Melhores práticas de segurança do Microsoft Purview
Este artigo fornece práticas recomendadas para requisitos comuns de segurança para soluções de governança do Microsoft Purview. A estratégia de segurança descrita segue a abordagem detalhada da defesa em camadas.
Observação
Essas práticas recomendadas abrangem a segurança para soluções de governança de dados unificadas do Microsoft Purview. Para obter mais informações sobre soluções de risco e conformidade do Microsoft Purview, acesse aqui. Para obter mais informações sobre o Microsoft Purview em geral, acesse aqui.
Antes de aplicar essas recomendações ao seu ambiente, você deve consultar sua equipe de segurança, pois algumas podem não ser aplicáveis aos seus requisitos de segurança.
Segurança de rede
O Microsoft Purview é uma solução PaaS (Plataforma como Serviço) no Azure. Você pode habilitar os seguintes recursos de segurança de rede para suas contas do Microsoft Purview:
- Habilite o isolamento de rede de ponta a ponta usando Link Privado Serviço.
- Use o Firewall do Microsoft Purview para desabilitar o acesso público.
- Implante regras do NSG (Grupo de Segurança de Rede) para sub-redes em que os pontos de extremidade privados das fontes de dados do Azure, os pontos de extremidade privados do Microsoft Purview e as VMs de runtime auto-hospedadas são implantados.
- Implemente o Microsoft Purview com pontos de extremidade privados gerenciados por um Dispositivo Virtual de Rede, como Firewall do Azure para inspeção de rede e filtragem de rede.
Para obter mais informações, confira Melhores práticas relacionadas à conectividade com os Serviços de PaaS do Azure.
Implantar pontos de extremidade privados para contas do Microsoft Purview
Se você precisar usar o Microsoft Purview de dentro de sua rede privada, é recomendável usar Link Privado do Azure Service com suas contas do Microsoft Purview para isolamento parcial ou de ponta a ponta para se conectar ao portal de governança do Microsoft Purview, acessar pontos de extremidade do Microsoft Purview e verificar fontes de dados.
O ponto de extremidade privado da conta do Microsoft Purview é usado para adicionar outra camada de segurança, portanto, somente chamadas de cliente originadas de dentro da rede virtual têm permissão para acessar a conta do Microsoft Purview. Esse ponto de extremidade privado também é um pré-requisito para o ponto de extremidade privado do portal.
O ponto de extremidade privado do portal do Microsoft Purview é necessário para habilitar a conectividade com o portal de governança do Microsoft Purview usando uma rede privada.
O Microsoft Purview pode verificar fontes de dados no Azure ou em um ambiente local usando pontos de extremidade privados de ingestão.
- Para verificar a plataforma do Azure como fontes de dados de serviço , examine a matriz de suporte para verificação de fontes de dados por meio do ponto de extremidade privado de ingestão.
- Se você estiver implantando o Microsoft Purview com isolamento de rede de ponta a ponta, para verificar fontes de dados do Azure, essas fontes de dados também devem ser configuradas com pontos de extremidade privados.
- Examine as limitações conhecidas.
Para obter mais informações, consulte Arquitetura de rede do Microsoft Purview e práticas recomendadas.
Bloquear o acesso público usando o firewall do Microsoft Purview
Você pode desabilitar o acesso público do Microsoft Purview para cortar completamente o acesso à conta do Microsoft Purview da Internet pública. Nesse caso, você deve considerar os seguintes requisitos:
- O Microsoft Purview deve ser implantado com base no cenário de isolamento de rede de ponta a ponta.
- Para acessar o portal de governança do Microsoft Purview e os pontos de extremidade do Microsoft Purview, você precisa usar um computador de gerenciamento conectado à rede privada para acessar o Microsoft Purview por meio de rede privada.
- Examine as limitações conhecidas.
- Para verificar a plataforma do Azure como fontes de dados de serviço, examine a matriz de suporte para verificar fontes de dados por meio do ponto de extremidade privado de ingestão.
- As fontes de dados do Azure também devem ser configuradas com pontos de extremidade privados.
- Para verificar fontes de dados, você deve usar um runtime de integração auto-hospedado.
