Bewährte Sicherheitsmethoden für Microsoft Purview
Dieser Artikel enthält bewährte Methoden für allgemeine Sicherheitsanforderungen für Microsoft Purview-Governancelösungen. Die beschriebene Sicherheitsstrategie folgt dem mehrstufigen Defense-in-Depth-Ansatz.
Hinweis
Diese bewährten Methoden decken die Sicherheit für einheitliche Microsoft Purview-Governancelösungen ab. Weitere Informationen zu Microsoft Purview-Risiko- und Compliancelösungen finden Sie hier. Weitere Informationen zu Microsoft Purview im Allgemeinen finden Sie hier.
Bevor Sie diese Empfehlungen auf Ihre Umgebung anwenden, sollten Sie sich an Ihr Sicherheitsteam wenden, da einige möglicherweise nicht auf Ihre Sicherheitsanforderungen anwendbar sind.
Netzwerksicherheit
Sie können die folgenden Netzwerksicherheitsfunktionen für die Microsoft Purview-Datenzuordnung aktivieren:
- Aktivieren Sie die End-to-End-Netzwerkisolation mit Private Link Service.
- Verwenden Sie die Microsoft Purview-Firewall , um den öffentlichen Zugriff zu deaktivieren.
- Stellen Sie Netzwerksicherheitsgruppen-Regeln (NSG) für Subnetze bereit, in denen private Azure-Datenquellenendpunkte, private Microsoft Purview-Endpunkte und selbstgehostete Laufzeit-VMs bereitgestellt werden.
- Implementieren Sie Microsoft Purview mit privaten Endpunkten, die von einem virtuellen Netzwerkgerät verwaltet werden, z. B. Azure Firewall für die Netzwerküberprüfung und -filterung.
Weitere Informationen finden Sie unter Bewährte Methoden im Zusammenhang mit der Konnektivität mit Azure PaaS-Diensten.
Bereitstellen privater Endpunkte für Microsoft Purview-Konten
Wenn Sie Microsoft Purview in Ihrem privaten Netzwerk verwenden müssen, empfiehlt es sich, Azure Private Link Service mit Ihren Microsoft Purview-Konten für eine teilweise oder End-to-End-Isolation zu verwenden, um eine Verbindung mit dem Microsoft Purview-Governanceportal herzustellen, auf Microsoft Purview-Endpunkte zuzugreifen und Datenquellen zu überprüfen.
Der private Endpunkt des Microsoft Purview-Kontos wird verwendet, um eine weitere Sicherheitsebene hinzuzufügen, sodass nur Clientaufrufe, die aus dem virtuellen Netzwerk stammen, auf das Microsoft Purview-Konto zugreifen können. Dieser private Endpunkt ist auch eine Voraussetzung für den privaten Endpunkt des Portals.
Der private Endpunkt des Microsoft Purview-Portals ist erforderlich, um die Konnektivität mit dem Microsoft Purview-Governanceportal über ein privates Netzwerk zu ermöglichen.
Microsoft Purview kann Datenquellen in Azure oder einer lokalen Umgebung mithilfe privater Erfassungsendpunkte überprüfen.
Weitere Informationen finden Sie unter Microsoft Purview-Netzwerkarchitektur und bewährte Methoden.
Blockieren des öffentlichen Zugriffs mithilfe der Microsoft Purview-Firewall
Sie können den öffentlichen Zugriff von Microsoft Purview deaktivieren, um den Zugriff auf das Microsoft Purview-Konto vollständig über das öffentliche Internet zu sperren. In diesem Fall sollten Sie die folgenden Anforderungen berücksichtigen:
- Microsoft Purview muss basierend auf einem End-to-End-Netzwerkisolationsszenario bereitgestellt werden.
- Für den Zugriff auf das Microsoft Purview-Governanceportal und microsoft Purview-Endpunkte müssen Sie einen Verwaltungscomputer verwenden, der mit einem privaten Netzwerk verbunden ist, um über ein privates Netzwerk auf Microsoft Purview zuzugreifen.
- Überprüfen Sie bekannte Einschränkungen.
Weitere Informationen finden Sie unter Firewalls zum Einschränken des öffentlichen Zugriffs.
Verwenden von Netzwerksicherheits-Gruppen
Sie können eine Azure-Netzwerksicherheitsgruppe verwenden, um Netzwerkdatenverkehr zu und von Azure-Ressourcen in einem virtuellen Azure-Netzwerk zu filtern. Eine Netzwerksicherheitsgruppe enthält Sicherheitsregeln , die eingehenden Netzwerkdatenverkehr an oder ausgehenden Netzwerkdatenverkehr von verschiedenen Arten von Azure-Ressourcen zulassen oder verweigern. Für jede Regel können Sie Quelle und Ziel, Port und Protokoll angeben.
Netzwerksicherheits-Gruppen können auf Subnetze der Netzwerkschnittstelle oder virtuellen Azure-Netzwerken angewendet werden, in denen private Microsoft Purview-Endpunkte, selbstgehostete Integration Runtime-VMs und Azure-Datenquellen bereitgestellt werden.
