Dela via

Etablera säkerhet för analys i molnskala i Azure

  • Artikel

Den här artikeln beskriver hur din organisation kan implementera säkerhetsetablering via dataåtkomst och berättigandehantering i Azure.

Hantera dataåtkomst

Organisationer kan använda autentisering och auktorisering för att styra åtkomsten till scenariots tjänster. Vårt avsnitt med metodtips ger vägledning för hur du konfigurerar varje enskild tjänsts säkerhet. Till exempel beskriver avsnittet metodtips för Azure Data Lake åtkomstkontroll och datasjökonfigurationer i Azure Data Lake Storage.

I tidigare artiklar har vi beskrivit hur du registrerar dataprogram som skapar dina dataprodukter. Vårt fokus har främst legat på att använda automatisering så mycket som möjligt.

På Azure-plattformen finns det två sätt att ge åtkomst till dataprodukter:

  • Använda Azure Purview (dataprinciper)
  • Använda en anpassad datamarknad, som ger åtkomst via Microsoft Entra-berättigandehantering

Azure Purview-metoden förklaras i datauppsättningsetablering av dataägare för Azure Storage. Observera att dataägare också kan definiera principer för resursgrupper och prenumerationer.

Den här artikeln beskriver hur du kan använda Microsoft Entra-berättigandehantering med en anpassad datamarknad för att ge åtkomst till dataprodukter.

Kommentar

Varje företag måste definiera sin datastyrningsprocess i detalj för varje dataprodukt. Data med en offentlig klassificering eller intern användning kan till exempel skyddas av resurser, men allt som är konfidentiellt eller högre skyddas med hjälp av alternativ som beskrivs i datasekretess för analys i molnskala i Azure. Mer information om klassificeringstyper finns i krav för att styra Azure-data i ett modernt företag.

Hantera Microsoft Entra-berättigande

Berättigandehantering är en funktion för identitetsstyrning som gör det möjligt för organisationer att hantera identitets- och åtkomstlivscykeln i stor skala genom att automatisera arbetsflöden för åtkomstbegäran, åtkomsttilldelningar, granskningar och upphörande. En sammanfattning av rättighetshantering och dess värde finns i videon Vad är Microsoft Entra-berättigandehantering?

Den här artikeln förutsätter att du är bekant med Microsoft Entra ID-berättigandehantering eller att du åtminstone har studerat Microsoft-dokumentationen och förstår följande terminologi.

Period Description
Åtkomstpaket Ett paket med resurser som ett team eller projekt behöver, styrt av en princip. Ett åtkomstpaket måste alltid finnas i en katalog. Skapa ett nytt åtkomstpaket för ett scenario där användarna behöver begära åtkomst.
Åtkomstbegäran En begäran om att få åtkomst till resurserna i ett åtkomstpaket. Åtkomstbegäranden går vanligtvis igenom ett arbetsflöde för godkännande. Om den godkänns får beställaren en tilldelning av åtkomstpaket.
Tilldelning En tilldelning av ett åtkomstpaket till en användare. Användaren får alla resursroller i ett åtkomstpaket. Åtkomstpakettilldelningar är vanligtvis inställda på att upphöra att gälla efter en viss tid.
Katalog En container med relaterade resurser och åtkomstpaket. Kataloger används för delegering, vilket gör att icke-administratörer kan skapa sina egna åtkomstpaket. Katalogägare kan lägga till resurser som de äger i en katalog.
Katalogskapare En användare som har behörighet att skapa nya kataloger. När en icke-administratörsanvändare som har behörighet att vara katalogskapare skapar en ny katalog blir de automatiskt ägare till katalogen.
Anslut organisation En extern Microsoft Entra-katalog eller domän som du har en relation till. Du kan ange att användare från anslutna organisationer ska kunna begära åtkomst.
Princip En uppsättning regler som definierar livscykeln för dataåtkomst. Regler kan omfatta hur användare får åtkomst, vem som kan godkänna användare och hur länge användarna har åtkomst via en tilldelning. Principer är länkade till åtkomstpaket. Ett åtkomstpaket kan ha mer än en princip. Ett exempel är ett paket med en princip för anställda som begär åtkomst och en andra princip för externa användare som begär åtkomst.

