Proteção de dados no Azure Stream Analytics

O Azure Stream Analytics é uma plataforma como serviço totalmente gerida que lhe permite criar pipelines de análise em tempo real. Todo o trabalho pesado, como o aprovisionamento de clusters, o dimensionamento de nós para acomodar a sua utilização e a gestão de pontos de verificação internos, é gerido nos bastidores.

Recursos de dados privados armazenados

O Azure Stream Analytics mantém os seguintes metadados e dados para executar:

• Definição de consulta e respetiva configuração relacionada

• Funções ou agregações definidas pelo utilizador

• Pontos de verificação necessários para o runtime do Stream Analytics

• Instantâneos de dados de referência

• Detalhes da ligação dos recursos utilizados pela tarefa do Stream Analytics

In-Region Data Residency

O Azure Stream Analytics armazena dados de clientes e outros metadados descritos acima. Por predefinição, os dados do cliente são armazenados pelo Azure Stream Analytics numa única região, pelo que este serviço cumpre automaticamente os requisitos de residência dos dados da região, incluindo os especificados no Centro de Confiança. Além disso, pode optar por armazenar todos os recursos de dados (dados do cliente e outros metadados) relacionados com a tarefa de análise de fluxos numa única região ao encriptá-los numa conta de armazenamento à sua escolha.

Encriptar os dados

O Stream Analytics utiliza automaticamente as melhores normas de encriptação em toda a respetiva infraestrutura para encriptar e proteger os seus dados. Pode simplesmente confiar no Stream Analytics para armazenar de forma segura todos os seus dados para que não tenha de se preocupar com a gestão da infraestrutura.

Se quiser utilizar chaves geridas pelo cliente para encriptar os seus dados, pode utilizar a sua própria conta de armazenamento (para fins gerais V1 ou V2) para armazenar quaisquer recursos de dados privados que sejam exigidos pelo runtime do Stream Analytics. A sua conta de armazenamento pode ser encriptada conforme necessário. Nenhum dos seus recursos de dados privados é armazenado permanentemente pela infraestrutura do Stream Analytics.

Esta definição tem de ser configurada no momento da criação da tarefa do Stream Analytics e não pode ser modificada ao longo do ciclo de vida da tarefa. Não é recomendada a modificação ou eliminação do armazenamento que está a ser utilizado pelo Stream Analytics. Se eliminar a sua conta de armazenamento, eliminará permanentemente todos os recursos de dados privados, o que fará com que a tarefa falhe.

Não é possível atualizar ou rodar chaves para a sua conta de armazenamento com o portal do Stream Analytics. Pode atualizar as chaves com as APIs REST. Também pode ligar-se à sua conta de armazenamento de tarefas através da autenticação de identidade gerida com serviços fidedignos permitidos.

Se a conta de armazenamento que pretende utilizar estiver num Rede Virtual do Azure, tem de utilizar o modo de autenticação de identidade gerida com Permitir serviços fidedignos. Para obter mais informações, visite: Ligar tarefas do Stream Analytics a recursos num Rede Virtual do Azure (VNet).

Configurar a conta de armazenamento para dados privados

Encripte a sua conta de armazenamento para proteger todos os seus dados e escolha explicitamente a localização dos seus dados privados.

Utilize os seguintes passos para configurar a sua conta de armazenamento para recursos de dados privados. Esta configuração é feita a partir da sua tarefa do Stream Analytics, não da sua conta de armazenamento.

1. Inicie sessão no portal do Azure.

2. Selecione Criar um recurso no canto superior esquerdo do portal do Azure.

3. Selecione Tarefa doStream Analytics do Analytics> na lista de resultados.

4. Preencha a página da tarefa do Stream Analytics com os detalhes necessários, como o nome, a região e o dimensionamento.

5. Selecione a caixa de verificação que indica Proteger todos os recursos de dados privados necessários para esta tarefa na minha conta de Armazenamento.

6. Selecione uma conta de armazenamento na sua subscrição. Tenha em atenção que esta definição não pode ser modificada ao longo do ciclo de vida da tarefa. Também não pode adicionar esta opção depois de a tarefa ser criada.

7. Para autenticar com uma cadeia de ligação, selecione Cadeia de ligação na lista pendente Modo de autenticação. A chave da conta de armazenamento é preenchida automaticamente a partir da sua subscrição.

   

8. Para autenticar com a Identidade Gerida, selecione Identidade Gerida na lista pendente Modo de autenticação. Se escolher Identidade Gerida, terá de adicionar a sua tarefa do Stream Analytics à lista de controlo de acesso da conta de armazenamento com a função Contribuidor de Dados do Blob de Armazenamento . Se não conceder acesso ao seu trabalho, a tarefa não poderá realizar operações. Para obter mais informações sobre como conceder acesso, veja Utilizar o RBAC do Azure para atribuir um acesso de identidade gerida a outro recurso.

   

Recursos de dados privados armazenados pelo Stream Analytics

Todos os dados privados necessários para serem mantidos pelo Stream Analytics são armazenados na sua conta de armazenamento. Exemplos de recursos de dados privados incluem:

• Consultas que criou e as respetivas configurações relacionadas

• Funções definidas pelo utilizador

• Pontos de verificação necessários para o runtime do Stream Analytics

• Instantâneos de dados de referência

Os detalhes de ligação dos seus recursos, que são utilizados pela sua tarefa do Stream Analytics, também são armazenados. Encripte a sua conta de armazenamento para proteger todos os seus dados.

Ativa Data Residency

Pode utilizar esta funcionalidade para impor quaisquer requisitos de residência de dados que possa ter ao fornecer uma conta de armazenamento em conformidade.

Passos seguintes

• Criar uma conta de Armazenamento do Azure
• Compreender as entradas do Azure Stream Analytics
• Conceitos de ponto de verificação e repetição nas tarefas do Azure Stream Analytics
• Utilizar dados de referência para pesquisas no Stream Analytics