Para obter mais informações, consulte Firewalls para restringir o acesso público.
Usar grupos de segurança de rede
Você pode usar um grupo de segurança de rede do Azure para filtrar o tráfego de rede de e para recursos do Azure em uma rede virtual do Azure. Um grupo de segurança de rede contém regras de segurança que permitem ou negam o tráfego de rede de entrada ou tráfego de rede de saída de vários tipos de recursos do Azure. Para cada regra, você pode especificar a origem e o destino, a porta e o protocolo.
Os Grupos de Segurança de Rede podem ser aplicados à interface de rede ou às sub-redes virtuais do Azure, onde os pontos de extremidade privados do Microsoft Purview, as VMs de runtime de integração auto-hospedadas e as fontes de dados do Azure são implantados.
Para obter mais informações, confira aplicar regras NSG para pontos de extremidade privados.
As seguintes regras NSG são necessárias em fontes de dados para a verificação do Microsoft Purview:
| Direção | Origem | Intervalo de porta de origem | Destino | Porta de destino | Protocolo | Ação |
|---|---|---|---|---|---|---|
| Entrada | Endereços IP privados ou sub-redes de VMs de runtime de integração auto-hospedadas | * | Endereços IP privados de fontes de dados ou sub-redes | 443 | Qualquer | Permitir |
As seguintes regras de NSG são necessárias nos computadores de gerenciamento para acessar o portal de governança do Microsoft Purview:
| Direção | Origem | Intervalo de porta de origem | Destino | Porta de destino | Protocolo | Ação |
|---|---|---|---|---|---|---|
| Saída | Endereços IP privados ou sub-redes de computadores de gerenciamento | * | A conta do Microsoft Purview e os endereços IP do ponto de extremidade privado do portal ou sub-redes | 443 | Qualquer | Permitir |
| Saída | Endereços IP privados ou sub-redes de computadores de gerenciamento | * | Marca de serviço: AzureCloud |
443 | Qualquer | Permitir |
As seguintes regras de NSG são necessárias em VMs de runtime de integração auto-hospedada para verificação e ingestão de metadados do Microsoft Purview:
Importante
Considere adicionar regras adicionais com marcas de serviço relevantes, com base em seus tipos de fonte de dados.
| Direção | Origem | Intervalo de porta de origem | Destino | Porta de destino | Protocolo | Ação |
|---|---|---|---|---|---|---|
| Saída | Endereços IP privados ou sub-redes de VMs de runtime de integração auto-hospedadas | * | Endereços IP privados ou sub-redes do Data Sources | 443 | Qualquer | Permitir |
| Saída | Endereços IP privados ou sub-redes de VMs de runtime de integração auto-hospedadas | * | Microsoft Purview conta e ingestão endereços IP de ponto de extremidade privado ou Sub-redes | 443 | Qualquer | Permitir |
| Saída | Endereços IP privados ou sub-redes de VMs de runtime de integração auto-hospedadas | * | Marca de serviço: Servicebus |
443 | Qualquer | Permitir |
| Saída | Endereços IP privados ou sub-redes de VMs de runtime de integração auto-hospedadas | * | Marca de serviço: Storage |
443 | Qualquer | Permitir |
| Saída | Endereços IP privados ou sub-redes de VMs de runtime de integração auto-hospedadas | * | Marca de serviço: AzureActiveDirectory |
443 | Qualquer | Permitir |
| Saída | Endereços IP privados ou sub-redes de VMs de runtime de integração auto-hospedadas | * | Marca de serviço: DataFactory |
443 | Qualquer | Permitir |
| Saída | Endereços IP privados ou sub-redes de VMs de runtime de integração auto-hospedadas | * | Marca de serviço: KeyVault |
443 | Qualquer | Permitir |
As seguintes regras de NSG são necessárias para a conta do Microsoft Purview, os pontos de extremidade privados de portal e ingestão:
| Direção | Origem | Intervalo de porta de origem | Destino | Porta de destino | Protocolo | Ação |
|---|---|---|---|---|---|---|
| Entrada | Endereços IP privados ou sub-redes de VMs de runtime de integração auto-hospedadas | * | Microsoft Purview conta e ingestão de endereços IP de ponto de extremidade privado ou sub-redes | 443 | Qualquer | Permitir |
| Entrada | Endereços IP privados ou sub-redes de computadores de gerenciamento | * | Microsoft Purview conta e ingestão de endereços IP de ponto de extremidade privado ou sub-redes | 443 | Qualquer | Permitir |
Para obter mais informações, consulte Requisitos de rede de runtime de integração auto-hospedada.
