Compartilhar via

Provisionar segurança para análise em escala de nuvem no Azure

  • Artigo

Este artigo explica como sua organização pode implementar o provisionamento de segurança por meio do acesso a dados e do gerenciamento de direitos no Azure.

Gerenciar o acesso a dados

As organizações podem usar a autenticação e a autorização para controlar o acesso aos serviços do cenário delas. Nossa seção de melhores práticas fornece diretrizes para configurar a segurança de cada serviço específico. Por exemplo, a seção de melhores práticas do Azure Data Lake descreve as configurações de controle de acesso e de data lake no Azure Data Lake Storage.

Em artigos anteriores, descrevemos como integrar aplicativos de dados que criam seus produtos de dados. Nosso foco tem se concentrado predominantemente no uso da automação, tanto quanto possível.

Na plataforma do Azure, há duas maneiras de dar acesso a produtos de dados:

  • Como usar o Azure Purview (políticas de dados)
  • Usando um mercado de dados personalizado, que concede acesso por meio do gerenciamento de direitos do Microsoft Entra

O método do Azure Purview é explicado no provisionamento de conjunto de dados por proprietários de dados para o Armazenamento do Azure. Observe que os proprietários de dados também podem definir políticas para grupos de recursos e assinaturas.

Este artigo explica como você pode usar o gerenciamento de direitos do Microsoft Entra com um mercado de dados personalizado para conceder acesso a produtos de dados.

Observação

Toda empresa precisa definir em detalhes o processo de governança de dados dela para cada produto de dados. Por exemplo, dados com classificação pública ou somente para uso interno podem ser protegidos por recursos, mas qualquer coisa confidencial ou superior é protegida usando as opções descritas em Privacidade de dados para análise em escala de nuvem no Azure. Para saber mais sobre os tipos de classificação, confira Requisitos de governança de dados do Azure em uma empresa moderna.

Gerenciar direitos do Microsoft Entra

O Gerenciamento de Direitos é um recurso de governança de identidade que permite que as organizações gerenciem o ciclo de vida de identidade e o acesso em escala, automatizando fluxos de trabalho de solicitação de acesso, atribuições de acesso, revisões e expiração. Para obter uma recapitulação do gerenciamento de direitos e seu valor, consulte o vídeo O que é o gerenciamento de direitos do Microsoft Entra? .

Este artigo presume que você esteja familiarizado com o gerenciamento de direitos do Microsoft Entra ID ou que tenha pelo menos estudado a documentação da Microsoft e entendido a terminologia a seguir.

Termo Descrição
Pacote de acesso Um pacote de recursos de que uma equipe ou um projeto precisa, regido por políticas. Um pacote de acesso sempre está contido em um catálogo. Crie um pacote de acesso para um cenário em que os usuários precisam solicitar acesso.
Solicitação de acesso Uma solicitação para acessar os recursos em um pacote de acesso. As solicitações de acesso normalmente passam por um fluxo de trabalho de aprovação. Se aprovada, o solicitante recebe uma atribuição de pacote de acesso.
Atribuição Uma atribuição de um pacote de acesso a um usuário. O usuário é fornecido com todas as funções de recurso de um pacote de acesso. Normalmente, as atribuições de pacote de acesso são definidas para expirar após determinado período.
Catálogo Um contêiner de recursos relacionados e pacotes de acesso. Os catálogos são usados para delegação, permitindo que não administradores possam criar pacotes de acesso próprios. Os proprietários do catálogo podem adicionar recursos que eles têm a um catálogo.
Criador de catálogos Um usuário autorizado a criar catálogos. Quando um usuário não administrador que está autorizado a ser um criador de catálogos cria um catálogo, ele se torna automaticamente o proprietário desse catálogo.
Organização conectada Um diretório ou domínio externo do Microsoft Entra com o qual você tem uma relação. Você pode especificar usuários de organizações conectadas como tendo permissão para solicitar acesso.
Política Um conjunto de regras que define o ciclo de vida de acesso a dados. As regras podem incluir como os usuários obtêm acesso, quem pode aprovar usuários e por quanto tempo os usuários têm acesso por meio de uma atribuição. As políticas estão vinculadas a pacotes de acesso. Um pacote de acesso pode ter mais de uma política. Um exemplo seria um pacote que tem uma política para funcionários que solicitam acesso e uma segunda política para usuários externos que solicitam acesso.