Viktigt!

Microsoft Entra-klienter kan för närvarande etablera 500 kataloger med 500 åtkomstpaket. Om din organisation behöver öka dessa kapaciteter kontaktar du Azure Support.

Arbetsflöden för hantering av dataåtkomst

Din organisation kan delegera åtkomststyrning till dina domändataförvaltare och chief data officers med hjälp av ett anpassat program med Microsoft Entra-berättigandehantering. Den här delegeringen frigör dataprogramteam för att stödja sig själva utan att behöva skjuta upp till dina plattformsteam. Du kan ange flera godkännandenivåer och automatisera registrering från slutpunkt till slutpunkt och dataåtkomsthantering via Microsoft Graph REST API och REST API:er för berättigandehantering.

Med Microsoft Entra-rättighetshanteringspaket kan du delegera åtkomst till icke-administratörer (till exempel dina dataprogramteam) så att de kan skapa åtkomstpaket. Åtkomstpaket innehåller resurser som användarna kan begära, till exempel åtkomst till dataprodukter. Dina dataförvaltare och andra delegerade åtkomstpakethanterare kan definiera principer som innehåller regler för vilka användare kan begära åtkomst, vem som kan godkänna deras åtkomst och när deras godkända åtkomst upphör att gälla.

Skapa kataloger

Om du implementerar ett datasjöhus skapar du en katalog i berättigandehantering för varje datalandningszon. Beroende på automatisering och implementeringens storlek kan du antingen:

  • Anropa REST-API:er för berättigandehantering för att skapa en katalog för domänen.
  • Skapa en annan katalog för varje datalandningszon via portalen för berättigandehantering.

Om du implementerar ett datanät skapar du en katalog i berättigandehantering för varje domän. Beroende på automatisering och implementeringens storlek kan du antingen:

  • Anropa REST-API:er för berättigandehantering för att skapa en katalog för domänen.
  • Skapa en annan katalog för varje domän via portalen för berättigandehantering.

Dricks

Varje katalog kan ha sina egna gruppbehörigheter för skapande av paket och behörighetshantering.

Skapa dataprodukt

Dataprodukter diskuteras i dataprodukter i molnskala i Azure. För anpassade program innebär dataregistrering en förväntan på att säkerhet från slutpunkt till slutpunkt ska etableras.

Registreringsprocessen för data kräver viktiga metadata, inklusive:

  • Flerspråkiga lagringsplatser (beräkning eller datasjö)
  • Godkännare (till exempel dataförvaltare eller chief data officer för en domän)
  • Livscykelkrav
  • Granska krav
  • Domäner
  • Namn på dataprodukt
  • Klassificeringar

Create data product security groupsBild 1: Skapande av dataåtkomsthanteringsdata

Bild 1 visar hur ditt dataprogramteam kan automatisera säkerhetsetablering för en dataprodukt som finns i en datasjö. En begäran skickas till Microsoft Graph REST-API:er efter registrering av dataprodukter till:

  1. Skapa två säkerhetsgrupper via Azure Active Directory Graph API, en som tillåter läs-/skrivåtkomst och en annan som endast tillåter läsåtkomst.

    • Följande namngivningskonventioner för Microsoft Entra-grupper föreslås för Microsoft Entra-direktautentisering i datasjöar:
      • Domännamn eller namn på datalandningszon
      • Namn på dataprodukt
      • Data lake layer:
        • RAW för rå
        • ENR för berikad
        • CUR för kuraterad
      • Namn på dataprodukt
        • RW för läs-skriva
        • R för skrivskyddad
    • Följande namngivningskonventioner för Microsoft Entra-grupper föreslås för tabellåtkomstkontroll:
      • Domännamn eller namn på datalandningszon
      • Namn på dataprodukt
      • Schema eller tabelltämta
        • RW för läs-skriva
        • R för skrivskyddad

  2. Tilldela dina säkerhetsgrupper till dataprodukten. För datasjöar innebär detta att du tillämpar dina två säkerhetsgrupper på dataproduktmappsnivå och på rätt sjöskikt (rå, berikad eller kuraterad).

