Datenschutz für Analysen auf Cloudebene in Azure
Mithilfe von Cloud-Skalierungsanalysen können Sie die optimalen Datenzugriffsmuster ermitteln, die Ihren Anforderungen entsprechen, während sie personenbezogene Daten auf mehreren Ebenen schützen. Personenbezogene Daten umfassen alle Informationen, die Einzelpersonen eindeutig identifizieren können, z. B. Führerscheinnummern, Sozialversicherungsnummern, Bankkontodetails, Reisepassnummern und E-Mail-Adressen. Es gibt viele Vorschriften zum Schutz der Privatsphäre der Benutzer.
Um den Datenschutz in einer Cloudumgebung wie Azure zu schützen, können Sie ein Datenvertraulichkeitsschema erstellen, das Datenzugriffsrichtlinien angibt. Diese Richtlinien können die zugrunde liegende Architektur definieren, auf der sich die Datenanwendung befindet, definieren, wie der Datenzugriff autorisiert wird, und angeben, auf welche Zeilen oder Spalten Benutzer zugreifen können.
Erstellen eines Schemas für die Datenvertraulichkeitsklassifizierung
| Klassifizierung | Beschreibung |
|---|---|
| Öffentlich | Jeder kann auf die Daten zugreifen, und die Daten können an jeden gesendet werden (z. B. offene Verwaltungsdaten). |
| Nur interne Verwendung. | Nur Mitarbeiter können auf die Daten zugreifen, und die Daten können nicht an Empfänger außerhalb des Unternehmens gesendet werden. |
| Vertraulich | Die Daten können nur geteilt werden, wenn sie für einen bestimmten Vorgang erforderlich sind. Ohne Geheimhaltungsvereinbarung können die Daten nicht an Empfänger außerhalb des Unternehmens gesendet werden. |
| Vertraulich (personenbezogene Daten) | Die Daten enthalten private Informationen, die maskiert und nur nach dem Need-to-know-Prinzip für eine begrenzte Zeit geteilt werden dürfen. Die Daten können nicht an nicht autorisierte Mitarbeiter oder an Personen außerhalb des Unternehmens gesendet werden. |
| Eingeschränkt | Die Daten können nur mit benannten Personen geteilt werden, die für den Schutz der Daten verantwortlich sind (z. B. juristische Dokumente oder Geschäftsgeheimnisse). |
Vor der Erfassung von Daten müssen Sie die Daten entweder als mit geringem bis mittleren Vertraulichkeitsgrad oder als vertrauliche personenbezogene Daten kategorisieren:
- Sortieren Sie Daten in vertraulich oder unten, wenn Sie nicht einschränken müssen, welche Spalten und Zeilen Benutzer anzeigen können.
- Sortieren Sie Daten in vertrauliche personenbezogene Daten, wenn Sie einschränken müssen, welche Spalten und Zeilen Benutzer anzeigen können.
Wichtig
Ein Datensatz kann von vertraulich oder niedriger in vertrauliche personenbezogene Daten wechseln, wenn Sie Daten mit anderen Datenprodukten kombinieren, die zuvor eine niedrigere Klassifizierung hatten. Wenn Sie persistente Daten benötigen, verschieben Sie sie in einen zugewiesenen Ordner, der der Vertraulichkeitsstufe und dem Onboardingprozess entspricht.
Erstellen von Azure-Richtlinien
Nachdem Sie Ihre Daten klassifiziert haben, sollten Sie die Klassifizierung an Ihre Branchenrichtlinienanforderungen und internen Unternehmensrichtlinien anpassen. Sie möchten einen Azure-Richtliniensatz erstellen, der steuert, welche Infrastruktur bereitgestellt werden kann, den Speicherort, an dem sie bereitgestellt werden kann, sowie Netzwerk- und Verschlüsselungsstandards.
Für regulierte Branchen können Sie Microsoft-Initiativen zur Einhaltung gesetzlicher Vorschriften als Basis für Compliance-Frameworks verwenden.
Die Datenklassifizierung folgt den gleichen Regeln für Verschlüsselung, zulässige Infrastruktur-SKUs und Richtlinieninitiativen. Sie können also alle Daten innerhalb derselben Zielzone speichern.
Für eingeschränkte Daten sollten Sie Daten in einer dedizierten Datenlandungszone unter einer Verwaltungsgruppe hosten, in der Sie einen höheren Satz von Anforderungen für die Infrastruktur definieren können. Sie könnten zum Beispiel kundenseitig verwaltete Schlüssel für die Verschlüsselung oder eingehende bzw. ausgehende Beschränkungen für die Landungszone definieren.
Hinweis
Sie können vertrauliche personenbezogene Daten und Daten mit geringem bis mittleren Vertraulichkeitsgrad in derselben Datenzielzone, aber in unterschiedlichen Speicherkonten speichern. Diese Vorgehensweise kann jedoch die Lösung auf der Netzwerkebene komplizieren, z. B. mit Netzwerksicherheitsgruppen.
