Azure'da bulut ölçeğinde analiz için güvenlik sağlama
Bu makalede, kuruluşunuzun Azure'da veri erişimi ve yetkilendirme yönetimi aracılığıyla güvenlik sağlamayı nasıl uygulayabileceği açıklanmaktadır.
Veri erişimini yönetme
Kuruluşlar, senaryolarının hizmetlerine erişimi denetlemek için kimlik doğrulaması ve yetkilendirme kullanabilir. En iyi yöntemler bölümümüz, belirli hizmetlerin güvenliğini ayarlamak için rehberlik sağlar. Örnek olarak, Azure Data Lake en iyi yöntemler bölümünde Azure Data Lake Depolama erişim denetimi ve veri gölü yapılandırmaları açıklanmaktadır.
Önceki makalelerde, veri ürünlerinizi oluşturan veri uygulamalarının nasıl eklendiğini açıklayacağız. Odağımız ağırlıklı olarak otomasyonu mümkün olduğunca kullanmaya odaklanmıştır.
Azure platformunda veri ürünlerine erişim vermenin iki yolu vardır:
- Azure Purview'ı kullanma (veri ilkeleri)
- Microsoft Entra yetkilendirme yönetimi aracılığıyla erişim sağlayan özel bir veri marketi kullanma
Azure Purview yöntemi, Azure Depolama için veri sahipleri tarafından veri kümesi sağlamada açıklanmıştır. Veri sahiplerinin kaynak grupları ve abonelikler için ilkeleri de tanımlayabileceğini unutmayın.
Bu makalede, veri ürünlerine erişim vermek için özel bir veri marketi ile Microsoft Entra yetkilendirme yönetimini nasıl kullanabileceğiniz açıklanmaktadır.
Dekont
Her işletme, her veri ürünü için kendi veri idare sürecini ayrıntılı olarak tanımlamalıdır. Örneğin, genel sınıflandırmaya veya iç kullanıma sahip veriler yalnızca kaynaklar tarafından güvenli hale getirilebilir, ancak gizli veya yukarıdaki her şey Azure'da bulut ölçeğinde analiz için veri gizliliğinde özetlenen seçenekler kullanılarak güvenli hale gelir. Sınıflandırma türleri hakkında daha fazla bilgi edinmek için bkz . Modern bir kuruluşta Azure verilerini yönetme gereksinimleri.
Microsoft Entra yetkilendirmesini yönetme
Yetkilendirme yönetimi, kuruluşların erişim isteği iş akışlarını, erişim atamalarını, gözden geçirmeleri ve süre sonunu otomatikleştirerek kimlik ve erişim yaşam döngüsünü büyük ölçekte yönetmesine olanak tanıyan bir kimlik idaresi özelliğidir. Yetkilendirme yönetiminin ve değerinin özeti için Bkz . Microsoft Entra yetkilendirme yönetimi nedir? videosu.
Bu makalede, Microsoft Entra ID yetkilendirme yönetimi hakkında bilgi sahibi olduğunuz veya en azından Microsoft belgelerini inceleyip aşağıdaki terminolojiyi anladığınız varsayılır.
| Süre | Tanım |
|---|---|
| Erişim paketi | Bir ekip veya projenin ihtiyaç duyduğu ve ilkeye tabi olan bir kaynak paketi. Erişim paketinin her zaman bir katalogda bulunması gerekir. Kullanıcıların erişim istemesi gereken bir senaryo için yeni bir erişim paketi oluşturun. |
| Erişim isteği | Erişim paketindeki kaynaklara erişme isteği. Erişim istekleri genellikle bir onay iş akışından geçer. Onaylanırsa, istekte bulunan bir erişim paketi ataması alır. |
| Atama | Kullanıcıya erişim paketi ataması. Kullanıcıya erişim paketinin tüm kaynak rolleri sağlanır. Erişim paketi atamaları genellikle belirli bir süre sonra sona erecek şekilde ayarlanır. |
| Katalog | İlgili kaynakların ve erişim paketlerinin kapsayıcısı. Kataloglar temsilci seçme için kullanılır ve yönetici olmayanların kendi erişim paketlerini oluşturmasına olanak sağlar. Katalog sahipleri, sahip oldukları kaynakları kataloğa ekleyebilir. |
| Katalog oluşturucu | Yeni katalog oluşturma yetkisi olan bir kullanıcı. Katalog oluşturucusu olma yetkisine sahip yönetici olmayan bir kullanıcı yeni bir katalog oluşturduğunda, otomatik olarak bu kataloğun sahibi olur. |
| Bağlan kuruluş | İlişkiniz olan bir dış Microsoft Entra dizini veya etki alanı. Bağlı kuruluşlardan kullanıcıların erişim istemesine izin verileceğini belirtebilirsiniz. |
| İlke | Veri erişim yaşam döngüsünü tanımlayan bir dizi kural. Kurallar, kullanıcıların nasıl erişim elde ettiğini, kullanıcıları kimlerin onaylayabileceğinizi ve kullanıcıların bir atama aracılığıyla ne kadar süreyle erişime sahip olduğunu içerebilir. İlkeler erişim paketlerine bağlanır. Erişim paketinde birden fazla ilke olabilir. Örneğin, erişim isteyen çalışanlar için bir ilkeye ve erişim isteyen dış kullanıcılara yönelik ikinci ilkeye sahip bir paket olabilir. |
Önemli
Microsoft Entra kiracıları şu anda 500 erişim paketiyle 500 katalog sağlayabilir. Kuruluşunuzun bu kapasiteleri artırması gerekiyorsa Azure Desteği'ne başvurun.