Weitere Informationen finden Sie unter Anwenden von NSG-Regeln für private Endpunkte.
Die folgenden NSG-Regeln sind für Datenquellen für die Microsoft Purview-Überprüfung erforderlich:
Richtung | Quelle | Quellportbereich | Ziel | Zielport | Protokoll | Aktion |
---|---|---|---|---|---|---|
Eingehend | Private IP-Adressen oder Subnetze der selbstgehosteten Integration Runtime-VMs | * | Private IP-Adressen oder Subnetze für Datenquellen | 443 | Any | Zulassen |
Die folgenden NSG-Regeln sind auf den Verwaltungscomputern erforderlich, um auf das Microsoft Purview-Governanceportal zuzugreifen:
Richtung | Quelle | Quellportbereich | Ziel | Zielport | Protokoll | Aktion |
---|---|---|---|---|---|---|
Ausgehend | Private IP-Adressen oder Subnetze von Verwaltungscomputern | * | IP-Adressen oder Subnetze des privaten Endpunkts für Microsoft Purview-Konten und -Portal | 443 | Any | Zulassen |
Ausgehend | Private IP-Adressen oder Subnetze von Verwaltungscomputern | * | Diensttag: AzureCloud |
443 | Any | Zulassen |
Die folgenden NSG-Regeln sind auf selbstgehosteten Integration Runtime-VMs für die Microsoft Purview-Überprüfung und Metadatenerfassung erforderlich:
Wichtig
Erwägen Sie das Hinzufügen zusätzlicher Regeln mit relevanten Diensttags basierend auf Ihren Datenquellentypen.
Richtung | Quelle | Quellportbereich | Ziel | Zielport | Protokoll | Aktion |
---|---|---|---|---|---|---|
Ausgehend | Private IP-Adressen oder Subnetze der selbstgehosteten Integration Runtime-VMs | * | Private IP-Adressen oder Subnetze von Datenquellen | 443 | Any | Zulassen |
Ausgehend | Private IP-Adressen oder Subnetze der selbstgehosteten Integration Runtime-VMs | * | IP-Adressen oder Subnetze des Microsoft Purview-Kontos und des privaten Erfassungsendpunkts | 443 | Any | Zulassen |
Ausgehend | Private IP-Adressen oder Subnetze der selbstgehosteten Integration Runtime-VMs | * | Diensttag: Servicebus |
443 | Any | Zulassen |
Ausgehend | Private IP-Adressen oder Subnetze der selbstgehosteten Integration Runtime-VMs | * | Diensttag: Storage |
443 | Any | Zulassen |
Ausgehend | Private IP-Adressen oder Subnetze der selbstgehosteten Integration Runtime-VMs | * | Diensttag: AzureActiveDirectory |
443 | Any | Zulassen |
Ausgehend | Private IP-Adressen oder Subnetze der selbstgehosteten Integration Runtime-VMs | * | Diensttag: DataFactory |
443 | Any | Zulassen |
Ausgehend | Private IP-Adressen oder Subnetze der selbstgehosteten Integration Runtime-VMs | * | Diensttag: KeyVault |
443 | Any | Zulassen |
Die folgenden NSG-Regeln sind für private Endpunkte für Microsoft Purview-Konten, -Portal und -Erfassungsendpunkte erforderlich:
Richtung | Quelle | Quellportbereich | Ziel | Zielport | Protokoll | Aktion |
---|---|---|---|---|---|---|
Eingehend | Private IP-Adressen oder Subnetze der selbstgehosteten Integration Runtime-VMs | * | IP-Adressen oder Subnetze des Microsoft Purview-Kontos und des privaten Erfassungsendpunkts | 443 | Any | Zulassen |
Eingehend | Private IP-Adressen oder Subnetze von Verwaltungscomputern | * | IP-Adressen oder Subnetze des Microsoft Purview-Kontos und des privaten Erfassungsendpunkts | 443 | Any | Zulassen |
Weitere Informationen finden Sie unter Netzwerkanforderungen für selbstgehostete Integration Runtime.
Zugriffsverwaltung
Die Identitäts- und Zugriffsverwaltung stellt die Grundlage für einen großen Prozentsatz der Sicherheitssicherheit bereit. Sie ermöglicht den Zugriff basierend auf identitätsbasierten Authentifizierungs- und Autorisierungskontrollen in Clouddiensten. Diese Kontrollen schützen Daten und Ressourcen und entscheiden, welche Anforderungen zugelassen werden sollen.
Im Zusammenhang mit Der Rollen- und Zugriffsverwaltung in Microsoft Purview können Sie die folgenden bewährten Sicherheitsmethoden anwenden:
- Definieren Sie Rollen und Zuständigkeiten zum Verwalten von Microsoft Purview auf Steuerungsebene und Datenebene:
- Definieren Sie Rollen und Aufgaben, die zum Bereitstellen und Verwalten von Microsoft Purview in einem Azure-Abonnement erforderlich sind.
- Definieren Sie Rollen und Aufgaben, die für die Datenverwaltung und -governance mithilfe von Microsoft Purview erforderlich sind.
