Privacidad de datos para el análisis a escala de la nube en Azure
El análisis a escala en la nube le ayuda a determinar los patrones de acceso a datos óptimos que se ajustan a sus requisitos, a la vez que protege los datos personales en varios niveles. Los datos personales incluyen cualquier información que pueda identificar de forma única a personas, por ejemplo números de licencia de conducir, números de seguridad social, detalles de cuenta bancaria, números de pasaporte y direcciones de correo electrónico. Existen muchas regulaciones para proteger la privacidad del usuario.
Para proteger la privacidad de los datos dentro de un entorno de nube como Azure, puede crear un esquema de confidencialidad de datos que especifique directivas de acceso a datos. Estas directivas pueden definir la arquitectura subyacente en la que reside la aplicación de datos, definir cómo autorizar el acceso a datos y especificar a qué filas o columnas pueden acceder los usuarios.
Creación de un esquema de clasificación de confidencialidad de datos
| clasificación | Descripción |
|---|---|
| Público | Cualquiera puede acceder a los datos y se pueden enviar a cualquiera. Por ejemplo, abra datos de gobierno. |
| Exclusivamente para uso interno | Solo los empleados pueden acceder a los datos y no se pueden enviar fuera de la empresa. |
| Confidencial | Los datos solo se pueden compartir si es necesario para una tarea específica. Los datos no se pueden enviar fuera de la empresa sin un acuerdo de no divulgación. |
| Altamente confidenciales (datos personales) | Los datos contienen información privada que debe ocultarse y compartirse solo cuando sea necesario conocerla, durante un tiempo limitado. Los datos no se pueden enviar a personal no autorizado ni fuera de la empresa. |
| Restringidos | Los datos solo se pueden compartir con personas con nombre responsables de su protección. Por ejemplo, documentos legales o secretos comerciales. |
Antes de ingerir los datos, debe clasificarlos como confidenciales o inferiores o datos personales sensibles:
- Ordene los datos en confidencial o a continuación si no necesita restringir qué columnas y filas pueden ver los usuarios.
- Ordene los datos en datos personales confidenciales si necesita restringir qué columnas y filas pueden ver los usuarios.
Importante
Un conjunto de datos puede cambiar de confidencial o inferior a datos personales confidenciales al combinar datos con otros productos de datos que anteriormente tenían una clasificación inferior. Si necesita datos persistentes, muévalo a una carpeta designada que se alinee con su nivel de confidencialidad y el proceso de incorporación.
Crear un conjunto de políticas Azure
Después de clasificar los datos, debe alinear la clasificación con los requisitos de la directiva del sector y las directivas internas de la empresa. Quiere crear un conjunto de directivas de Azure que controle qué infraestructura se puede implementar, la ubicación donde se puede implementar y los estándares de red y cifrado.
En el caso de los sectores regulados, puede usar las iniciativas de directivas de cumplimiento normativo de Microsoft como línea base para los marcos de cumplimiento.
La clasificación de datos sigue las mismas reglas para el cifrado, las SKU de infraestructura permitidas y las iniciativas de directiva. Por lo tanto, puede almacenar todos los datos dentro de la misma zona de aterrizaje.
Para los datos restringidos, debe alojar los datos en un área de recepción de datos dedicada dentro de un grupo de administración donde puede establecer un conjunto más riguroso de requisitos para la infraestructura. Por ejemplo, puede definir claves administradas por el cliente para las restricciones de cifrado o de entrada o salida para la zona de aterrizaje.
Nota:
Puede colocar datos personales sensibles y datos clasificados como confidenciales o inferiores en la misma zona de destino de datos, pero en cuentas de almacenamiento diferentes. Pero esta práctica podría complicar la solución en la capa de red, por ejemplo, con grupos de seguridad de red.
Una solución de gobernanza de datos implementada debe limitar quién puede buscar datos restringidos en el catálogo. Considere la posibilidad de implementar el acceso condicional de Microsoft Entra ID para todos los recursos y servicios de datos. Para mejorar la seguridad, aplique el acceso Just-In-Time para los datos restringidos.
Considere los requisitos de cifrado
Además de definir directivas para ubicaciones y servicios de Azure permitidos, tenga en cuenta los requisitos de cifrado para cada clasificación de datos. Tenga en cuenta los requisitos de las siguientes áreas:
- Administración de claves
- Almacenamiento de claves
- Cifrado de datos en reposo
- Cifrado de datos en tránsito
- Cifrado de datos en uso
Para la administración de claves, puede usar claves de cifrado administradas por la plataforma o administradas por el cliente. Para más información, consulte Introducción a la administración de claves en Azure y Cómo elegir la solución de administración de claves adecuada.
Para obtener más información sobre las opciones de cifrado, consulte Cifrado de datos en reposo y Modelos de cifrado de datos.
Puede usar el protocolo de seguridad de la capa de transporte (TLS)
Si el escenario requiere que los datos permanezcan cifrados durante el uso, el modelo de amenazas de Computación confidencial de Azure ayuda a minimizar la confianza. Minimiza la posibilidad de que los operadores de proveedor de nube u otros actores del dominio del inquilino puedan acceder al código y a los datos durante la implementación.
Para más información, consulte productos de computación confidencial de Azure.
Implementación de la gobernanza de datos
Después de definir las directivas para la implementación de servicios de Azure permitidos, determine cómo conceder acceso al producto de datos.