Eine bereitgestellte Data Governance-Lösung sollte einschränken, wer im Katalog nach eingeschränkten Daten suchen kann. Ziehen Sie in Betracht, den bedingten Zugriff von Microsoft Entra ID für alle Datenressourcen und -dienste zu implementieren. Um die Sicherheit zu verbessern, wenden Sie just-in-time-Zugriff auf eingeschränkte Daten an.
Berücksichtigen der Verschlüsselungsanforderungen
Berücksichtigen Sie zusätzlich zur Definition von Richtlinien für Standorte und zulässige Azure-Dienste die Verschlüsselungsanforderungen für jede Datenklassifizierung. Berücksichtigen Sie die Anforderungen für die folgenden Bereiche:
- Schlüsselverwaltung
- Schlüsselspeicher
- Verschlüsselung ruhender Daten
- Verschlüsselung von Daten während der Übertragung
- Verschlüsselung von Daten in Verwendung
Für die Schlüsselverwaltung können Sie plattformverwaltete oder vom Kunden verwaltete Verschlüsselungsschlüssel verwenden. Weitere Informationen finden Sie unter Übersicht über die Schlüsselverwaltung in Azure und Auswählen der richtigen Schlüsselverwaltungslösung.
Weitere Informationen zu Verschlüsselungsoptionen finden Sie unter Datenverschlüsselung ruhender Azure-Daten und Datenverschlüsselungsmodelle.
Sie können das Transport Layer Security (TLS)-Protokoll verwenden, um Daten zu schützen, die zwischen Clouddiensten und Kunden übertragen werden. Weitere Informationen finden Sie unter Verschlüsselung von Daten während der Übertragung.
Wenn Ihr Szenario erfordert, dass die Daten während der Verwendung verschlüsselt bleiben, hilft das Bedrohungsmodell von Azure Confidential Computing, das Vertrauen zu minimieren. Es minimiert die Möglichkeit, dass Cloudanbieteroperatoren oder andere Akteure in der Domäne des Mandanten während der Implementierung auf Code und Daten zugreifen können.
Weitere Informationen finden Sie unter Azure Confidential Computing-Produkte.
Implementierung der Datenverwaltung
Nachdem Sie die Richtlinien für die Bereitstellung zulässiger Azure-Dienste definiert haben, bestimmen Sie, wie der Zugriff auf das Datenprodukt gewährt werden soll.
Wenn Sie über eine Data-Governance-Lösung wie Microsoft Purview oder Azure Databricks Unity Catalogverfügen, können Sie Datenbestände oder Produkte für angereicherte und kuratierte Data-Lake-Ebenen erstellen. Stellen Sie sicher, dass Sie die Berechtigungen im Datenkatalog festlegen, um diese Datenobjekte zu schützen.
Verwenden Sie Microsoft Purview, um die folgenden Bereiche zentral zu verwalten, zu schützen und zu steuern:
- Zugriff auf Daten
- Der Datenlebenszyklus
- Interne und externe Richtlinien und Vorschriften
- Richtlinien für die Datenfreigabe
- Identifizieren vertraulicher Daten
- Einblicke in Schutz und Konformität
- Richtlinien für die Berichterstellung zum Datenschutz
Weitere Informationen zur Verwendung von Microsoft Purview zur Verwaltung des Lese- oder Änderungszugriffs finden Sie unter Konzepte für Microsoft Purview-Datenbesitzerrichtlinien.
Unabhängig davon, ob Sie Microsoft Purview oder eine andere Data Governance-Lösung implementieren möchten, verwenden Sie Microsoft Entra ID-Gruppen, um Richtlinien auf Datenprodukte anzuwenden.
Verwenden Sie die REST-API der Datenverwaltungslösung, um ein neues Dataset zu integrieren. Ihre Datenanwendungsteams erstellen Datenprodukte und registrieren sie in der Data Governance-Lösung, um vertrauliche Daten zu identifizieren. Die Data Governance-Lösung importiert die Definition und verweigert den gesamten Zugriff auf die Daten, bis Ihre Teams ihre Zugriffsrichtlinien eingerichtet haben.
Verwenden von Datenschutzmustern
Um vertrauliche Daten zu schützen, wählen Sie ein Datenschutzmuster basierend auf den von Ihnen implementierten Daten, Diensten und Richtlinien aus.
Mehrere Kopien
Die Pipeline für jedes Datenprodukt mit einer vertraulichen Klassifizierung personenbezogener Daten erstellt zwei Kopien. Die Pipeline klassifiziert das erste Muster als mit geringem bis mittleren Vertraulichkeitsgrad. Diese Kopie enthält nicht die Spalten vertraulicher personenbezogener Daten. Es wird unter dem Ordner „Mit geringem bis mittleren Vertraulichkeitsgrad“ für das Datenprodukt erstellt. Die andere Kopie wird im Ordner für vertrauliche personenbezogene Daten erstellt. Diese Kopie enthält die vertraulichen Daten. Jedem Ordner wird eine Microsoft Entra ID-Sicherheitsgruppe mit Leseberechtigungen und eine Microsoft Entra ID-Sicherheitsgruppe mit Schreibberechtigungen zugewiesen.