- Weisen Sie Microsoft Entra Gruppen Rollen zu, anstatt einzelnen Benutzern Rollen zuzuweisen.
- Verwenden Sie die Azure Active Directory-Berechtigungsverwaltung, um den Benutzerzugriff mithilfe von Zugriffspaketen Microsoft Entra Gruppen zuzuordnen.
- Erzwingen Sie die mehrstufige Authentifizierung für Microsoft Purview-Benutzer, insbesondere für Benutzer mit privilegierten Rollen wie Sammlungsadministratoren, Datenquellenadministratoren oder Datenkuratoren.
Verwalten eines Microsoft Purview-Kontos auf Steuerungsebene und Datenebene
Steuerungsebene bezieht sich auf alle Vorgänge im Zusammenhang mit der Azure-Bereitstellung und -Verwaltung von Microsoft Purview in Azure Resource Manager.
Datenebene bezieht sich auf alle Vorgänge im Zusammenhang mit der Interaktion mit Microsoft Purview innerhalb von Data Map und Data Catalog.
Sie können Benutzern, Sicherheitsgruppen und Dienstprinzipalen aus Ihrem Microsoft Entra Mandanten, der dem Azure-Abonnement von Microsoft Purview instance zugeordnet ist, Rollen auf Steuerungsebene und Datenebene zuweisen.
Beispiele für Vorgänge auf Steuerungsebene und Vorgänge auf Datenebene:
Aufgabe | Bereich | Empfohlene Rolle | Welche Rollen sollen verwendet werden? |
---|---|---|---|
Bereitstellen eines Microsoft Purview-Kontos | Steuerungsebene | Besitzer oder Mitwirkender für Azure-Abonnements | Azure RBAC-Rollen |
Einrichten eines privaten Endpunkts für Microsoft Purview | Steuerungsebene | Contributor | Azure RBAC-Rollen |
Löschen eines Microsoft Purview-Kontos | Steuerungsebene | Contributor | Azure RBAC-Rollen |
Hinzufügen oder Verwalten einer selbstgehosteten Integration Runtime (SHIR) | Steuerungsebene | Datenquellenadministrator | Microsoft Purview-Rollen |
Anzeigen von Microsoft Purview-Metriken zum Abrufen der aktuellen Kapazitätseinheiten | Steuerungsebene | Reader | Azure RBAC-Rollen |
Erstellen einer Sammlung | Datenebene | sammlungs Admin | Microsoft Purview-Rollen |
Registrieren einer Datenquelle | Datenebene | sammlungs Admin | Microsoft Purview-Rollen |
Überprüfen eines SQL Server | Datenebene | Datenquellenadministrator und Datenleser oder Datenkurator | Microsoft Purview-Rollen |
Suchen in Microsoft Purview Data Catalog | Datenebene | Datenquellenadministrator und Datenleser oder Datenkurator | Microsoft Purview-Rollen |
Rollen der Microsoft Purview-Ebene werden in Microsoft Purview instance in Microsoft Purview-Sammlungen definiert und verwaltet. Weitere Informationen finden Sie unter Zugriffssteuerung in Microsoft Purview.
Befolgen Sie Microsoft Purview Data Governance-Rollen, um Anleitungen zu den Rollen und Berechtigungen von Benutzern zu erhalten, die im Data Catalog verwaltet werden sollen.
Befolgen Sie die Empfehlungen für den rollenbasierten Azure-Zugriff für Aufgaben auf Azure-Steuerungsebene.
Authentifizierung und Autorisierung
Um Zugriff auf Microsoft Purview zu erhalten, müssen Benutzer authentifiziert und autorisiert werden. Die Authentifizierung ist der Prozess, bei dem nachgewiesen wird, dass der Benutzer der ist, der er zu sein vorgibt. Autorisierung bezieht sich auf die Steuerung des Zugriffs innerhalb von Microsoft Purview, die sammlungen zugewiesen ist.
Wir verwenden Microsoft Entra ID, um Authentifizierungs- und Autorisierungsmechanismen für Microsoft Purview in Sammlungen bereitzustellen. Sie können microsoft Purview-Rollen den folgenden Sicherheitsprinzipalen aus Ihrem Microsoft Entra Mandanten zuweisen, der dem Azure-Abonnement zugeordnet ist, in dem Ihre Microsoft Purview-instance gehostet wird:
- Benutzer und Gastbenutzer (wenn sie bereits zu Ihrem Microsoft Entra Mandanten hinzugefügt wurden)
- Sicherheitsgruppen
- Verwaltete Identitäten
- Dienstprinzipale
Differenzierte Microsoft Purview-Rollen können einer flexiblen Auflistungshierarchie innerhalb der Microsoft Purview-instance zugewiesen werden.
Definieren des Modells mit den geringsten Rechten
Als allgemeine Regel ist es unerlässlich, den Zugriff basierend auf den Sicherheitsprinzipien der geringsten Rechte zu beschränken, wenn Sie Sicherheitsrichtlinien für den Datenzugriff erzwingen möchten.