Importante

Atualmente, os locatários do Microsoft Entra podem provisionar 500 catálogos com 500 pacotes de acesso. Se a sua organização precisar aumentar essas capacidades, entre em contato com o Suporte do Azure.

Fluxos de trabalho de gerenciamento de acesso a dados

Sua organização pode delegar a governança de acesso aos administradores de dados de domínio e diretores de dados usando um aplicativo personalizado com o gerenciamento de direitos do Microsoft Entra. Essa delegação libera as equipes de aplicativos de dados para oferecerem suporte umas às outras, sem a necessidade de aguardar por suas equipes da plataforma. Você pode definir vários níveis de aprovação e automatizar o gerenciamento de integração de ponta a ponta e acesso a dados por meio da API REST do Microsoft Graph e das APIs REST de Gerenciamento de Direitos.

Os pacotes de gerenciamento de direitos do Microsoft Entra permitem que você delegue acesso a não administradores (como suas equipes de aplicativos de dados) para que eles possam criar pacotes de acesso. Os pacotes de acesso contêm recursos que os usuários podem solicitar, como acesso a produtos de dados. Os administradores de dados e outros gerenciadores de pacotes de acesso delegados podem definir políticas que contêm regras para as quais os usuários podem solicitar acesso, quem pode aprovar o acesso deles e quando esse acesso aprovado vai expirar.

Criar catálogos

Se você estiver implementando um data lakehouse, crie um catálogo no gerenciamento de direitos para cada zona de destino de dados. Dependendo da automação e do tamanho da implementação, você pode:

  • Chame as APIs REST de Gerenciamento de Direitos para criar um catálogo para o domínio.
  • Crie outro catálogo para cada zona de destino de dados por meio do portal de Gerenciamento de Direitos.

Se você estiver implementando uma malha de dados, crie um catálogo no gerenciamento de direitos para cada domínio. Dependendo da automação e do tamanho da implementação, você pode:

Dica

Cada catálogo pode ter suas próprias permissões de grupo para criação de pacotes e gerenciamento de permissões.

Criação de produto de dados

Os produtos de dados são discutidos em produtos de dados de análise em escala de nuvem no Azure. Para aplicativos personalizados, a integração de dados envolve uma expectativa de que a segurança de ponta a ponta seja provisionada.

O processo de integração de dados requer metadados de chave, incluindo:

  • Locais de armazenamento poliglota (computação ou data lake)
  • Aprovadores (como administradores de dados ou o diretor de dados de um domínio)
  • Requisitos de ciclo de vida
  • Analisar requisitos
  • Domínios
  • Nomes de produtos de dados
  • Classificações

Create data product security groupsFigura 1: Criação de produtos de dados de gerenciamento de acesso a dados

A Figura 1 ilustra como sua equipe de aplicativos de dados pode automatizar o provisionamento de segurança para um produto de dados que reside em um data lake. Uma solicitação é enviada para as APIs REST do Microsoft Graph após a integração do produto de dados para:

  1. Criar dois grupos de segurança por meio da API do Graph do Azure Active Directory, um permitindo acesso de leitura/gravação e outro permitindo apenas acesso de leitura.

    • As seguintes convenções de nomenclatura de grupo do Microsoft Entra são sugeridas para autenticação de passagem do Microsoft Entra em data lakes:
      • Nome de domínio ou nome da zona de destino de dados
      • Nome do produto de dados
      • Camada do data lake:
        • RAW para brutos
        • ENR para enriquecidos
        • CUR para coletados
      • Nome do produto de dados
        • RW para leitura/gravação
        • R para somente leitura
    • As seguintes convenções de nomenclatura de grupo do Microsoft Entra são sugeridas para controle de acesso de tabela:
      • Nome de domínio ou nome da zona de destino de dados
      • Nome do produto de dados
      • Esquema ou tabela domar
        • RW para leitura/gravação
        • R para somente leitura

  2. Atribua seus grupos de segurança ao produto de dados. Para data lakes, isso envolve a aplicação de seus dois grupos de segurança no nível da pasta do produto de dados e na camada correta do lago (bruto, enriquecido ou coletado).