  3. Skapa ett åtkomstpaket som paketerar dina säkerhetsgrupper tillsammans med nödvändiga godkännare och livscykel (åtkomstgranskningar och förfallodatum).

Dricks

I komplexa scenarier kan du skapa en säkerhetsgrupp för behörighetsinsamling för att samla in flera säkerhetsgrupper, men det skulle vara en manuell uppgift när du redan har skapat dina säkerhetsgrupper för dataprodukter.

Begära produktåtkomst för data

Du kan automatisera beviljandet av dataproduktåtkomst med hjälp av ett anpassat program och REST-API:er för berättigandehantering.

Request access to a data productBild 2: Begär åtkomst till en dataprodukt.

Bild 2 innehåller en översikt över ett arbetsflöde för dataproduktåtkomstbegäran.

Begäran om användaråtkomst

  1. En dataanvändare bläddrar på datamarknaden för att identifiera de produkter som de vill ha åtkomst till.
  2. Data marketplace-gränssnitten med REST API:er för berättigandehantering och begär åtkomst till dataprodukten för användaren.
  3. Med förbehåll för princip och konto meddelas godkännare och granskar åtkomstbegäran i åtkomsthanteringsportalen. Om begäran godkänns meddelas användaren och får åtkomst till datauppsättningen.
  4. Om din organisation vill bevilja användarbehörigheter baserat på metadata (till exempel en användares division, rubrik eller plats) kan du lägga till dynamiska grupper i Microsoft Entra-ID som en godkänd grupp.

Status för användarbegäran

Andra tjänster som ingår på datamarknaden kan kontrollera den aktuella statusen för dataproduktåtkomstbegäranden. Dessa tjänster kan interagera med REST-API:er för berättigandehantering för att visa en lista över alla utestående begäranden om ett användar- eller tjänstprincipnamn.

Sammanfattning av dataåtkomsthantering

Dataåtkomsthantering i Azure är indelat i följande nivåer:

  • Det fysiska lagret (till exempel den polyglot som lagrar datamängden)
  • Microsoft Entra-säkerhetsgrupper
  • Åtkomstpaket
  • Användare och team som har åtkomst till datauppsättningar

Example of using Microsoft Entra Entitlement Management.

Diagrammet ovan innehåller ett exempel på implementering av datanät där en katalog har skapats för varje domän. Dataproduktteam registrerar den nya datamängden eller produkten till en datadomän. En Microsoft Entra-grupp skapas och tilldelas till datauppsättningen. Du kan bevilja åtkomst med Microsoft Entra-direktautentisering eller med åtkomstkontroll för tabeller med hjälp av Azure Databricks, Azure Synapse Analytics eller andra polyglotarkiv för analys.

Microsoft Entra-rättighetshantering skapar åtkomstpaket i katalogen domänåtkomstpaket. Åtkomstpaket kan innehålla flera Microsoft Entra-grupper. Paketet Finance Analysis ger åtkomst till ekonomi och LOB A, medan Finance Writers paketet ger åtkomst till schema F och LOB A. Bevilja endast skrivåtkomst till datauppsättningsskapare. Annars bör skrivskyddad åtkomst vara standard.

Viktigt!

Föregående diagram visar hur du lägger till Microsoft Entra-användargrupper. Du kan använda samma process för att lägga till Azure-tjänstens huvudnamn, som används av integrerings- eller dataproduktteam för inmatningspipelines med mera. Du bör konfigurera två livscykelinställningar: en för användare att begära kortsiktig åtkomst (30 dagar) och en annan för att begära längre åtkomst (90 dagar).

Nästa steg