In Microsoft Purview können Datenquellen, Ressourcen und Überprüfungen mithilfe von Microsoft Purview-Sammlungen organisiert werden. Sammlungen sind hierarchische Gruppierung von Metadaten in Microsoft Purview, bieten aber gleichzeitig einen Mechanismus zum Verwalten des Zugriffs in Microsoft Purview. Rollen in Microsoft Purview können einer Sammlung basierend auf der Hierarchie Ihrer Sammlung zugewiesen werden.
Verwenden Sie Microsoft Purview-Sammlungen, um die Metadatenhierarchie Ihrer organization für eine zentralisierte oder delegierte Verwaltungs- und Governancehierarchie basierend auf dem Modell mit den geringsten Rechten zu implementieren.
Befolgen Sie das Zugriffsmodell mit den geringsten Rechten, wenn Sie Rollen in Microsoft Purview-Sammlungen zuweisen, indem Sie Aufgaben innerhalb Ihres Teams trennen und Benutzern nur die Menge an Zugriff gewähren, die sie für ihre Aufgaben benötigen.
Weitere Informationen zum Zuweisen des Zugriffsmodells mit den geringsten Rechten in Microsoft Purview basierend auf der Microsoft Purview-Sammlungshierarchie finden Sie unter Zugriffssteuerung in Microsoft Purview.
Geringere Offenlegung privilegierter Konten
Das Schützen des privilegierten Zugriffs ist ein wichtiger erster Schritt zum Schutz von Geschäftsressourcen. Die Minimierung der Anzahl von Personen, die Zugriff auf sichere Informationen oder Ressourcen haben, verringert die Wahrscheinlichkeit, dass ein böswilliger Benutzer Zugriff erhält oder ein autorisierter Benutzer versehentlich eine sensible Ressource beeinträchtigt.
Reduzieren Sie die Anzahl der Benutzer mit Schreibzugriff in Ihrem Microsoft Purview-instance. Halten Sie die Anzahl der Sammlungsadministratoren und Datenkuratorrollen bei der Stammsammlung minimal.
Verwenden der mehrstufigen Authentifizierung und des bedingten Zugriffs
Microsoft Entra mehrstufige Authentifizierung bietet eine weitere Sicherheits- und Authentifizierungsebene. Für mehr Sicherheit wird empfohlen, Richtlinien für bedingten Zugriff für alle privilegierten Konten zu erzwingen.
Wenden Sie mithilfe Microsoft Entra Richtlinien für bedingten Zugriff Microsoft Entra mehrstufige Authentifizierung bei der Anmeldung für alle einzelnen Benutzer an, die Microsoft Purview-Rollen mit Änderungszugriff innerhalb Ihrer Microsoft Purview-Instanzen zugewiesen sind: Sammlungs-Admin, Datenquellen-Admin, Datenkurator.
Aktivieren Sie die mehrstufige Authentifizierung für Ihre Administratorkonten, und stellen Sie sicher, dass sich Die Benutzer des Administratorkontos für MFA registriert haben.
Sie können Ihre Richtlinien für bedingten Zugriff definieren, indem Sie Microsoft Purview als Cloud-App auswählen.
Verhindern des versehentlichen Löschens von Microsoft Purview-Konten
In Azure können Sie Ressourcensperren auf ein Azure-Abonnement, eine Ressourcengruppe oder eine Ressource anwenden, um versehentliches Löschen oder Ändern kritischer Ressourcen zu verhindern.
Aktivieren Sie die Azure-Ressourcensperre für Ihre Microsoft Purview-Konten, um das versehentliche Löschen von Microsoft Purview-Instanzen in Ihren Azure-Abonnements zu verhindern.
Das Hinzufügen einer CanNotDelete
- oder ReadOnly
-Sperre zum Microsoft Purview-Konto verhindert nicht Lösch- oder Änderungsvorgänge innerhalb der Microsoft Purview-Datenebene, verhindert jedoch vorgänge auf Steuerungsebene, z. B. das Löschen des Microsoft Purview-Kontos, das Bereitstellen eines privaten Endpunkts oder die Konfiguration von Diagnoseeinstellungen.
Weitere Informationen finden Sie unter Grundlegendes zum Umfang von Sperren.
Ressourcensperren können Microsoft Purview-Ressourcengruppen oder -Ressourcen zugewiesen werden. Sie können jedoch keine Azure-Ressourcensperre verwalteten Microsoft Purview-Ressourcen oder einer verwalteten Ressourcengruppe zuweisen.
Implementieren einer Break glass-Strategie
Planen Sie eine Strategie zur Unterbrechung Ihres Microsoft Entra Mandanten, Azure-Abonnements und Microsoft Purview-Konten, um eine mandantenweite Kontosperrung zu verhindern.
Weitere Informationen zu Microsoft Entra ID und der Azure-Notfallzugriffsplanung finden Sie unter Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID.
Weitere Informationen zur Microsoft Purview-Break-Glass-Strategie finden Sie unter Bewährte Methoden und Entwurfsempfehlungen für Microsoft Purview-Sammlungen.
