Protezione dei dati in Analisi di flusso di Azure
Analisi di flusso di Azure è una piattaforma distribuita come servizio completamente gestita che consente di creare pipeline di analisi in tempo reale. Tutti i carichi elevati, ad esempio il provisioning del cluster, il ridimensionamento dei nodi per supportare l'utilizzo e la gestione dei checkpoint interni, vengono gestiti in background.
Asset di dati privati archiviati
Analisi di flusso di Azure mantiene i metadati e i dati seguenti per l'esecuzione:
Definizione di query e relativa configurazione
Funzioni o aggregazioni definite dall'utente
Checkpoint necessari per il runtime di analisi di flusso
Snapshot dei dati di riferimento
Dettagli della connessione delle risorse usate dal processo di analisi di flusso
Residenza dei dati nell'area geografica
Analisi di flusso di Azure archivia i dati dei clienti e altri metadati descritti in precedenza. Analisi di flusso di Azure archivia i dati dei clienti in una singola area per impostazione predefinita, quindi questo servizio soddisfa automaticamente i requisiti di residenza dei dati dell'area, inclusi quelli specificati nel Centro protezione. È anche possibile scegliere di archiviare tutti gli asset di dati (dati dei clienti e altri metadati) correlati al processo di analisi di flusso in un'unica area crittografandoli in un account di archiviazione preferito.
Crittografare i dati
Analisi di flusso usa automaticamente standard di crittografia di alta qualità nell'infrastruttura per crittografare e proteggere i dati. È possibile considerare attendibile l'analisi di flusso per archiviare in modo sicuro tutti i dati, in modo che non sia necessario preoccuparsi della gestione dell'infrastruttura.
Se si vogliono usare chiavi gestite dal cliente per crittografare i dati, è possibile usare il proprio account di archiviazione (V1 o V2 per utilizzo generico) per archiviare tutti gli asset di dati privati richiesti dal runtime di analisi di flusso. L'account di archiviazione può essere crittografato in base alle esigenze. Nessuno degli asset di dati privati viene archiviato in modo permanente dall'infrastruttura di analisi di flusso.
Questa impostazione deve essere configurata al momento della creazione del processo di analisi di flusso e non può essere modificata durante il ciclo di vita del processo. Non è consigliabile modificare o eliminare l'archiviazione usata da analisi di flusso. Se si elimina l'account di archiviazione, si eliminano definitivamente tutti gli asset di dati privati e si verifica un errore del processo.
L'aggiornamento o la rotazione delle chiavi nell'account di archiviazione non è possibile tramite il portale di analisi di flusso. È possibile aggiornare le chiavi usando le API REST. È anche possibile connettersi all'account di archiviazione del processo usando l'autenticazione dell'identità gestita con l'opzione Consenti servizi attendibili.
Se l'account di archiviazione da usare si trova in una rete virtuale di Azure, è necessario usare la modalità di autenticazione dell'identità gestita con Consenti servizi attendibili. Per altre informazioni, vedere Connettere processi di analisi di flusso alle risorse in una rete virtuale di Azure.
Configurare l'account di archiviazione per i dati privati
Crittografare l'account di archiviazione per proteggere tutti i dati e scegliere in modo esplicito la posizione dei dati privati.
Usare la procedura seguente per configurare l'account di archiviazione per gli asset di dati privati. Questa configurazione viene eseguita dal processo di analisi di flusso, non dall'account di archiviazione.
Accedere al portale di Azure.
Selezionare Crea risorsa nell'angolo superiore sinistro del portale di Azure.
Selezionare Analisi>Processo di Analisi di flusso nell'elenco risultati.
Compilare la pagina del processo di analisi di flusso con i dettagli necessari, ad esempio nome, area geografica e scalabilità.
Selezionare la casella di controllo Proteggi tutti gli asset di dati privati necessari per questo processo nell'account di archiviazione.
Selezionare un account di archiviazione dalla sottoscrizione. Questa impostazione non può essere modificata durante tutto il ciclo di vita del processo. Non è inoltre possibile aggiungere questa opzione dopo la creazione del processo.
Per eseguire l'autenticazione con una stringa di connessione, selezionare Stringa di connessione nell'elenco a discesa Modalità di autenticazione. La chiave dell'account di archiviazione viene popolata automaticamente dalla sottoscrizione.
Per eseguire l'autenticazione con identità gestita, selezionare Identità gestita dall'elenco a discesa Modalità di autenticazione. Se si sceglie Identità gestita, è necessario aggiungere il processo di analisi di flusso all'elenco di controllo di accesso dell'account di archiviazione con il ruolo Collaboratore ai dati dei BLOB di archiviazione. Se non si concede l'accesso al processo, il processo non può eseguire alcuna operazione. Per altre informazioni su come concedere l'accesso, vedere Assegnare un ruolo di Azure per l'accesso ai dati BLOB.
Asset di dati privati archiviati da analisi di flusso
Tutti i dati privati necessari per essere salvati in modo permanente da analisi di flusso vengono archiviati nell'account di archiviazione. Esempi di asset di dati privati includono:
Query create e relative configurazioni
Funzioni definite dall'utente
Checkpoint necessari per il runtime di analisi di flusso
Snapshot dei dati di riferimento
Vengono archiviati anche i dettagli di connessione delle risorse usate dal processo di analisi di flusso. Crittografare l'account di archiviazione per proteggere tutti i dati.
Abilitare la residenza dei dati
È possibile usare questa funzionalità per applicare qualsiasi requisito di residenza dei dati di cui si dispone fornendo un account di archiviazione di conseguenza.