Wenn Sie Microsoft Purview verwenden, können Sie beide Versionen des Datenprodukts registrieren und Richtlinien verwenden, um die Daten zu schützen.
Das Muster für mehrere Kopien trennt sensible personenbezogene Daten und Daten mit geringem bis mittleren Vertraulichkeitsgrad. Wenn Sie einem Benutzer jedoch Zugriff auf vertrauliche personenbezogene Daten gewähren, kann er alle Zeilen abfragen. Möglicherweise muss Ihre Organisation andere Lösungen in Betracht ziehen, die Sicherheit auf Zeilenebene zum Filtern von Zeilen bieten.
Sicherheit auf Zeilen- und Spaltenebene
Wenn Sie die anzeigbaren Zeilen für Benutzer filtern müssen, können Sie Ihre Daten in eine Rechenlösung verschieben, die Sicherheit auf Zeilenebene verwendet.
Um eine erneute Entwicklung zu verhindern, wählen Sie die entsprechende Azure-Dienst- oder Microsoft Fabric-Lösung für Ihren jeweiligen Anwendungsfall aus. Verschiedene Arten von Datenbanken sind für unterschiedliche Zwecke konzipiert. Sie sollten z. B. keine OLTP-Datenbank (Online Transaction Processing) für umfangreiche Analysen verwenden. Und wenn Sie eine E-Commerce-Anwendung verwenden, sollten Sie keine Lösung verwenden, die auf Big Data Analytics zugeschnitten ist, da sie nicht die erforderlichen Millisekunden-Reaktionszeiten erreichen kann.
Wenn Sie Lösungen implementieren, die die Sicherheit auf Zeilenebene unterstützen, müssen Ihre Datenanwendungsteams unterschiedliche Microsoft Entra-ID-Gruppen erstellen und Berechtigungen basierend auf der Vertraulichkeit der Daten zuweisen.
Zusätzlich zur Sicherheit auf Zeilenebene können Sie den Zugriff auf bestimmte Spalten einschränken. Die folgende Tabelle zeigt ein Beispiel für vier Microsoft Entra ID-Gruppen mit schreibgeschütztem Zugriff:
| Gruppe | Erlaubnis |
|---|---|
DA-AMERICA-HRMANAGER-R |
Anzeigen der Personaldatenressource des Personalwesens für Nordamerika mit Gehaltsinformationen. |
DA-AMERICA-HRGENERAL-R |
Anzeigen der Personaldatenressource des Personalwesens für Nordamerika ohne Gehaltsinformationen. |
DA-EUROPE-HRMANAGER-R |
Anzeigen der Personaldatenressource des Personalwesens für Europa mit Gehaltsinformationen. |
DA-EUROPE-HRGENERAL-R |
Anzeigen der Personaldatenressource des Personalwesens für Europa ohne Gehaltsinformationen. |
Die erste Stufe der Einschränkungen unterstützt die dynamische Datenmaske, wodurch vertrauliche Daten von Benutzern ausgeblendet werden, die keine Berechtigungen besitzen. Sie können eine REST-API verwenden, um diesen Ansatz in das Onboarding eines Datasets zu integrieren.
Die zweite Einschränkungsstufe fügt Sicherheit auf Spaltenebene hinzu, um Nicht-HR-Manager davon abzuhalten, Gehälter einzusehen. Es wird auch Sicherheit auf Zeilenebene hinzugefügt, um zu beschränken, welche Zeilen europäische und nordamerikanische Teammitglieder sehen können.
Spaltenverschlüsselung
Dynamische Datenmaskierung maskiert die Daten an der Stelle der Präsentation, aber einige Anwendungsfälle erfordern, dass die Lösung niemals Zugriff auf die Klartextdaten hat.
Das feature SQL Always Encrypted verbessert die Sicherheit vertraulicher Daten in SQL Server-Datenbanken. SQL Always Encrypted trägt dazu bei, dass vertrauliche Daten in SQL Server-Datenbanken sicher und vor unbefugtem Zugriff geschützt bleiben. Dieses Feature verschlüsselt Daten sowohl im Ruhezustand als auch während der Übertragung, was hilft, maximale Datenvertraulichkeit und die Einhaltung gesetzlicher Vorschriften zu gewährleisten. SQL Always Encrypted führt Verschlüsselungs- und Entschlüsselungsvorgänge auf clientseitiger Seite durch. Integrieren Sie dieses Feature, um Ihre wertvollsten Datenressourcen zu schützen.