Bedrohungsschutz und Verhinderung der Datenexfiltration
Microsoft Purview bietet umfassende Einblicke in die Vertraulichkeit Ihrer Daten, was es für Sicherheitsteams, die Microsoft Defender for Cloud verwenden, nützlich macht, um den Sicherheitsstatus der organization zu verwalten und vor Bedrohungen für ihre Workloads zu schützen. Datenressourcen sind nach wie vor ein beliebtes Ziel für böswillige Akteure. Daher ist es für Sicherheitsteams von entscheidender Bedeutung, vertrauliche Datenressourcen in ihren Cloudumgebungen zu identifizieren, zu priorisieren und zu schützen. Um diese Herausforderung zu bewältigen, kündigen wir die Integration zwischen Microsoft Defender für Cloud und Microsoft Purview in der öffentlichen Vorschau an.
Integration in Microsoft 365 und Microsoft Defender für Cloud
Häufig besteht eine der größten Herausforderungen für sicherheitsrelevante organization in einem Unternehmen darin, Ressourcen basierend auf ihrer Wichtigkeit und Vertraulichkeit zu identifizieren und zu schützen. Microsoft hat kürzlich die Integration von Microsoft Purview und Microsoft Defender for Cloud in public Preview angekündigt, um diese Herausforderungen zu meistern.
Wenn Sie Ihre Microsoft 365-Vertraulichkeitsbezeichnungen für Ressourcen und Datenbankspalten in Microsoft Purview erweitert haben, können Sie mithilfe von Microsoft Defender für Cloud aus Bestand, Warnungen und Empfehlungen basierend auf erkannten Vertraulichkeitsbezeichnungen von Ressourcen nachverfolgen.
Für Empfehlungen haben wir Sicherheitskontrollen bereitgestellt, die Ihnen helfen zu verstehen, wie wichtig jede Empfehlung für Ihren allgemeinen Sicherheitsstatus ist. Microsoft Defender für Cloud enthält einen Sicherheitsbewertungswert für jedes Steuerelement, um Ihnen bei der Priorisierung Ihrer Sicherheitsarbeit zu helfen. Weitere Informationen finden Sie unter Sicherheitskontrollen und deren Empfehlungen.
Für Warnungen haben wir jeder Warnung Schweregradbezeichnungen zugewiesen, damit Sie die Reihenfolge priorisieren können, in der Sie sich um die einzelnen Warnungen kümmern. Weitere Informationen finden Sie unter Wie werden Warnungen klassifiziert?.
Weitere Informationen finden Sie unter Integrieren von Microsoft Purview in Azure-Sicherheitsprodukte.
Informationsschutz
Sichere Metadatenextraktion und -speicherung
Microsoft Purview ist eine Datengovernancelösung in der Cloud. Sie können verschiedene Datenquellen aus verschiedenen Datensystemen aus Ihren lokalen, Azure- oder Multicloudumgebungen in Microsoft Purview registrieren und überprüfen. Während die Datenquelle in Microsoft Purview registriert und gescannt wird, verbleiben die tatsächlichen Daten und Datenquellen an ihren ursprünglichen Speicherorten. Nur Metadaten werden aus Datenquellen extrahiert und in Microsoft Purview Data Map gespeichert. Dies bedeutet, dass Sie keine Daten aus der Region oder ihrem ursprünglichen Speicherort verschieben müssen, um die Metadaten in Microsoft Purview zu extrahieren.
Wenn Ihr Konto vor dem 15. Dezember 2023 erstellt wurde, wurde Ihr Konto mit einer verwalteten Ressourcengruppe bereitgestellt, und ein Azure Storage-Konto wurde in dieser Gruppe bereitgestellt. Diese Ressourcen werden von Microsoft Purview genutzt und können von anderen Benutzern oder Prinzipalen nicht aufgerufen werden. Eine Zuweisung der rollenbasierten Zugriffssteuerung in Azure (RBAC) wird dieser Ressourcengruppe automatisch hinzugefügt, wenn das Microsoft Purview-Konto bereitgestellt wurde. Dies verhindert den Zugriff durch andere Benutzer oder CRUD-Vorgänge, die nicht von Microsoft Purview initiiert werden.
Konten, die nach dem 15. Dezember 2023 bereitgestellt wurden (oder mit der API-Version 2023-05-01-preview bereitgestellt wurden) verwenden ein Erfassungsspeicherkonto, das in internen Microsoft Azure-Abonnements bereitgestellt wird. Da sich diese Ressourcen nicht im Azure-Abonnement von Microsoft Purview befinden, kann von anderen Benutzern oder Prinzipalen außer dem Microsoft Purview-Konto nicht darauf zugegriffen werden.
(Wenn Sie Ihre Konten mithilfe der API bereitgestellt haben, verwenden Konten, die mit der API-Version 2023-05-01-preview bereitgestellt wurden, ein Erfassungsspeicherkonto, das in internen Microsoft Azure-Abonnements bereitgestellt wird, anstelle eines verwalteten Speicherkontos, das in Ihrem Azure-Abonnement bereitgestellt wird.)
Wo werden Metadaten gespeichert?
