan door ze te versleutelen in een opslagaccount van uw keuze.

Uw gegevens versleutelen

Stream Analytics maakt automatisch gebruik van de beste versleutelingsstandaarden in zijn infrastructuur om uw gegevens te versleutelen en te beveiligen. U kunt er gewoon op vertrouwen dat Stream Analytics al uw gegevens veilig opslaat, zodat u zich geen zorgen hoeft te maken over het beheren van de infrastructuur.

Als u door de klant beheerde sleutels wilt gebruiken om uw gegevens te versleutelen, kunt u uw eigen opslagaccount (V1 of V2 voor algemeen gebruik) gebruiken om persoonlijke gegevensassets op te slaan die vereist zijn voor de Stream Analytics-runtime. Uw opslagaccount kan indien nodig worden versleuteld. Geen van uw persoonlijke gegevensassets wordt permanent opgeslagen door de Stream Analytics-infrastructuur.

Deze instelling moet worden geconfigureerd op het moment dat de Stream Analytics-taak wordt gemaakt en kan niet worden gewijzigd tijdens de levenscyclus van de taak. Het wijzigen of verwijderen van opslag die wordt gebruikt door uw Stream Analytics wordt niet aanbevolen. Als u uw opslagaccount verwijdert, verwijdert u permanent alle persoonlijke gegevensassets, waardoor uw taak mislukt.

Het bijwerken of roteren van sleutels naar uw opslagaccount is niet mogelijk met behulp van de Stream Analytics-portal. U kunt de sleutels bijwerken met behulp van de REST API's. U kunt ook verbinding maken met uw taakopslagaccount met behulp van verificatie van beheerde identiteiten met vertrouwde services toestaan.

Als het opslagaccount dat u wilt gebruiken zich in een Azure-Virtual Network bevindt, moet u de verificatiemodus voor beheerde identiteiten gebruiken met Vertrouwde services toestaan. Ga voor meer informatie naar: Stream Analytics-taken verbinden met resources in een Azure Virtual Network (VNet).

Opslagaccount voor privégegevens configureren

Versleutel uw opslagaccount om al uw gegevens te beveiligen en kies expliciet de locatie van uw persoonlijke gegevens.

Als u wilt voldoen aan uw nalevingsverplichtingen in een gereguleerde branche of omgeving, kunt u meer lezen over het nalevingsaanbod van Microsoft.

Gebruik de volgende stappen om uw opslagaccount te configureren voor privégegevensassets. Deze configuratie wordt gemaakt op basis van uw Stream Analytics-taak, niet van uw opslagaccount.

  1. Meld u aan bij de Azure-portal.

  2. Selecteer in de linkerbovenhoek van Azure Portal Een resource maken.

  3. Selecteer Analytics>Stream Analytics job in de lijst met resultaten.

  4. Vul de stream analytics-taakpagina in met de benodigde gegevens, zoals naam, regio en schaal.

  5. Schakel het selectievakje Alle privégegevensassets beveiligen in die nodig zijn voor deze taak in mijn opslagaccount in.

  6. Selecteer een opslagaccount in uw abonnement. Houd er rekening mee dat deze instelling niet kan worden gewijzigd tijdens de levenscyclus van de taak. U kunt deze optie ook niet toevoegen nadat de taak is gemaakt.

  7. Als u wilt verifiëren met een connection string, selecteert u Verbindingsreeks in de vervolgkeuzelijst Verificatiemodus. De opslagaccountsleutel wordt automatisch ingevuld vanuit uw abonnement.

    Accountinstellingen voor opslag van privégegevens

  8. Als u wilt verifiëren met beheerde identiteit (preview), selecteert u Beheerde identiteit in de vervolgkeuzelijst Verificatiemodus. Als u Beheerde identiteit kiest, moet u uw Stream Analytics-taak toevoegen aan de toegangsbeheerlijst van het opslagaccount met de rol Inzender voor opslagblobgegevens . Als u uw taak geen toegang geeft, kan de taak geen bewerkingen uitvoeren. Zie Azure RBAC gebruiken om toegang tot een beheerde identiteit toe te wijzen aan een andere resource voor meer informatie over het verlenen van toegang.

    Instellingen voor opslagaccounts voor privégegevens met verificatie van beheerde identiteit

Persoonlijke gegevensassets die worden opgeslagen door Stream Analytics

Alle persoonlijke gegevens die door Stream Analytics moeten worden bewaard, worden opgeslagen in uw opslagaccount. Voorbeelden van privégegevensassets zijn:

  • Query's die u hebt gemaakt en de bijbehorende configuraties

  • Door de gebruiker gedefinieerde functies

  • Controlepunten die nodig zijn voor de Stream Analytics-runtime

  • Momentopnamen van referentiegegevens

Verbindingsdetails van uw resources, die worden gebruikt door uw Stream Analytics-taak, worden ook opgeslagen. Versleutel uw opslagaccount om al uw gegevens te beveiligen.

Als u wilt voldoen aan uw nalevingsverplichtingen in een gereguleerde branche of omgeving, kunt u meer lezen over het nalevingsaanbod van Microsoft.

Hiermee schakelt u Data Residency in

U kunt deze functie gebruiken om eventuele vereisten voor gegevenslocatie af te dwingen door een opslagaccount op te geven.

Volgende stappen