Udostępnij za pośrednictwem

Aprowizuj zabezpieczenia na potrzeby analizy w skali chmury na platformie Azure

  • Artykuł

W tym artykule wyjaśniono, jak organizacja może zaimplementować aprowizację zabezpieczeń za pośrednictwem dostępu do danych i zarządzania upoważnieniami na platformie Azure.

Zarządzanie dostępem do danych

Organizacje mogą użyć uwierzytelniania i autoryzacji , aby kontrolować dostęp do usług swojego scenariusza. Nasza sekcja najlepszych rozwiązań zawiera wskazówki dotyczące konfigurowania zabezpieczeń poszczególnych usług. Na przykład w sekcji Najlepszych rozwiązań usługi Azure Data Lake opisano konfiguracje kontroli dostępu i magazynu data lake w usłudze Azure Data Lake Storage.

W poprzednich artykułach opisano sposób dołączania aplikacji danych, które tworzą produkty danych. Skupiamy się głównie na używaniu automatyzacji tak bardzo, jak to możliwe.

Na platformie Azure istnieją dwa sposoby zapewniania dostępu do produktów danych:

  • Korzystanie z usługi Azure Purview (zasady danych)
  • Korzystanie z niestandardowej platformy handlowej danych, która udziela dostępu za pośrednictwem zarządzania upoważnieniami firmy Microsoft Entra

Metoda usługi Azure Purview jest objaśniona w aprowizacji zestawów danych przez właścicieli danych dla usługi Azure Storage. Należy pamiętać, że właściciele danych mogą również definiować zasady dla grup zasobów i subskrypcji.

W tym artykule wyjaśniono, jak można używać zarządzania upoważnieniami firmy Microsoft za pomocą niestandardowej platformy handlowej danych w celu udzielenia dostępu do produktów danych.

Uwaga

Każda firma musi szczegółowo zdefiniować proces zapewniania ładu danych dla każdego produktu danych. Na przykład dane z klasyfikacją publiczną lub użyciem wewnętrznym mogą być zabezpieczone tylko przez zasoby, ale wszystkie poufne lub powyższe dane są zabezpieczone przy użyciu opcji opisanych w prywatności danych na potrzeby analizy w skali chmury na platformie Azure. Aby dowiedzieć się więcej na temat typów klasyfikacji, zobacz wymagania dotyczące zarządzania danymi platformy Azure w nowoczesnym przedsiębiorstwie.

Zarządzanie uprawnieniem firmy Microsoft Entra

Zarządzanie upoważnieniami to funkcja zapewniania ładu tożsamości, która umożliwia organizacjom zarządzanie cyklem życia tożsamości i dostępu na dużą skalę, automatyzując przepływy pracy żądań dostępu, przypisania dostępu, przeglądy i wygasanie. Aby uzyskać podsumowanie zarządzania upoważnieniami i jego wartości, zobacz wideo Co to jest zarządzanie upoważnieniami firmy Microsoft?

W tym artykule przyjęto założenie, że znasz zarządzanie upoważnieniami microsoft Entra ID lub znasz przynajmniej dokumentację firmy Microsoft i rozumiesz następującą terminologię.

Okres opis
Pakiet dostępu Pakiet zasobów, których potrzebuje zespół lub projekt, podlega zasadom. Pakiet dostępu zawsze musi być zawarty w wykazie. Utwórz nowy pakiet dostępu dla scenariusza, w którym użytkownicy muszą żądać dostępu.
Żądanie dostępu Żądanie dostępu do zasobów w pakiecie dostępu. Żądania dostępu zwykle przechodzą przez przepływ pracy zatwierdzania. Jeśli zostanie zatwierdzona, żądający otrzyma przypisanie pakietu dostępu.
Przypisywanie Przypisanie pakietu dostępu do użytkownika. Użytkownik jest dostarczany ze wszystkimi rolami zasobów pakietu dostępu. Przypisania pakietów dostępu są zwykle ustawiane na wygaśnięcie po upływie określonego czasu.
Wykaz Kontener powiązanych zasobów i pakietów dostępu. Wykazy są używane do delegowania, dzięki czemu użytkownicy niebędący administratorami mogą tworzyć własne pakiety dostępu. Właściciele wykazu mogą dodawać własne zasoby do katalogu.
Twórca wykazu Użytkownik, który ma uprawnienia do tworzenia nowych katalogów. Gdy użytkownik niebędący administratorem, który jest autoryzowany jako twórca wykazu, tworzy nowy wykaz, automatycznie staje się właścicielem tego wykazu.
organizacja Połączenie Zewnętrzny katalog firmy Microsoft Entra lub domena, z którą masz relację. Możesz określić użytkowników z połączonych organizacji jako dozwolonych do żądania dostępu.
Zasady Zestaw reguł definiujących cykl życia dostępu do danych. Reguły mogą obejmować sposób uzyskiwania dostępu przez użytkowników, osób, które mogą zatwierdzać użytkowników oraz jak długo użytkownicy mają dostęp za pośrednictwem przypisania. Zasady są połączone z pakietami dostępu. Pakiet dostępu może mieć więcej niż jedną zasadę. Przykładem może być pakiet mający jedną zasadę dla pracowników żądających dostępu i drugą zasadę dla użytkowników zewnętrznych żądających dostępu.

