Подготовка безопасности для облачной аналитики в Azure
В этой статье объясняется, как организация может реализовать подготовку безопасности с помощью управления доступом к данным и правами в Azure.
Управление доступом к данным
Организации могут использовать проверку подлинности и авторизацию для управления доступом к службам сценария. В разделе "Рекомендации" приведены рекомендации по настройке безопасности каждой службы. В качестве примера в разделе рекомендаций Azure Data Lake описаны конфигурации управления доступом и озера данных в Azure Data Lake служба хранилища.
В предыдущих статьях мы описали, как подключить приложения данных, создающие продукты данных. Наша основное внимание уделяется использованию автоматизации как можно больше.
На платформе Azure существует два способа предоставления доступа к продуктам данных:
- Использование Azure Purview (политики данных)
- Использование пользовательской платформы данных, которая предоставляет доступ через управление правами Microsoft Entra
Метод Azure Purview описывается в подготовке набора данных владельцами данных для служба хранилища Azure. Обратите внимание, что владельцы данных также могут определять полицию для групп ресурсов и подписок.
В этой статье объясняется, как использовать управление правами Microsoft Entra с пользовательским хранилищем данных для предоставления доступа к продуктам данных.
Примечание.
Каждый бизнес должен подробно определить процесс управления данными для каждого продукта данных. Например, данные с общедоступной классификацией или внутренним использованием могут быть защищены только ресурсами, но все конфиденциальные или более поздние защищены с помощью параметров конфиденциальности данных, описанных в конфиденциальности данных для облачной аналитики в Azure. Дополнительные сведения о типах классификации см . в требованиях к управлению данными Azure в современном предприятии.
Управление правами Microsoft Entra
Управление правами — это функция управления удостоверениями, которая позволяет организациям управлять жизненным циклом идентификации и доступа в масштабе путем автоматизации рабочих процессов запросов на доступ, назначений доступа, проверок и истечения срока действия. Дополнительные сведения об управлении правами и его значении см. в видео о том, что такое управление правами Microsoft Entra?
В этой статье предполагается, что вы знакомы с управлением правами идентификатора Microsoft Entra или что вы, по крайней мере, изучили документацию Майкрософт и изучите следующую терминологию.
| Срок | Description |
|---|---|
| Диспетчер пакетов | Пакет ресурсов, необходимых команде или проекту, управляемых политикой. Пакет доступа всегда должен содержаться в каталоге. Создайте новый пакет доступа для сценария, в котором пользователям необходимо запросить доступ. |
| Запрос доступа | Запрос на доступ к ресурсам в пакете для доступа. Запросы доступа обычно проходят через рабочий процесс утверждения. При утверждении запрашивающий получает назначение пакета доступа. |
| Передача прав и обязанностей | Назначение пакета доступа пользователю. Пользователь предоставляет все роли ресурсов пакета доступа. Назначение пакетов доступа обычно истекает после определенного времени. |
| Каталог | Контейнер связанных ресурсов и пакетов для доступа. Каталоги используются для делегирования, позволяя неадминистраторам создавать собственные пакеты доступа. Владельцы каталога могут добавлять ресурсы, которыми они владеют, в каталог. |
| Создатель каталогов | Пользователь, которому разрешено создавать новые каталоги. Если пользователь без прав администратора, который является автором каталога, создает новый каталог, он автоматически становится владельцем этого каталога. |
| Подключение организации | Внешний каталог Microsoft Entra или домен, с которым у вас есть связь. Вы можете указать пользователей из подключенных организаций как разрешенных запрашивать доступ. |
| Политика | Набор правил, определяющих жизненный цикл доступа к данным. Правила могут включать, как пользователи получают доступ, которые могут утверждать пользователей и как долго пользователи имеют доступ через назначение. Политики связаны с пакетами доступа. Пакет доступа может иметь несколько политик. Например, пакет с одной политикой для сотрудников, запрашивающих доступ, и второй политикой для внешних пользователей, запрашивающих доступ. |
Важно!
Клиенты Microsoft Entra в настоящее время могут подготавливать 500 каталогов с 500 пакетами доступа. Если вашей организации необходимо увеличить эти емкости, обратитесь в службу поддержки Azure.
Рабочие процессы управления доступом к данным
Ваша организация может делегировать управление доступом к контроллерам данных домена и главным сотрудникам по данным с помощью пользовательского приложения с управлением правами Microsoft Entra. Это делегирование освобождает команды приложений данных для поддержки себя без необходимости откладывать их в команды платформы. Вы можете задать несколько уровней утверждения и автоматизировать сквозное подключение и управление доступом к данным с помощью REST API Microsoft Graph и REST API управления правами.
Пакеты управления правами Microsoft Entra позволяют делегировать доступ к неадминистраторам (например, группам приложений данных), чтобы они могли создавать пакеты доступа. Пакеты доступа содержат ресурсы, которые пользователи могут запрашивать, например доступ к продуктам данных. Администраторы данных и другие диспетчеры пакетов делегированного доступа могут определять политики, содержащие правила, для которых пользователи могут запрашивать доступ, которые могут утвердить доступ и когда срок действия утвержденного доступа истекает.
Создание каталогов
Если вы реализуете data lakehouse, создайте каталог в управлении правами для каждой целевой зоны данных. В зависимости от автоматизации и размера реализации можно:
- Вызовите REST API управления правами, чтобы создать каталог для домена.
- Создайте другой каталог для каждой целевой зоны данных с помощью портала управления правами.
Если вы реализуете сетку данных, создайте каталог в управлении правами для каждого домена. В зависимости от автоматизации и размера реализации можно:
- Вызовите REST API управления правами, чтобы создать каталог для домена.