Microsoft Purview extrahiert während des Überprüfungsvorgangs nur die Metadaten aus verschiedenen Datenquellensystemen in Microsoft Purview Data Map.
Sie können ein Microsoft Purview-Konto in Ihrem Azure-Abonnement in allen unterstützten Azure-Regionen bereitstellen.
Alle Metadaten werden in Data Map in Ihrem Microsoft Purview-instance gespeichert. Dies bedeutet, dass die Metadaten in derselben Region wie Ihre Microsoft Purview-instance gespeichert werden.
Wie werden Metadaten aus Datenquellen extrahiert?
Mit Microsoft Purview können Sie eine der folgenden Optionen verwenden, um Metadaten aus Datenquellen zu extrahieren:
Azure-Runtime. Metadatendaten werden in derselben Region wie Ihre Datenquellen extrahiert und verarbeitet.
Eine manuelle oder automatische Überprüfung wird vom Microsoft Purview Data Map über die Azure Integration Runtime initiiert.
Die Azure Integration Runtime stellt eine Verbindung mit der Datenquelle her, um Metadaten zu extrahieren.
Metadaten werden in der Warteschlange im verwalteten Microsoft Purview- oder Erfassungsspeicher in die Warteschlange gestellt und in Azure Blob Storage gespeichert.
Metadaten werden an den Microsoft Purview Data Map gesendet.
Selbstgehostete Integration Runtime. Metadaten werden von der selbstgehosteten Integration Runtime im Arbeitsspeicher der selbstgehosteten Integration Runtime-VMs extrahiert und verarbeitet, bevor sie an Microsoft Purview Data Map gesendet werden. In diesem Fall müssen Kunden eine oder mehrere selbstgehostete Windows-basierte Integration Runtime-VMs in ihren Azure-Abonnements oder lokalen Umgebungen bereitstellen und verwalten. Das Überprüfen lokaler und VM-basierter Datenquellen erfordert immer die Verwendung einer selbstgehosteten Integration Runtime. Die Azure Integration Runtime wird für diese Datenquellen nicht unterstützt. Die folgenden Schritte zeigen den Kommunikationsfluss auf hoher Ebene, wenn Sie eine selbstgehostete Integration Runtime verwenden, um eine Datenquelle zu überprüfen.
Eine manuelle oder automatische Überprüfung wird ausgelöst. Microsoft Purview stellt eine Verbindung mit Azure Key Vault her, um die Anmeldeinformationen für den Zugriff auf eine Datenquelle abzurufen.
Die Überprüfung wird vom Microsoft Purview Data Map über eine selbstgehostete Integration Runtime initiiert.
Der selbstgehostete Integration Runtime-Dienst der VM stellt eine Verbindung mit der Datenquelle her, um Metadaten zu extrahieren.
Metadaten werden im VM-Arbeitsspeicher für die selbstgehostete Integration Runtime verarbeitet. Metadaten werden im Microsoft Purview-Erfassungsspeicher in die Warteschlange gestellt und dann in Azure Blob Storage gespeichert.
Metadaten werden an den Microsoft Purview Data Map gesendet.
Wenn Sie Metadaten aus Datenquellen mit vertraulichen Daten extrahieren müssen, die die Grenzen Ihres lokalen Netzwerks nicht verlassen können, wird dringend empfohlen, die selbstgehostete Integration Runtime-VM in Ihrem Unternehmensnetzwerk bereitzustellen, in dem sich Datenquellen befinden, um Metadaten in der lokalen Umgebung zu extrahieren und zu verarbeiten und nur Metadaten an Microsoft Purview zu senden.
Eine manuelle oder automatische Überprüfung wird ausgelöst. Microsoft Purview stellt eine Verbindung mit Azure Key Vault her, um die Anmeldeinformationen für den Zugriff auf eine Datenquelle abzurufen.
Die Überprüfung wird über die lokale selbstgehostete Integration Runtime initiiert.
Der selbstgehostete Integration Runtime-Dienst der VM stellt eine Verbindung mit der Datenquelle her, um Metadaten zu extrahieren.
Metadaten werden im VM-Arbeitsspeicher für die selbstgehostete Integration Runtime verarbeitet. Metadaten werden im Microsoft Purview-Erfassungsspeicher in die Warteschlange gestellt und dann in Azure Blob Storage gespeichert. Tatsächliche Daten verlassen niemals die Grenze Ihres Netzwerks.
Metadaten werden an den Microsoft Purview Data Map gesendet.
Informationsschutz und -verschlüsselung
Azure bietet viele Mechanismen, um Daten im Ruhezustand und beim Wechsel von einem Standort an einen anderen privat zu halten. Bei Microsoft Purview werden ruhende Daten mit von Microsoft verwalteten Schlüsseln und bei der Übertragung von Daten mithilfe von Transport Layer Security (TLS) v1.2 oder höher verschlüsselt.
Transport Layer Security (Verschlüsselung während der Übertragung)
Daten während der Übertragung (auch als Daten in Bewegung bezeichnet) werden in Microsoft Purview verschlüsselt.