Gerenciamento de acesso
O Gerenciamento de Identidade e Acesso fornece a base de uma grande porcentagem de garantia de segurança. Ele permite o acesso com base em controles de autenticação e autorização de identidade em serviços de nuvem. Esses controles protegem dados e recursos e decidem quais solicitações devem ser permitidas.
Relacionado a funções e gerenciamento de acesso no Microsoft Purview, você pode aplicar as seguintes práticas recomendadas de segurança:
- Defina funções e responsabilidades para gerenciar o Microsoft Purview no plano de controle e no plano de dados:
- Defina funções e tarefas necessárias para implantar e gerenciar o Microsoft Purview dentro de uma assinatura do Azure.
- Defina funções e tarefas necessárias para executar o gerenciamento e a governança de dados usando o Microsoft Purview.
- Atribua funções a grupos do Azure Active Directory em vez de atribuir funções a usuários individuais.
- Use o Gerenciamento de Direitos do Azure Active Directory para mapear o acesso do usuário a grupos de Azure AD usando pacotes de acesso.
- Impor a autenticação multifator para usuários do Microsoft Purview, especialmente, para usuários com funções privilegiadas, como administradores de coleção, administradores de fonte de dados ou curadores de dados.
Gerenciar uma conta do Microsoft Purview no plano de controle e no plano de dados
O plano de controle refere-se a todas as operações relacionadas à implantação e gerenciamento do Microsoft Purview no Azure Resource Manager.
O plano de dados refere-se a todas as operações relacionadas à interação com o Microsoft Purview dentro do Mapa de Dados e Catálogo de Dados.
Você pode atribuir funções de plano de controle e plano de dados a usuários, grupos de segurança e entidades de serviço do locatário do Azure Active Directory associados à assinatura do Azure da instância do Microsoft Purview.
Exemplos de operações de plano de controle e operações de plano de dados:
| Tarefa | Escopo | Função recomendada | Quais funções usar? |
|---|---|---|---|
| Implantar uma conta do Microsoft Purview | Plano de controle | Proprietário ou contribuidor de assinatura do Azure | Funções RBAC do Azure |
| Configurar um ponto de extremidade privado para o Microsoft Purview | Plano de controle | Colaborador | Funções RBAC do Azure |
| Excluir uma conta do Microsoft Purview | Plano de controle | Colaborador | Funções RBAC do Azure |
| Adicionar ou gerenciar um SHIR (runtime de integração auto-hospedada) | Plano de controle | Administrador de fonte de dados | Funções do Microsoft Purview |
| Exibir métricas do Microsoft Purview para obter unidades de capacidade atuais | Plano de controle | Leitor | Funções RBAC do Azure |
| Criar um conjunto | Plano de dados | Coleção Administração | Funções do Microsoft Purview |
| Registrar uma fonte de dados | Plano de dados | Coleção Administração | Funções do Microsoft Purview |
| Examinar um SQL Server | Plano de dados | Administrador de fonte de dados e leitor de dados ou curador de dados | Funções do Microsoft Purview |
| Pesquisar dentro de Catálogo de Dados do Microsoft Purview | Plano de dados | Administrador de fonte de dados e leitor de dados ou curador de dados | Funções do Microsoft Purview |
As funções de plano do Microsoft Purview são definidas e gerenciadas dentro da instância do Microsoft Purview nas coleções do Microsoft Purview. Para obter mais informações, confira Controle de acesso no Microsoft Purview.
Siga as recomendações de acesso baseado em função do Azure para tarefas do plano de controle do Azure.
Autenticação e autorização
Para obter acesso ao Microsoft Purview, os usuários devem ser autenticados e autorizados. A autenticação é o processo de provar que o usuário é quem ele afirma ser. A autorização refere-se ao controle do acesso dentro do Microsoft Purview atribuído em coleções.