Si dispone de una solución de gobernanza de datos como Microsoft Purview o Azure Databricks Unity Catalog, puede crear activos o productos de datos para capas de lago de datos enriquecidas y seleccionadas. Asegúrese de establecer los permisos dentro del catálogo de datos para ayudar a proteger esos objetos de datos.
Use Microsoft Purview para administrar, proteger y controlar centralmente las siguientes áreas:
- Acceso a datos
- Ciclo de vida de los datos
- Directivas y normativas internas y externas
- Directivas de uso compartido de datos
- Identificación de datos confidenciales
- Conclusiones sobre la protección y el cumplimiento
- Directivas para informes de protección de datos
Para obtener más información sobre cómo utilizar Microsoft Purview para gestionar el acceso de lectura o modificación, consulte Conceptos para las directivas de propietarios de datos de Microsoft Purview.
Tanto si decide implementar Microsoft Purview como otra solución de gobernanza de datos, use grupos de identificadores de Microsoft Entra para aplicar directivas a los productos de datos.
Use la API REST de la solución de gobernanza de datos para incorporar un nuevo conjunto de datos. Los equipos de aplicaciones de datos crean productos de datos y los registran en la solución de gobernanza de datos para ayudar a identificar datos confidenciales. La solución de gobernanza de datos importa la definición y deniega todo el acceso a los datos hasta que los equipos configuren sus directivas de acceso.
Uso de patrones de protección de datos
Para proteger los datos confidenciales, elija un patrón de protección de datos basado en los datos, los servicios y las directivas que implemente.
Múltiples copias
La canalización de cada producto de datos que tenga una clasificación confidencial de datos personales crea dos copias. La canalización clasifica el primero como confidencial o de menor importancia. Esta copia no incluye las columnas confidenciales de datos personales. Se crea en la carpeta confidencial o de menor nivel para el producto de datos. La otra copia se crea en la carpeta de datos personales confidenciales. Esta copia incluye los datos confidenciales. A cada carpeta se le asigna un lector de Microsoft Entra ID y un grupo de seguridad de escritor de Microsoft Entra ID.
Si usa Microsoft Purview, puede registrar ambas versiones del producto de datos y usar directivas para ayudar a proteger los datos.
El patrón de varias copias separa los datos personales confidenciales y los datos confidenciales o inferiores. Pero si concede a un usuario acceso a datos personales confidenciales, puede consultar todas las filas. Es posible que su organización tenga que tener en cuenta otras soluciones que proporcionan seguridad de nivel de fila para filtrar las filas.
Seguridad de nivel de fila y de nivel de columna
Si necesita filtrar filas que los usuarios pueden ver, puede mover los datos a una solución de proceso que use la seguridad de nivel de fila.
Para evitar la nueva ingeniería, seleccione el servicio de Azure adecuado o la solución de Microsoft Fabric para su caso de uso concreto. Los distintos tipos de bases de datos están diseñados para diferentes propósitos. Por ejemplo, no debe usar una base de datos de procesamiento de transacciones en línea (OLTP) para un análisis exhaustivo. Y si usa una aplicación de comercio electrónico, no debe usar una solución adaptada para el análisis de macrodatos porque no puede lograr los tiempos de respuesta milisegundos necesarios.
Si implementa soluciones que admiten la seguridad de nivel de fila, los equipos de aplicaciones de datos deben crear diferentes grupos de identificadores de Microsoft Entra y asignar permisos en función de la confidencialidad de los datos.
Además de la seguridad de nivel de fila, puede restringir el acceso a determinadas columnas. En la tabla siguiente se muestra un ejemplo de cuatro grupos de identificadores de Microsoft Entra que tienen acceso de solo lectura:
| Grupo | Permiso |
|---|---|
DA-AMERICA-HRMANAGER-R |
Ver el recurso de datos de personal de RR. HH. de Norteamérica con información de salario. |
DA-AMERICA-HRGENERAL-R |
Ver el recurso de datos de personal de RR. HH. de Norteamérica sin información de salario. |
DA-EUROPE-HRMANAGER-R |
Ver el recurso de datos de personal de RR. HH. de Europa con información de salario. |
DA-EUROPE-HRGENERAL-R |
Ver el recurso de datos de personal de RR. HH. de Europa sin información de salario. |
El primer nivel de restricciones admite el enmascaramiento dinámico de datos, que oculta los datos confidenciales de los usuarios que no tienen privilegios. Puede usar una API REST para integrar este enfoque en la incorporación de un conjunto de datos.
El segundo nivel de restricciones agrega seguridad de nivel de columna para restringir que los administradores que no son de RR. HH. vean los salarios. También agrega seguridad a nivel de fila para restringir qué filas pueden ver los miembros del equipo de Europa y América del Norte.
Cifrado de columnas
El enmascaramiento dinámico de datos enmascara los datos en el momento de la presentación, pero algunos casos de uso requieren que la solución nunca tenga acceso a los datos de texto no cifrado.
La característica sql Always Encrypted mejora la seguridad de los datos confidenciales en las bases de datos de SQL Server. SQL Always Encrypted ayuda a garantizar que los datos confidenciales de las bases de datos de SQL Server permanecen seguros y protegidos contra el acceso no autorizado. Esta característica cifra los datos en reposo y en tránsito, lo que ayuda a mantener la máxima confidencialidad de los datos y el cumplimiento normativo. SQL Always Encrypted realiza operaciones de cifrado y descifrado en el lado cliente. Integre esta característica para ayudar a proteger los recursos de datos más valiosos.