Um zusätzlich zu den Zugriffssteuerungen eine weitere Sicherheitsebene hinzuzufügen, schützt Microsoft Purview Kundendaten, indem daten in Bewegung mit Transport Layer Security (TLS) verschlüsselt und Daten während der Übertragung vor Out-of-Band-Angriffen (z. B. Traffic Capture) geschützt werden. Es verwendet Verschlüsselung, um sicherzustellen, dass Angreifer die Daten nicht einfach lesen oder ändern können.
Microsoft Purview unterstützt die Datenverschlüsselung während der Übertragung mit Transport Layer Security (TLS) v1.2 oder höher.
Weitere Informationen finden Sie unter Verschlüsseln vertraulicher Informationen während der Übertragung.
Transparente Datenverschlüsselung (Verschlüsselung ruhender Daten)
Ruhende Daten umfassen Informationen, die sich in einem persistenten Speicher auf physischen Medien in einem beliebigen digitalen Format befinden. Die Medien können Dateien auf magnetischen oder optischen Medien, archivierte Daten und Datensicherungen in Azure-Regionen enthalten.
Um zusätzlich zur Zugriffssteuerung eine weitere Sicherheitsebene hinzuzufügen, verschlüsselt Microsoft Purview ruhende Daten zum Schutz vor Out-of-Band-Angriffen (z. B. zugriff auf den zugrunde liegenden Speicher). Die Verschlüsselung wird mit von Microsoft verwalteten Schlüsseln verwendet. Diese Vorgehensweise trägt dazu bei, dass Angreifer die Daten nicht einfach lesen oder ändern können.
Weitere Informationen finden Sie unter Verschlüsseln vertraulicher ruhender Daten.
Optionale Event Hubs-Namespacekonfiguration
Jedes Microsoft Purview-Konto kann Event Hubs konfigurieren, auf die über den Atlas Kafka-Endpunkt zugegriffen werden kann. Dies kann bei der Erstellung unter Konfiguration oder über die Azure-Portal unter Kafka-Konfiguration aktiviert werden. Es wird empfohlen, den optionalen verwalteten Event Hub nur zu aktivieren, wenn er zum Verteilen von Ereignissen in oder außerhalb des Microsoft Purview-Kontos Data Map verwendet wird. Um diesen Informationsverteilungspunkt zu entfernen, konfigurieren Sie diese Endpunkte entweder nicht, oder entfernen Sie sie.
Um konfigurierte Event Hubs-Namespaces zu entfernen, können Sie die folgenden Schritte ausführen:
- Suchen Sie im Azure-Portal nach Ihrem Microsoft Purview-Konto, und öffnen Sie es.
- Wählen Sie kafka-Konfiguration unter Einstellungen auf der Seite Ihres Microsoft Purview-Kontos im Azure-Portal aus.
- Wählen Sie die Event Hubs aus, die Sie deaktivieren möchten. (Hookhubs senden Nachrichten an Microsoft Purview. Notification Hubs empfangen Benachrichtigungen.)
- Wählen Sie Entfernen aus, um die Auswahl zu speichern und den Deaktivierungsprozess zu starten. Dies kann einige Minuten dauern.
Hinweis
Wenn Sie einen privaten Erfassungsendpunkt haben, wenn Sie diesen Event Hubs-Namespace deaktivieren, wird nach dem Deaktivieren des privaten Erfassungsendpunkts möglicherweise als getrennt angezeigt.
Weitere Informationen zum Konfigurieren dieser Event Hubs-Namespaces finden Sie unter Konfigurieren von Event Hubs für Atlas Kafka-Themen.
Verwaltung von Anmeldeinformationen
Um Metadaten aus einem Datenquellensystem in Microsoft Purview Data Map zu extrahieren, müssen Die Datenquellensysteme in Microsoft Purview Data Map registriert und überprüft werden. Um diesen Prozess zu automatisieren, haben wir Connectors für verschiedene Datenquellensysteme in Microsoft Purview zur Verfügung gestellt, um den Registrierungs- und Überprüfungsprozess zu vereinfachen.
Um eine Verbindung mit einer Datenquelle herzustellen, benötigt Microsoft Purview Anmeldeinformationen mit schreibgeschütztem Zugriff auf das Datenquellensystem.
Es wird empfohlen, die Verwendung der folgenden Anmeldeinformationsoptionen für die Überprüfung nach Möglichkeit zu priorisieren:
- Verwaltete Microsoft Purview-Identität
- Benutzerseitig zugewiesene verwaltete Identität
- Dienstprinzipale
- Andere Optionen wie Kontoschlüssel, SQL-Authentifizierung usw.
Wenn Sie anstelle verwalteter Identitäten Optionen verwenden, müssen alle Anmeldeinformationen in einem Azure-Schlüsseltresor gespeichert und geschützt werden. Microsoft Purview erfordert get/list-Zugriff auf das Geheimnis für die Azure Key Vault-Ressource.