Usamos o Azure Active Directory para fornecer mecanismos de autenticação e autorização para o Microsoft Purview dentro do Collections. Você pode atribuir funções do Microsoft Purview às seguintes entidades de segurança do locatário do Azure Active Directory associadas à assinatura do Azure em que sua instância do Microsoft Purview está hospedada:
- Usuários e usuários convidados (se eles já forem adicionados ao seu locatário Azure AD)
- Grupos de segurança
- Identidades Gerenciadas
- Entidades de serviço
As funções refinadas do Microsoft Purview podem ser atribuídas a uma hierarquia de Coleções flexíveis dentro da instância do Microsoft Purview.
Definir modelo de privilégio mínimo
Como regra geral, restringir o acesso com base na necessidade de saber e mínimos princípios de segurança de privilégios é imperativo para organizações que desejam impor políticas de segurança para acesso a dados.
No Microsoft Purview, fontes de dados, ativos e verificações podem ser organizados usando o Microsoft Purview Collections. As coleções são agrupamento hierárquico de metadados no Microsoft Purview, mas ao mesmo tempo fornecem um mecanismo para gerenciar o acesso no Microsoft Purview. As funções no Microsoft Purview podem ser atribuídas a uma coleção com base na hierarquia da sua coleção.
Use coleções do Microsoft Purview para implementar a hierarquia de metadados da sua organização para a hierarquia de gerenciamento e governança centralizada ou delegada com base no modelo menos privilegiado.
Siga o modelo de acesso de privilégio mínimo ao atribuir funções dentro das coleções do Microsoft Purview segregando tarefas em sua equipe e conceda apenas a quantidade de acesso aos usuários que eles precisam para executar seus trabalhos.
Para obter mais informações sobre como atribuir menos modelo de acesso a privilégios no Microsoft Purview, com base na hierarquia de coleção do Microsoft Purview, consulte Controle de acesso no Microsoft Purview.
Menor exposição de contas privilegiadas
Proteger o acesso privilegiado é uma primeira etapa crítica para proteger ativos empresariais. Minimizar o número de pessoas que têm acesso a informações ou recursos seguros, reduz a chance de um usuário mal-intencionado obter acesso ou um usuário autorizado afetar inadvertidamente um recurso confidencial.
Reduza o número de usuários com acesso de gravação dentro da instância do Microsoft Purview. Mantenha o número de administradores de coleção e as funções de curador de dados mínimas na coleção raiz.
Usar autenticação multifator e acesso condicional
A Autenticação Multifator do Azure Active Directory fornece outra camada de segurança e autenticação. Para obter mais segurança, recomendamos impor políticas de acesso condicional para todas as contas privilegiadas.
Usando políticas de Acesso Condicional do Azure Active Directory, aplique Azure AD Autenticação Multifator na entrada para todos os usuários individuais que são atribuídos a funções do Microsoft Purview com acesso modificado dentro de suas instâncias do Microsoft Purview: Coleção Administração, Fonte de Dados Administração, Curador de Dados.
Habilite a autenticação multifator para suas contas de administrador e verifique se os usuários da conta de administrador se registraram para MFA.
Você pode definir suas políticas de Acesso Condicional selecionando o Microsoft Purview como um aplicativo de nuvem.
Impedir a exclusão acidental de contas do Microsoft Purview
No Azure, você pode aplicar bloqueios de recursos a uma assinatura do Azure, a um grupo de recursos ou a um recurso para evitar exclusão acidental ou modificação para recursos críticos.
Habilite o bloqueio de recursos do Azure para suas contas do Microsoft Purview para evitar a exclusão acidental de instâncias do Microsoft Purview em suas assinaturas do Azure.
Adicionar um CanNotDelete bloqueio ou ReadOnly bloqueio à conta do Microsoft Purview não impede operações de exclusão ou modificação dentro do plano de dados do Microsoft Purview, no entanto, impede qualquer operação no plano de controle, como excluir a conta do Microsoft Purview, implantar um ponto de extremidade privado ou configuração de configurações de diagnóstico.
Para obter mais informações, confira Entender o escopo dos bloqueios.