Ważne

Dzierżawy firmy Microsoft Entra mogą obecnie aprowizować 500 katalogów z 500 pakietami dostępu. Jeśli Twoja organizacja musi zwiększyć te pojemności, skontaktuj się z pomocą techniczną platformy Azure.

Przepływy pracy zarządzania dostępem do danych

Twoja organizacja może delegować ład dostępu do administratorów danych domeny i dyrektorów ds. danych przy użyciu niestandardowej aplikacji z zarządzaniem upoważnieniami firmy Microsoft Entra. To delegowanie zwalnia zespoły aplikacji danych do samodzielnej obsługi bez konieczności odroczenia do zespołów platformy. Możesz ustawić wiele poziomów zatwierdzania i zautomatyzować kompleksowe dołączanie i zarządzanie dostępem do danych za pośrednictwem interfejsów API REST programu Microsoft Graph i interfejsów API REST zarządzania upoważnieniami.

Pakiety zarządzania upoważnieniami firmy Microsoft umożliwiają delegowanie dostępu do nieadministratorów (takich jak zespoły aplikacji danych), dzięki czemu mogą tworzyć pakiety dostępu. Pakiety dostępu zawierają zasoby, których użytkownicy mogą żądać, takich jak dostęp do produktów danych. Administratorzy danych i inni menedżerowie pakietów dostępu delegowanego mogą definiować zasady zawierające reguły, dla których użytkownicy mogą żądać dostępu, którzy mogą zatwierdzić dostęp, a po wygaśnięciu zatwierdzonego dostępu.

Tworzenie wykazów

Jeśli wdrażasz usługę Data Lakehouse, utwórz katalog w zarządzaniu upoważnieniami dla każdej strefy docelowej danych. W zależności od automatyzacji i rozmiaru implementacji można wykonać następujące czynności:

Jeśli wdrażasz siatkę danych, utwórz katalog w zarządzaniu upoważnieniami dla każdej domeny. W zależności od automatyzacji i rozmiaru implementacji można wykonać następujące czynności:

Napiwek

Każdy wykaz może mieć własne uprawnienia grupy do tworzenia pakietów i zarządzania uprawnieniami.

Tworzenie produktu danych

Produkty danych zostały omówione w produktach danych analizy w skali chmury na platformie Azure. W przypadku aplikacji niestandardowych dołączanie danych wiąże się z oczekiwaniem, że kompleksowe zabezpieczenia zostaną aprowidowane.

Proces dołączania danych wymaga metadanych klucza, w tym:

  • Lokalizacje magazynu wielolotowego (obliczeniowe lub data lake)
  • Osoby zatwierdzające (takie jak stewardzy danych lub dyrektor ds. danych domeny)
  • Wymagania dotyczące cyklu życia
  • Sprawdzenie wymagań
  • Domeny
  • Nazwy produktów danych
  • Klasyfikacje

Create data product security groupsRysunek 1. Tworzenie produktu do zarządzania dostępem do danych

Rysunek 1 ilustruje, jak zespół aplikacji danych może zautomatyzować aprowizację zabezpieczeń dla produktu danych znajdującego się w usłudze Data Lake. Żądanie jest wysyłane do interfejsów API REST programu Microsoft Graph po dołączeniu produktu danych do:

  1. Utwórz dwie grupy zabezpieczeń za pośrednictwem interfejsu API programu Graph usługi Azure Active Directory, z których jeden zezwala na dostęp do odczytu/zapisu, a drugi zezwala na dostęp tylko do odczytu.

    • Następujące konwencje nazewnictwa grup entra firmy Microsoft są sugerowane dla uwierzytelniania przekazywanego firmy Microsoft w magazynach data lake:
      • Nazwa domeny lub nazwa strefy docelowej danych
      • Nazwa produktu danych
      • Warstwa usługi Data Lake:
        • RAW dla nieprzetworzonych
        • ENR dla wzbogaconego
        • CUR dla wyselekcjonowanych
      • Nazwa produktu danych
        • RW do odczytu i zapisu
        • R w przypadku tylko do odczytu
    • Następujące konwencje nazewnictwa grup entra firmy Microsoft są sugerowane dla kontroli dostępu do tabel:
      • Nazwa domeny lub nazwa strefy docelowej danych
      • Nazwa produktu danych
      • Schemat lub tabela oswojony
        • RW do odczytu i zapisu
        • R w przypadku tylko do odczytu

  2. Przypisz grupy zabezpieczeń do produktu danych. W przypadku magazynów danych obejmuje to zastosowanie dwóch grup zabezpieczeń na poziomie folderu produktu danych i w odpowiedniej warstwie lake (nieprzetworzone, wzbogacone lub wyselekcjonowane).

