你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 中云规模分析的数据隐私
云规模分析让组织能够确定最佳数据访问模式以满足其要求,同时在多个层面保护个人数据。 个人数据包括任何能够唯一识别个人身份的信息,例如驾驶执照号码、社会保险号码、银行账户详细信息、护照号码、电子邮件地址等。 当今存在许多保护用户隐私的法规。
要在 Azure 等云环境中保护数据隐私,可以先创建一个数据保密方案来指定数据访问策略。 这些策略可以定义数据应用程序所处的基础体系结构,定义数据访问的授权方式,并规定一旦授权可以访问哪些行或列。
创建数据机密性分类方案
| 分类 | 说明 |
|---|---|
| 公用 | 任何人都可以访问数据,并且数据可以发送给任何人。 例如,政府公开数据。 |
| 仅限内部使用 | 只有员工可以访问数据,并且无法将其发送到公司外部。 |
| 机密 | 仅当特定任务需要时,才能共享数据。 在没有保密协议的情况下,无法将数据发送到公司外部。 |
| 敏感数据(个人数据) | 数据包含隐私信息,必须在有限的时间内在需要知道的基础上屏蔽和共享。 此类数据不得发送到未经授权的人员或公司外部。 |
| 受限 | 数据只能与负责保护该数据的指定人员共享。 例如,法律文档或商业机密。 |
在引入数据之前,必须将数据归类为机密或以下或敏感(个人数据):
- 如果对不同用户可见的列和行没有限制,则可将数据分类为机密或以下。
- 如果对不同用户可见的列和行有限制,则可将数据分类为敏感(个人数据)。
重要
当数据与以前分类较低的其他数据产品相结合时,数据集可能会从机密或以下变为敏感(个人数据)。 当数据需要持久保存时,应将其转移到与其保密级别和载入流程相一致的指定文件夹中。
创建 Azure 策略集
在映射数据分类后,应将分类与当地受监管行业的政策要求和公司内部政策保持一致。 这一步有助于创建一个 Azure 策略集,用于管理可部署的基础结构、其部署位置,并指定网络和加密标准。
对于受监管行业,Microsoft 制定了许多法规合规性政策举措,这些举措将作为合规性框架的基准。
在数据分类方面,加密和允许的基础结构 SKU 以及政策措施都遵循相同的规则,数据可以位于同一登陆区域内。
对于受限数据,建议将数据托管在管理组下的专用数据登陆区域中,你可以在该组中定义对基础结构的更高要求,例如用于加密的客户管理的密钥,以及应用于登陆区域的入站或出站限制。
注意
改指导评估了将敏感(个人数据)和机密或以下数据放入同一数据登陆区域但不同存储帐户时的情况。 但是,这可能会使网络层的解决方案变得复杂,例如网络安全组。
任何已部署的数据管理解决方案都应限制谁可以在目录中搜索受限数据。
还应考虑对所有数据资产和服务实现 Microsoft Entra ID 条件访问,并对受限数据实现及时访问,以提高安全性。
加密
除了为位置和允许的 Azure 服务定义策略外,还应考虑每个数据分类的加密要求。
- 对密钥管理有何要求?
- 对存储这些密钥有什么要求?
- 对静态数据加密的分类有何要求?
- 对传输中的数据加密有哪些分类要求?
- 对使用中数据加密的分类有何要求?