Os bloqueios de recursos podem ser atribuídos a grupos de recursos ou recursos do Microsoft Purview, no entanto, você não pode atribuir um bloqueio de recursos do Azure aos recursos gerenciados do Microsoft Purview ou ao Grupo de Recursos Gerenciados.
Implementar uma estratégia de quebra de vidro
Planeje uma estratégia de quebra de vidro para seu locatário do Azure Active Directory, assinatura do Azure e contas do Microsoft Purview para impedir o bloqueio de conta em todo o locatário.
Para obter mais informações sobre Azure AD e o planejamento de acesso de emergência do Azure, consulte Gerenciar contas de acesso de emergência em Azure AD.
Para obter mais informações sobre a estratégia de quebra de vidro do Microsoft Purview, consulte As melhores práticas e recomendações de design das coleções do Microsoft Purview.
Proteção contra ameaças e prevenção de exfiltração de dados
O Microsoft Purview fornece informações avançadas sobre a confidencialidade de seus dados, o que o torna valioso para as equipes de segurança usando Microsoft Defender para Nuvem para gerenciar a postura de segurança da organização e proteger contra ameaças às suas cargas de trabalho. Os recursos de dados continuam sendo um destino popular para atores mal-intencionados, tornando crucial que as equipes de segurança identifiquem, priorizem e protejam recursos de dados confidenciais em seus ambientes de nuvem. Para enfrentar esse desafio, estamos anunciando a integração entre Microsoft Defender para Nuvem e Microsoft Purview em versão prévia pública.
Integrar-se ao Microsoft 365 e Microsoft Defender para Nuvem
Muitas vezes, um dos maiores desafios para a organização de segurança em uma empresa é identificar e proteger ativos com base em sua criticidade e sensibilidade. A Microsoft anunciou recentemente a integração entre o Microsoft Purview e o Microsoft Defender for Cloud in Public Preview para ajudar a superar esses desafios.
Se você estendeu seus rótulos de confidencialidade do Microsoft 365 para ativos e colunas de banco de dados no Microsoft Purview, você pode acompanhar ativos altamente valiosos usando Microsoft Defender para Nuvem de inventário, alertas e recomendações com base em ativos detectados rótulos de confidencialidade.
Para recomendações, fornecemos controles de segurança para ajudá-lo a entender a importância de cada recomendação para sua postura de segurança geral. Microsoft Defender para Nuvem inclui um valor de pontuação seguro para cada controle para ajudar você a priorizar seu trabalho de segurança. Saiba mais em Controles de segurança e suas recomendações.
Para alertas, atribuimos rótulos de severidade a cada alerta para ajudá-lo a priorizar a ordem na qual você atende a cada alerta. Saiba mais em Como os alertas são classificados?.
Para obter mais informações, confira Integrar o Microsoft Purview aos produtos de segurança do Azure.
Proteção de Informações
Proteger a extração e o armazenamento de metadados
O Microsoft Purview é uma solução de governança de dados na nuvem. Você pode registrar e examinar diferentes fontes de dados de vários sistemas de dados de seus ambientes locais, do Azure ou de várias nuvens no Microsoft Purview. Embora a fonte de dados seja registrada e digitalizada no Microsoft Purview, os dados reais e as fontes de dados permanecem em seus locais originais, apenas metadados são extraídos de fontes de dados e armazenados em Mapa de Dados do Microsoft Purview, o que significa que você não precisa mover dados para fora da região ou seu local original para extrair os metadados no Microsoft Purview.
Quando uma conta do Microsoft Purview é implantada, além disso, um grupo de recursos gerenciados também é implantado em sua assinatura do Azure. Uma Conta de Armazenamento do Azure gerenciada é implantada dentro desse grupo de recursos. A conta de armazenamento gerenciada é usada para ingerir metadados de fontes de dados durante a verificação. Como esses recursos são consumidos pelo Microsoft Purview, eles não podem ser acessados por outros usuários ou entidades, exceto pela conta do Microsoft Purview. Isso ocorre porque uma atribuição de controle de acesso baseado em função do Azure (RBAC) é adicionada automaticamente para todas as entidades a esse grupo de recursos no momento da implantação da conta do Microsoft Purview, impedindo qualquer operação CRUD nesses recursos se eles não forem iniciados do Microsoft Purview.