  3. Utwórz pakiet dostępu, który łączy grupy zabezpieczeń wraz z wymaganymi osobami zatwierdzanymi i cyklem życia (przeglądy dostępu i wygaśnięcie).

Napiwek

W złożonych scenariuszach można utworzyć grupę zabezpieczeń kolekcji uprawnień w celu przechwycenia wielu grup zabezpieczeń, ale byłoby to zadanie ręczne PO utworzeniu grup zabezpieczeń produktu danych.

Żądanie dostępu do produktu danych

Możesz zautomatyzować udzielanie dostępu do danych przy użyciu aplikacji niestandardowej i interfejsów API REST zarządzania upoważnieniami.

Request access to a data productRysunek 2. Żądanie dostępu do produktu danych.

Rysunek 2 zawiera omówienie przepływu pracy żądania dostępu do danych.

Żądanie dostępu użytkownika

  1. Użytkownik danych przegląda platformę handlową danych, aby odnaleźć produkty, do których chce uzyskać dostęp.
  2. Interfejsy platformy handlowej danych z interfejsami API REST zarządzania upoważnieniami i żądają dostępu do produktu danych dla użytkownika.
  3. Z zastrzeżeniem zasad i konta osoby zatwierdzające są powiadamiane i przeglądają żądanie dostępu w portalu zarządzania dostępem. Jeśli żądanie zostanie zatwierdzone, użytkownik zostanie powiadomiony i otrzyma dostęp do zestawu danych.
  4. Jeśli Twoja organizacja chce udzielić uprawnień użytkownika na podstawie metadanych (takich jak dział użytkownika, tytuł lub lokalizacja), możesz dodać grupy dynamiczne w identyfikatorze Entra firmy Microsoft jako zatwierdzoną grupę.

Stan żądania użytkownika

Inne usługi zawarte w witrynie Data Marketplace mogą sprawdzać bieżący stan żądań dostępu do produktów danych. Te usługi mogą interfejsować z interfejsami API REST zarządzania upoważnieniami , aby wyświetlić listę wszystkich zaległych żądań dotyczących nazwy jednostki użytkownika lub usługi.

Podsumowanie zarządzania dostępem do danych

Zarządzanie dostępem do danych na platformie Azure jest podzielone na następujące warstwy:

  • Warstwa fizyczna (na przykład polyglot przechowujące zestaw danych)
  • Grupy zabezpieczeń firmy Microsoft Entra
  • Pakiety dostępu
  • Użytkownicy i zespoły, którzy uzyskują dostęp do zestawów danych

Example of using Microsoft Entra Entitlement Management.

Na powyższym diagramie przedstawiono przykładową implementację siatki danych, w której utworzono jeden wykaz dla każdej domeny. Zespoły ds. produktów danych dołączają nowy zestaw danych lub produkt do domeny danych. Grupa Microsoft Entra jest tworzona i przypisywana do zestawu danych. Dostęp można udzielić za pomocą uwierzytelniania przekazywanego firmy Microsoft lub kontroli dostępu do tabel przy użyciu usług Azure Databricks, Azure Synapse Analytics lub innych magazynów wielolotu analiz.

Zarządzanie upoważnieniami firmy Microsoft tworzy pakiety dostępu w katalogu pakietów dostępu domen. Pakiety dostępu mogą zawierać wiele grup firmy Microsoft Entra. Pakiet Finance Analysis zapewnia dostęp do finansów i loB A, podczas gdy Finance Writers pakiet zapewnia dostęp do schematu F i LOB A. Przyznaj tylko dostęp do zapisu twórcom zestawów danych. W przeciwnym razie dostęp tylko do odczytu powinien być twoim domyślnym.

Ważne

Na poprzednim diagramie przedstawiono sposób dodawania grup użytkowników firmy Microsoft Entra. Możesz użyć tego samego procesu, aby dodać jednostki usługi platformy Azure, które są używane przez zespoły ds. integracji lub produktów danych na potrzeby potoków pozyskiwania i nie tylko. Należy skonfigurować dwa ustawienia cyklu życia: jeden dla użytkowników, którzy będą żądać dostępu krótkoterminowego (30 dni), a drugi na potrzeby żądania dłuższego dostępu (90 dni).

Następne kroki