对于密钥管理,加密密钥可以由平台管理或客户管理。 Microsoft 记录了 Azure 中的密钥管理,以帮助选择密钥管理解决方案。 有关详细信息,请参阅 Azure 中的密钥管理概述,以及如何选择正确的密钥管理解决方案。
Microsoft 发布的文档介绍了 Azure 数据静态加密和数据加密模型,它们可帮助你了解可用的加密选项。
Microsoft 让客户能够使用传输层安全性 (TLS) 协议来保护在云服务和客户之间传输的数据。 有关详细信息,请参阅加密传输中的数据。
如果方案要求数据在使用过程中保持加密,Azure 机密计算威胁模型旨在最大限度地降低信任度,或消除云提供商操作员或租户域中其他行为者在执行过程中访问代码和数据的可能性。
有关最新的 Azure 机密计算产品/服务,请参阅 Azure 机密计算产品。
数据治理
在定义允许的 Azure 服务部署的策略后,必须决定如何授予数据产品的访问权限。
如果拥有数据治理解决方案,如 Microsoft Purview 或 Azure Databricks Unity Catalog,则可以为丰富的特选数据湖层创建数据资产/产品。 确保在数据目录中设置权限,以确保这些数据对象的安全。
Microsoft Purview 提供了一种集中管理、保护和控制的方法:
- 对数据的访问
- 数据生命周期
- 内部和外部策略及法规
- 数据共享策略
- 标识“敏感(个人数据)”
- 关于保护和合规性的见解
- 数据保护报告策略
有关使用 Microsoft Purview 管理读取或修改访问权限的详细信息,请参阅 Microsoft Purview 数据所有者策略概念。
无论是决定实现 Microsoft Purview 还是其他数据管理解决方案,都必须使用 Microsoft Entra ID 组将策略应用到数据产品。
使用数据管理解决方案的 REST API 接入新数据集非常重要。 数据应用团队创建数据产品并在数据治理解决方案中注册,以帮助识别敏感数据(个人数据)。 数据治理解决方案会导入定义,并拒绝所有数据访问,直到团队设置了其访问策略。
使用模式保护敏感数据
根据数据、服务和保护敏感数据所需的策略,可以采用多种模式。
多个副本
对于每个被归类为敏感(个人数据)的数据产品,其管道会创建两个副本。 第一个副本被分类为机密或以下。 此副本删除了所有敏感(个人数据)列,并在数据产品的机密或以下文件夹下创建。 另一个副本在敏感(个人数据)文件夹中创建,并且包含了所有敏感数据。 每个文件夹都分配了一个 Microsoft Entra ID 读取器和一个 Microsoft Entra ID 编写器安全组。
如果使用 Microsoft Purview,则可以注册两个版本的数据产品,并使用策略来保护数据。
此过程会将敏感(个人数据)和机密或以下数据分开,但获准访问敏感(个人数据)的用户可以查询所有的行。 组织可能需要考虑其他提供行级安全筛选功能的解决方案。
行级别和列级别安全性
如果需要筛选用户看到的行,则可以将数据转移到使用行级安全的计算解决方案中。
为特定用例选择合适的 Azure 服务或 Microsoft Fabric 解决方案对于防止重新设计至关重要。 OLTP 数据库不适合广泛的分析,正如为大数据分析量身定制的解决方案无法达到电子商务应用所需的毫秒级响应时间一样。
为了与支持行级安全的解决方案配合使用,数据应用团队创建了不同的 Microsoft Entra ID 组,并根据数据的敏感性进行了权限分配。
详细说明一下,除了行级安全,还需要限制对某些列的访问。 数据应用程序团队创建了四个只读访问的 Microsoft Entra ID 组,如下表所示:
| 组 | 权限 |
|---|---|
DA-AMERICA-HRMANAGER-R |
查看包含薪水信息的北美 HR 人事数据资产。 |
DA-AMERICA-HRGENERAL-R |
查看不包含薪水信息的北美 HR 人事数据资产。 |
DA-EUROPE-HRMANAGER-R |
查看包含薪水信息的欧洲 HR 人事数据资产。 |
DA-EUROPE-HRGENERAL-R |
查看不包含薪水信息的欧洲 HR 人事数据资产。 |
第一级别的限制支持动态数据掩码,它将向没有权限的用户隐藏敏感数据。 此方法的一个优点是,它可以通过 REST API 集成到数据集的载入中。
第二级限制是添加列级安全,限制非 HR 经理查看薪资;添加行级安全,限制欧洲和北美团队成员查看哪些行。
列加密
虽然动态数据屏蔽会在呈现时屏蔽数据,但有些用例要求解决方案永远无法访问明文数据。
SQL Always Encrypted 是 Microsoft 推出的一项强大功能,可增强 SQL Server 数据库中存储的敏感数据的安全性。 SQL Always Encrypted 可确保 SQL Server 数据库中存储的敏感数据保持安全,并防止未经授权的访问。 此功能通过对静态和传输中的数据进行加密,有助于最大限度地保持数据的机密性和合规性。
通过在客户端执行加密和解密操作,Always Encrypted 可确保敏感数据不会受到未经授权的访问。 它易于集成并具有合规性优势,是企业保护其最宝贵数据资产的必备工具。