Onde os metadados são armazenados?
O Microsoft Purview extrai apenas os metadados de diferentes sistemas de fonte de dados em Mapa de Dados do Microsoft Purview durante o processo de verificação.
Você pode implantar uma conta do Microsoft Purview dentro de sua assinatura do Azure em qualquer região do Azure com suporte.
Todos os metadados são armazenados dentro do Mapa de Dados dentro da instância do Microsoft Purview. Isso significa que os metadados são armazenados na mesma região que sua instância do Microsoft Purview.
Como os metadados são extraídos de fontes de dados?
O Microsoft Purview permite que você use qualquer uma das seguintes opções para extrair metadados de fontes de dados:
Runtime do Azure. Os dados de metadados são extraídos e processados dentro da mesma região que suas fontes de dados.
Uma verificação manual ou automática é iniciada a partir do Mapa de Dados do Microsoft Purview por meio do runtime de integração do Azure.
O runtime de integração do Azure se conecta à fonte de dados para extrair metadados.
Os metadados são enfileirados no armazenamento gerenciado do Microsoft Purview e armazenados em Armazenamento de Blobs do Azure.
Metadados são enviados para o Mapa de Dados do Microsoft Purview.
Runtime de integração auto-hospedada. Os metadados são extraídos e processados pelo runtime de integração auto-hospedado dentro da memória das VMs do runtime de integração auto-hospedada antes de serem enviados para Mapa de Dados do Microsoft Purview. Nesse caso, os clientes precisam implantar e gerenciar uma ou mais máquinas virtuais auto-hospedadas baseadas no Windows em suas assinaturas do Azure ou em ambientes locais. A verificação de fontes de dados locais e baseadas em VM sempre requer o uso de um runtime de integração auto-hospedado. Não há suporte para o runtime de integração do Azure para essas fontes de dados. As etapas a seguir mostram o fluxo de comunicação em alto nível quando você está usando um runtime de integração auto-hospedado para verificar uma fonte de dados.
Uma verificação manual ou automática é disparada. O Microsoft Purview se conecta ao Azure Key Vault para recuperar a credencial para acessar uma fonte de dados.
A verificação é iniciada a partir do Mapa de Dados do Microsoft Purview por meio de um runtime de integração auto-hospedado.
O serviço de runtime de integração auto-hospedado da VM se conecta à fonte de dados para extrair metadados.
Os metadados são processados na memória VM para o runtime de integração auto-hospedado. Os metadados são enfileirados no armazenamento gerenciado do Microsoft Purview e armazenados em Armazenamento de Blobs do Azure.
Metadados são enviados para o Mapa de Dados do Microsoft Purview.
Se você precisar extrair metadados de fontes de dados com dados confidenciais que não podem deixar o limite de sua rede local, é altamente recomendável implantar a VM de runtime de integração auto-hospedada dentro de sua rede corporativa, onde estão localizadas fontes de dados, extrair e processar metadados no local e enviar apenas metadados para o Microsoft Purview.
Uma verificação manual ou automática é disparada. O Microsoft Purview se conecta ao Azure Key Vault para recuperar a credencial para acessar uma fonte de dados.
A verificação é iniciada por meio do runtime de integração auto-hospedada local.
O serviço de runtime de integração auto-hospedado da VM se conecta à fonte de dados para extrair metadados.
Os metadados são processados na memória VM para o runtime de integração auto-hospedado. Os metadados são enfileirados no armazenamento gerenciado do Microsoft Purview e armazenados em Armazenamento de Blobs do Azure. Os dados reais nunca saem do limite da rede.
Metadados são enviados para o Mapa de Dados do Microsoft Purview.
Proteção e criptografia de informações
O Azure oferece muitos mecanismos para manter os dados privados em repouso e à medida que ele passa de um local para outro. Para o Microsoft Purview, os dados são criptografados em repouso usando chaves gerenciadas pela Microsoft e quando os dados estão em trânsito, usando o TLS (Transport Layer Security) v1.2 ou superior.