Im Allgemeinen können Sie die folgenden Optionen zum Einrichten der Integration Runtime und der Anmeldeinformationen verwenden, um Datenquellensysteme zu überprüfen:
Szenario | Laufzeitoption | Unterstützte Anmeldeinformationen |
---|---|---|
Datenquelle ist eine Azure Platform-as-a-Service-Instanz, z. B. Azure Data Lake Storage Gen 2 oder Azure SQL innerhalb eines öffentlichen Netzwerks. | Option 1: Azure Runtime | Verwaltete Microsoft Purview-Identität, Dienstprinzipal oder Zugriffsschlüssel/SQL-Authentifizierung (abhängig vom Azure-Datenquellentyp) |
Datenquelle ist eine Azure Platform-as-a-Service-Instanz, z. B. Azure Data Lake Storage Gen 2 oder Azure SQL innerhalb eines öffentlichen Netzwerks. | Option 2: Selbstgehostete Integration Runtime | Dienstprinzipal oder Zugriffsschlüssel/SQL-Authentifizierung (abhängig vom Azure-Datenquellentyp) |
Datenquelle ist eine Azure Platform-as-a-Service-Instanz, z. B. Azure Data Lake Storage Gen2 oder Azure SQL innerhalb eines privaten Netzwerks mit Azure Private Link Service. | Selbstgehostete Integration Runtime | Dienstprinzipal oder Zugriffsschlüssel/SQL-Authentifizierung (abhängig vom Azure-Datenquellentyp) |
Die Datenquelle befindet sich in einer Azure-IaaS-VM, z. B. SQL Server | In Azure bereitgestellte selbstgehostete Integration Runtime | SQL-Authentifizierung oder Standardauthentifizierung (abhängig vom Azure-Datenquellentyp) |
Die Datenquelle befindet sich in einem lokalen System wie SQL Server oder Oracle. | In Azure oder im lokalen Netzwerk bereitgestellte selbstgehostete Integration Runtime | SQL-Authentifizierung oder Standardauthentifizierung (abhängig vom Azure-Datenquellentyp) |
Multicloud | Azure-Runtime oder selbstgehostete Integration Runtime basierend auf Datenquellentypen | Unterstützte Anmeldeinformationsoptionen variieren je nach Datenquellentypen. |
Power BI-Mandant | Azure-Runtime | Verwaltete Microsoft Purview-Identität |
In diesem Leitfaden erfahren Sie mehr über die einzelnen Quellen und die unterstützten Authentifizierungsoptionen.
Weitere Empfehlungen
Anwenden bewährter Sicherheitsmethoden für selbstgehostete Laufzeit-VMs
Erwägen Sie die Sicherung der Bereitstellung und Verwaltung von VMs der selbstgehosteten Integration Runtime in Azure oder Ihrer lokalen Umgebung, wenn die selbstgehostete Integration Runtime zum Überprüfen von Datenquellen in Microsoft Purview verwendet wird.
Befolgen Sie für selbstgehostete Integration Runtime-VMs, die als virtuelle Computer in Azure bereitgestellt werden, die Empfehlungen zu bewährten Sicherheitsmethoden für virtuelle Windows-Computer.
- Sperren Sie eingehenden Datenverkehr für Ihre VMs mithilfe von Netzwerksicherheits-Gruppen und Azure Defender-Zugriff just-in-Time.
- Installieren Sie Antiviren- oder Antischadsoftware.
- Stellen Sie Azure Defender bereit, um Erkenntnisse zu potenziellen Anomalien auf den VMs zu erhalten.
- Beschränken Sie die Softwaremenge auf den VMs der selbstgehosteten Integration Runtime. Obwohl es keine obligatorische Voraussetzung ist, über einen dedizierten virtuellen Computer für eine selbstgehostete Runtime für Microsoft Purview zu verfügen, wird dringend empfohlen, dedizierte VMs speziell für Produktionsumgebungen zu verwenden.
- Überwachen Sie die VMs mithilfe von Azure Monitor für VMs. Mithilfe des Log Analytics-Agents können Sie Inhalte wie Leistungsmetriken erfassen, um die erforderliche Kapazität für Ihre VMs anzupassen.
- Durch die Integration virtueller Computer in Microsoft Defender für Cloud können Sie Bedrohungen verhindern, erkennen und darauf reagieren.
- Halten Sie Ihre Computer auf dem neuesten Stand. Sie können die automatische Windows Update aktivieren oder die Updateverwaltung in Azure Automation verwenden, um Updates auf Betriebssystemebene für das Betriebssystem zu verwalten.
- Verwenden Sie mehrere Computer, um die Resilienz und Verfügbarkeit zu erhöhen. Sie können mehrere selbstgehostete Integration Runtimes bereitstellen und registrieren, um die Überprüfungen auf mehrere selbstgehostete Integration Runtime-Computer zu verteilen, oder die selbstgehostete Integration Runtime auf einer VM-Skalierungsgruppe bereitstellen, um eine höhere Redundanz und Skalierbarkeit zu erzielen.
- Optional können Sie planen, Azure Backup von Ihren selbstgehosteten Integration Runtime-VMs zu aktivieren, um die Wiederherstellungszeit einer selbstgehosteten Integration Runtime-VM zu verlängern, wenn es zu einem Notfall auf VM-Ebene kommt.