- Создайте другой каталог для каждого домена с помощью портала управления правами.
Совет
Каждый каталог может иметь собственные разрешения группы для создания пакета и управления разрешениями.
Создание продукта данных
Продукты данных рассматриваются в продуктах аналитики облачных вычислений в Azure. Для пользовательских приложений подключение данных предполагает, что сквозная безопасность будет подготовлена.
Для процесса подключения данных требуются ключевые метаданные, в том числе:
- Расположения хранилища Polyglot (вычислительные ресурсы или озеро данных)
- Утверждающие (например, руководители данных или главный директор по данным домена)
- Требования к жизненному циклу
- Проверка требований
- Домены
- Имена продуктов данных
- Классификации
Рис. 1. Создание продукта управления доступом к данным
На рисунке 1 показано, как команда приложений данных может автоматизировать подготовку безопасности для продукта данных, размещенного в озере данных. Запрос отправляется в REST API Microsoft Graph после подключения продукта к данным:
Создайте две группы безопасности с помощью API Graph Azure Active Directory, которая разрешает доступ на чтение и запись, а другой — доступ только для чтения.
- Для сквозной проверки подлинности Microsoft Entra в озерах данных предлагаются следующие соглашения об именовании групп Microsoft Entra:
- Доменное имя или имя целевой зоны данных
- Имя продукта данных
- Уровень озера данных:
RAW— необработанныеENR— обогащенныеCUR— курированные
- Имя продукта данных
RWдля чтения-записиRтолько для чтения
- Для управления доступом к таблицам предлагаются следующие соглашения об именовании групп Microsoft Entra:
- Доменное имя или имя целевой зоны данных
- Имя продукта данных
- Схема или приручить таблицу
RWдля чтения-записиRтолько для чтения
- Для сквозной проверки подлинности Microsoft Entra в озерах данных предлагаются следующие соглашения об именовании групп Microsoft Entra:
Назначьте группы безопасности продукту данных. Для озер данных это включает применение двух групп безопасности на уровне папки продукта данных и на правильном уровне озера (необработанный, обогащенный или курируемый).
Создайте пакет доступа, который объединяет группы безопасности вместе с необходимыми утверждающими и жизненным циклом (проверки доступа и срок действия).
Совет
В сложных сценариях можно создать группу безопасности сбора разрешений для записи нескольких групп безопасности, но это будет ручная задача после того, как вы уже создали группы безопасности продуктов данных.
Запрос доступа к продукту данных
Вы можете автоматизировать предоставление доступа к продукту данных с помощью пользовательского приложения и REST API управления правами.
Рис. 2. Запрос доступа к продукту данных.
Рис. 2. Общие сведения о рабочем процессе запроса на доступ к продукту данных.
Запрос доступа пользователей
- Пользователь данных просматривает marketplace данные, чтобы обнаружить продукты, к которым они хотят получить доступ.
- Платформа данных взаимодействует с REST API управления правами и запрашивает доступ к продукту данных для пользователя.
- Под управлением политики и учетной записи утверждающие уведомляются и просматривают запрос доступа на портале управления доступом. Если запрос утвержден, пользователь получает уведомление и предоставляет доступ к набору данных.
- Если ваша организация хочет предоставить разрешения пользователя на основе метаданных (например, деления пользователя, названия или расположения), можно добавить динамические группы в идентификатор Microsoft Entra в качестве утвержденной группы.
Состояние запроса пользователя
Другие службы, включенные в marketplace данных, могут проверка в текущем состоянии запросов на доступ к продуктам данных. Эти службы могут выполнять интерфейсы REST API управления правами для перечисления всех невыполненных запросов для имени пользователя или принципа службы.
Сводка по управлению доступом к данным
Управление доступом к данным в Azure разделено на следующие уровни:
- Физический уровень (например, полиглот, в котором хранится набор данных)
- Группы безопасности Microsoft Entra
- Пакеты доступа
- Пользователи и команды, обращающиеся к наборам данных
На приведенной выше схеме представлен пример реализации сетки данных, в которой для каждого домена создан один каталог. Группы продуктов данных подключены к новому набору данных или продукту в домен данных. Группа Microsoft Entra создается и назначается набору данных. Вы можете предоставить доступ с помощью сквозной проверки подлинности Microsoft Entra или с помощью управления доступом к таблицам с помощью Azure Databricks, Azure Synapse Analytics или других хранилищ многолотовой аналитики.
Управление правами Microsoft Entra создает пакеты доступа в каталоге пакетов доступа к доменам. Пакеты доступа могут содержать несколько групп Microsoft Entra. Пакет Finance Analysis предоставляет доступ к финансированию и бизнес-бизнесу А, а Finance Writers пакет предоставляет доступ к схеме F и LOB A. Предоставить доступ к создателям набора данных только для записи. В противном случае доступ только для чтения должен быть вашим значением по умолчанию.
Важно!
На предыдущей схеме показано, как добавить группы пользователей Microsoft Entra. Вы можете использовать тот же процесс для добавления субъектов-служб Azure, которые используются группами продуктов интеграции или данных для приема конвейеров и многое другое. Необходимо настроить два параметра жизненного цикла: один для пользователей для запроса краткосрочного доступа (30 дней), а другой — для запроса более длительного доступа (90 дней).
Следующие шаги
- Упорядочение членов группы по операциям с данными для облачной аналитики в Azure
- Развертывание управления правами Microsoft Entra (видео)
- Ознакомьтесь с общими сценариями управления правами Microsoft Entra, чтобы получить дополнительные сведения об управлении правами.