Veri erişim yönetimi iş akışları
Kuruluşunuz, Microsoft Entra yetkilendirme yönetimi ile özel bir uygulama kullanarak etki alanı veri temsilcilerinize ve baş veri sorumlularınıza erişim idaresi yetkisi verebilir. Bu temsilci, veri uygulaması ekiplerini platform ekiplerinize ertelemeye gerek kalmadan kendilerini desteklemeleri için serbest bırakır. Microsoft Graph REST API ve Yetkilendirme Yönetimi REST API'leri aracılığıyla birden çok onay düzeyi ayarlayabilir ve uçtan uca ekleme ve veri erişim yönetiminizi otomatikleştirebilirsiniz.
Microsoft Entra yetkilendirme yönetim paketleri, erişim paketleri oluşturabilmeleri için yönetici olmayanlara (veri uygulama ekipleriniz gibi) erişim yetkisi vermenizi sağlar. Erişim paketleri, kullanıcıların veri ürünlerine erişim gibi istekte bulunabileceği kaynaklar içerir. Veri yöneticileriniz ve diğer temsilci erişim paketi yöneticileri, kullanıcıların erişim isteğinde bulunabileceği, erişimini onaylayan ve onaylanan erişim sürelerinin dolacağı kuralları içeren ilkeler tanımlayabilir.
Katalog oluşturma
Bir data lakehouse uyguluyorsanız, her veri giriş bölgesi için yetkilendirme yönetiminde bir katalog oluşturun. Otomasyona ve uygulamanızın boyutuna bağlı olarak şunları yapabilirsiniz:
- Etki alanı için bir katalog oluşturmak için Yetkilendirme Yönetimi REST API'lerini çağırın.
- Yetkilendirme Yönetimi portalı aracılığıyla her veri giriş bölgesi için başka bir katalog oluşturun.
Veri ağı uyguluyorsanız, her etki alanı için yetkilendirme yönetiminde bir katalog oluşturun. Otomasyona ve uygulamanızın boyutuna bağlı olarak şunları yapabilirsiniz:
- Etki alanı için bir katalog oluşturmak için Yetkilendirme Yönetimi REST API'lerini çağırın.
- Yetkilendirme Yönetimi portalı aracılığıyla her etki alanı için başka bir katalog oluşturun.
Bahşiş
Her kataloğun paket oluşturma ve izin yönetimi için kendi grup izinleri olabilir.
Veri ürünü oluşturma
Veri ürünleri, Azure'daki bulut ölçeğinde analiz veri ürünlerinde ele alınmıştır. Özel uygulamalar için veri ekleme, uçtan uca güvenliğin sağlanması beklentisini içerir.
Veri ekleme işlemi aşağıdakiler dahil olmak üzere önemli meta veriler gerektirir:
- Çok teknolojili depolama konumları (işlem veya veri gölü)
- Onaylayanlar (bir etki alanının veri sorumluları veya baş veri sorumlusu gibi)
- Yaşam döngüsü gereksinimleri
- Gereksinimleri inceleyin
- Etki alanları
- Veri ürün adları
- Sınıflandırmalar
Şekil 1: Veri erişim yönetimi veri ürünü oluşturma
Şekil 1'de veri uygulaması ekibinizin veri gölünde bulunan bir veri ürünü için güvenlik sağlamayı nasıl otomatikleştirebileceği gösterilmektedir. Veri ürünü eklendikten sonra Microsoft Graph REST API'lerine bir istek gönderilir:
Azure Active Directory Graph API'sini kullanarak biri okuma/yazma erişimine, diğeri ise yalnızca okuma erişimine izin veren iki güvenlik grubu oluşturun.
- Veri göllerinde Microsoft Entra doğrudan kimlik doğrulaması için aşağıdaki Microsoft Entra grup adlandırma kuralları önerilir:
- Etki alanı adı veya veri giriş bölgesi adı
- Veri ürün adı
- Data lake katmanı:
RAWham içinENRzenginleştirilmiş içinCURseçilmiş için
- Veri ürün adı
RWokuma-yazma içinRsalt okunur için
- Tablo erişim denetimi için aşağıdaki Microsoft Entra grup adlandırma kuralları önerilir:
- Etki alanı adı veya veri giriş bölgesi adı
- Veri ürün adı
- Şema veya tablo düzeni
RWokuma-yazma içinRsalt okunur için
- Veri göllerinde Microsoft Entra doğrudan kimlik doğrulaması için aşağıdaki Microsoft Entra grup adlandırma kuralları önerilir:
Güvenlik gruplarınızı veri ürününe atayın. Veri gölleri için bu, veri ürün klasörü düzeyinde ve doğru göl katmanında (ham, zenginleştirilmiş veya seçilmiş) iki güvenlik grubunuzu uygulamayı içerir.