Segurança da camada de transporte (criptografia em trânsito)
Os dados em trânsito (também conhecidos como dados em movimento) são criptografados no Microsoft Purview.
Para adicionar outra camada de segurança além dos controles de acesso, o Microsoft Purview protege os dados do cliente criptografando dados em movimento com o TLS (Transport Layer Security) e proteja os dados em trânsito contra ataques "fora de banda" (como captura de tráfego). Ele usa criptografia para garantir que os invasores não possam ler ou modificar facilmente os dados.
O Microsoft Purview dá suporte à criptografia de dados em trânsito com o TLS (Transport Layer Security) v1.2 ou superior.
Para obter mais informações, consulte Criptografar informações confidenciais em trânsito.
Criptografia de dados transparente (criptografia em repouso)
Os dados em repouso incluem informações que residem no armazenamento persistente em mídia física, em qualquer formato digital. A mídia pode incluir arquivos em mídia magnética ou óptica, dados arquivados e backups de dados dentro das regiões do Azure.
Para adicionar outra camada de segurança além dos controles de acesso, o Microsoft Purview criptografa dados em repouso para proteger contra ataques "fora de banda" (como acessar o armazenamento subjacente). Ele usa criptografia com chaves gerenciadas pela Microsoft. Essa prática ajuda a garantir que os invasores não possam ler ou modificar facilmente os dados.
Para obter mais informações, consulte Criptografar dados confidenciais em repouso.
Configuração do namespace dos Hubs de Eventos Opcionais
Cada conta do Microsoft Purview pode configurar Hubs de Eventos acessíveis por meio do ponto de extremidade do Atlas Kafka. Isso pode ser habilitado na criação em Configuração ou no portal do Azure na configuração do Kafka. É recomendável habilitar apenas o hub de eventos gerenciado opcional se ele for usado para distribuir eventos dentro ou fora do Mapa de Dados da conta do Microsoft Purview. Para remover esse ponto de distribuição de informações, não configure esses pontos de extremidade ou remova-os.
Para remover namespaces de Hubs de Eventos configurados, você pode seguir estas etapas:
- Pesquise e abra sua conta do Microsoft Purview no portal do Azure.
- Selecione Configuração do Kafka em configurações na página da conta do Microsoft Purview no portal do Azure.
- Selecione os Hubs de Eventos que você deseja desabilitar. (Hubs de gancho enviam mensagens para o Microsoft Purview. Os hubs de notificação recebem notificações.)
- Selecione Remover para salvar a escolha e iniciar o processo de desabilitação. Isso pode levar vários minutos para ser concluído.
Observação
Se você tiver um ponto de extremidade privado de ingestão ao desabilitar esse namespace dos Hubs de Eventos, depois de desabilitar o ponto de extremidade privado de ingestão poderá ser mostrado como desconectado.
Para obter mais informações sobre como configurar esses namespaces dos Hubs de Eventos, confira: Configurar hubs de eventos para tópicos do Atlas Kafka
Gerenciador de credenciais
Para extrair metadados de um sistema de fonte de dados em Mapa de Dados do Microsoft Purview, é necessário registrar e examinar os sistemas de fonte de dados em Mapa de Dados do Microsoft Purview. Para automatizar esse processo, disponibilizamos conectores para diferentes sistemas de fonte de dados no Microsoft Purview para simplificar o processo de registro e verificação.
Para se conectar a uma fonte de dados, o Microsoft Purview requer uma credencial com acesso somente leitura ao sistema de fonte de dados.
É recomendável priorizar o uso das seguintes opções de credencial para verificação, quando possível:
- Identidade Gerenciada do Microsoft Purview
- Identidade gerenciada atribuída pelo usuário
- Entidades de serviço
- Outras opções, como chave de conta, Autenticação SQL etc.
Se você usar qualquer opção em vez de identidades gerenciadas, todas as credenciais devem ser armazenadas e protegidas dentro de um cofre de chaves do Azure. O Microsoft Purview requer acesso de get/list ao segredo no recurso Key Vault do Azure.