  3. Crie um pacote de acesso que agrupe seus grupos de segurança junto com os aprovadores e o ciclo de vida necessários (revisões de acesso e expiração).

Dica

Em cenários complexos, você pode criar um grupo de segurança de coleta de permissões para capturar vários grupos de segurança, mas isso seria uma tarefa manual depois de já ter criado seus grupos de segurança de produtos de dados.

Solicitar acesso ao produto de dados

Você pode automatizar a concessão de acesso ao produto de dados usando um aplicativo personalizado e as APIs REST de Gerenciamento de Direitos.

Request access to a data productFigura 2: Solicitar acesso a um produto de dados.

A Figura 2 fornece uma visão geral de um fluxo de trabalho de solicitação de acesso ao produto de dados.

Solicitação de acesso do usuário

  1. Um usuário de dados navega no marketplace de dados para descobrir os produtos aos quais deseja acessar.
  2. O marketplace de dados interage com as APIs REST de Gerenciamento de Direitos e solicita acesso ao produto de dados para o usuário.
  3. Sujeitos à política e à conta, os aprovadores são notificados e examinam a solicitação de acesso no portal de gerenciamento de acesso. Se a solicitação é aprovada, o usuário é notificado e recebe acesso ao conjunto de dados.
  4. Se sua organização quiser conceder permissões de usuário com base em metadados (como divisão, título ou local de um usuário), você poderá adicionar grupos dinâmicos na ID do Microsoft Entra como um grupo aprovado.

Status da solicitação do usuário

Outros serviços incluídos no marketplace de dados podem verificar o status atual das solicitações de acesso ao produto de dados. Esses serviços podem fazer interface com as APIs REST de Gerenciamento de Direitos para listar todas as solicitações pendentes para um nome de usuário ou de princípio de serviço.

Resumo do gerenciamento de acesso a dados

O gerenciamento de acesso a dados no Azure é dividido nas seguintes camadas:

  • A camada física (como o poliglota que armazena seu conjunto de dados)
  • Grupos de segurança do Microsoft Entra
  • Pacotes de acesso
  • Usuários e equipes que acessam conjuntos de dados

Example of using Microsoft Entra Entitlement Management.

O diagrama acima fornece uma implementação de malha de dados de exemplo em que um catálogo foi criado para cada domínio. As equipes de produtos de dados integram o novo conjunto de dados ou produto a um domínio de dados. Um grupo do Microsoft Entra é criado e atribuído ao conjunto de dados. Você pode conceder acesso com a autenticação de passagem do Microsoft Entra ou com o controle de acesso de tabela usando o Azure Databricks, o Azure Synapse Analytics ou outros repositórios poliglotas de análise.

O gerenciamento de direitos do Microsoft Entra cria pacotes de acesso no catálogo de pacotes de acesso de domínios. Os pacotes do Access podem conter vários grupos do Microsoft Entra. O pacote Finance Analysis fornece acesso a finanças e a LOB A e o pacote Finance Writers fornece acesso ao esquema F e a LOB A. Conceda acesso de gravação apenas aos criadores do conjunto de dados. Caso contrário, o acesso somente leitura deve ser o padrão.

Importante

O diagrama anterior ilustra como você adiciona grupos de usuários do Microsoft Entra. Você pode usar o mesmo processo para adicionar entidades de serviço do Azure, que são usadas por equipes de integração ou de produtos de dados para pipelines de ingestão e muito mais. Você deve definir duas configurações de ciclo de vida: uma para os usuários solicitarem acesso de curto prazo (30 dias) e outra para solicitarem períodos de acesso mais longos (90 dias).

Próximas etapas