Gerekli onaylayanlar ve yaşam döngüsü (erişim gözden geçirmeleri ve süre sonu) ile birlikte güvenlik gruplarınızı paketleyen bir erişim paketi oluşturun.
Bahşiş
Karmaşık senaryolarda, birden çok güvenlik grubunu yakalamak için bir izin koleksiyonu güvenlik grubu oluşturabilirsiniz, ancak bu, veri ürünü güvenlik gruplarınızı oluşturduktan sonra el ile gerçekleştirilen bir görev olacaktır.
Veri ürün erişimi isteme
Özel bir uygulama ve Yetkilendirme Yönetimi REST API'lerini kullanarak veri ürünü erişimi verme işlemini otomatikleştirebilirsiniz.
Şekil 2: Veri ürününe erişim isteme.
Şekil 2'de veri ürünü erişim isteği iş akışına genel bir bakış sağlanır.
Kullanıcı erişim isteği
- Veri kullanıcısı erişim istediği ürünleri bulmak için veri marketine göz atar.
- Veri marketi Yetkilendirme Yönetimi REST API'leri ile arabirim oluşturur ve kullanıcı için veri ürününe erişim isteğinde bulunur.
- İlkeye ve hesaba bağlı olarak onaylayanlara bildirim gönderilir ve erişim isteği erişim yönetimi portalında gözden geçirilir. İstek onaylanırsa, kullanıcıya bildirim gönderilir ve veri kümesine erişim verilir.
- Kuruluşunuz meta verileri (kullanıcının bölümü, unvanı veya konumu gibi) temel alarak kullanıcı izinleri vermek istiyorsa, Microsoft Entra Id'de dinamik grupları onaylı bir grup olarak ekleyebilirsiniz.
Kullanıcı isteği durumu
Veri marketinde bulunan diğer hizmetler, veri ürünü erişim isteklerinin geçerli durumunu denetleyebilir. Bu hizmetler, bir kullanıcı veya hizmet ilkesi adı için bekleyen tüm istekleri listelemek için Yetkilendirme Yönetimi REST API'leri ile arabirim oluşturabilir.
Veri erişim yönetiminin özeti
Azure'da veri erişim yönetimi aşağıdaki katmanlara ayrılır:
- Fiziksel katman (veri kümenizi depolayarak çok teknolojili katman gibi)
- Microsoft Entra güvenlik grupları
- Erişim paketleri
- Veri kümelerine erişen kullanıcılar ve ekipler
Yukarıdaki diyagram, her etki alanı için bir kataloğun oluşturulduğu örnek bir veri ağı uygulaması sağlar. Veri ürünü ekipleri, yeni veri kümesini veya ürünü bir veri etki alanına ekler. Bir Microsoft Entra grubu oluşturulur ve veri kümesine atanır. Azure Databricks, Azure Synapse Analytics veya diğer analiz poliglot depolarını kullanarak Microsoft Entra doğrudan kimlik doğrulamasıyla veya tablo erişim denetimiyle erişim vereebilirsiniz.
Microsoft Entra yetkilendirme yönetimi, etki alanları erişim paketleri kataloğunda erişim paketleri oluşturur. Access paketleri birden çok Microsoft Entra grubu içerebilir. Paket Finance Analysis finans ve LOB A'ya erişim sağlarken Finance Writers , paket F ve LOB A şemasına erişim verir. Yalnızca veri kümesi oluşturucularına yazma erişimi verin. Aksi takdirde, salt okunur erişim varsayılanınız olmalıdır.
Önemli
Önceki diyagramda Microsoft Entra kullanıcı gruplarını nasıl eklediğiniz gösterilmektedir. Tümleştirme veya veri ürün ekipleri tarafından alım işlem hatları ve daha fazlası için kullanılan Azure hizmet sorumlularını eklemek için aynı işlemi kullanabilirsiniz. İki yaşam döngüsü ayarı ayarlamalısınız: kullanıcılardan biri kısa süreli erişim (30 gün) ve diğeri daha uzun erişim (90 gün) istemek için.
Sonraki adımlar
- Azure'da bulut ölçeğinde analiz için veri operasyonları ekibi üyelerini düzenleme
- Microsoft Entra yetkilendirme yönetimini dağıtma (video)
- Yetkilendirmeyi yönetme hakkında daha fazla bilgi için Microsoft Entra yetkilendirme yönetimindeki yaygın senaryoları keşfedin.