Como regra geral, você pode usar as seguintes opções para configurar o runtime de integração e as credenciais para verificar sistemas de fonte de dados:
| Cenário | Opção runtime | Credenciais com suporte |
|---|---|---|
| A fonte de dados é uma plataforma do Azure como um serviço, como Azure Data Lake Storage Gen 2 ou SQL do Azure dentro da rede pública | Opção 1: Azure Runtime | Identidade Gerenciada do Microsoft Purview, Entidade de Serviço ou Autenticação de Chave de Acesso/SQL (dependendo do tipo de fonte de dados do Azure) |
| A fonte de dados é uma plataforma do Azure como um serviço, como Azure Data Lake Storage Gen 2 ou SQL do Azure dentro da rede pública | Opção 2: runtime de integração auto-hospedada | Entidade de Serviço ou Autenticação de Chave de Acesso/SQL (dependendo do tipo de fonte de dados do Azure) |
| A fonte de dados é uma Plataforma do Azure como serviço, como Azure Data Lake Storage Gen 2 ou SQL do Azure dentro da rede privada usando Link Privado do Azure Service | Runtime de integração auto-hospedada | Entidade de Serviço ou Autenticação de Chave de Acesso/SQL (dependendo do tipo de fonte de dados do Azure) |
| A fonte de dados está dentro de uma VM iaaS do Azure, como SQL Server | Runtime de integração auto-hospedado implantado no Azure | Autenticação SQL ou Autenticação Básica (dependendo do tipo de fonte de dados do Azure) |
| A fonte de dados está dentro de um sistema local, como SQL Server ou Oracle | Runtime de integração auto-hospedado implantado no Azure ou na rede local | Autenticação SQL ou Autenticação Básica (dependendo do tipo de fonte de dados do Azure) |
| Multicloud | Runtime do Azure ou runtime de integração auto-hospedada com base em tipos de fonte de dados | As opções de credencial com suporte variam de acordo com os tipos de fontes de dados |
| Locatário do Power BI | Azure Runtime | Identidade Gerenciada do Microsoft Purview |
Use este guia para ler mais sobre cada origem e suas opções de autenticação com suporte.
Outras recomendações
Aplicar práticas recomendadas de segurança para VMs de runtime auto-hospedadas
Considere proteger a implantação e o gerenciamento de VMs de runtime de integração auto-hospedada no Azure ou em seu ambiente local, se o runtime de integração auto-hospedado for usado para verificar fontes de dados no Microsoft Purview.
Para VMs de runtime de integração auto-hospedadas implantadas como máquinas virtuais no Azure, siga as recomendações de práticas recomendadas de segurança para máquinas virtuais do Windows.
- Bloqueie o tráfego de entrada para suas VMs usando grupos de segurança de rede e acesso just-in-time do Azure Defender.
- Instale antivírus ou antimalware.
- Implante o Azure Defender para obter informações sobre qualquer anomalia em potencial nas VMs.
- Limite a quantidade de software nas VMs de runtime de integração auto-hospedadas. Embora não seja um requisito obrigatório ter uma VM dedicada para um runtime auto-hospedado para o Microsoft Purview, sugerimos muito o uso de VMs dedicadas especialmente para ambientes de produção.
- Monitore as VMs usando Azure Monitor para VMs. Usando o agente de análise de log, você pode capturar conteúdo, como métricas de desempenho, para ajustar a capacidade necessária para suas VMs.
- Ao integrar máquinas virtuais com Microsoft Defender para Nuvem, você pode prevenir, detectar e responder a ameaças.
- Mantenha seus computadores atualizados. Você pode habilitar o Windows Update Automático ou usar o Gerenciamento de Atualizações no Automação do Azure para gerenciar atualizações de nível do sistema operacional para o sistema operacional.
- Use vários computadores para maior resiliência e disponibilidade. Você pode implantar e registrar vários runtimes de integração auto-hospedados para distribuir as verificações em vários computadores de runtime de integração auto-hospedados ou implantar o runtime de integração auto-hospedada em um Conjunto de Dimensionamento de Máquina Virtual para maior redundância e escalabilidade.
- Opcionalmente, você pode planejar habilitar o backup do Azure de suas VMs de runtime de integração auto-hospedadas para aumentar o tempo de recuperação de uma VM de runtime de integração auto-hospedada se houver um desastre no nível da VM.
Próximas etapas
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários