データ インジェストのセキュリティに関する考慮事項を理解する
データ統合では、保存されたデータと転送中のデータを安全に処理する必要があります。 データ統合ソリューションを作成する前に、設計段階でセキュリティ要件について考慮する必要があります。 これにより、最初にソース システムと、それらからデータを取り込む方法の保護が提供されます。 ただし、次の領域では、中間データ ストアのセキュリティもカプセル化する包括的なアプローチが必要です
ネットワーク
ネットワーク セキュリティの設定に関して注意する必要がある問題がいくつかあります。 これらの領域を管理するには、組織の Azure 管理者と共に作業することが必要になる場合があります。
仮想ネットワークを使用して Azure リソースをセキュリティ保護する
仮想ネットワークを使用すると、Azure サービス間で、またはオンプレミス ネットワークに存在するサーバーと、セキュリティで保護された通信を行うことができます。 仮想ネットワーク (VNet) は、プライベート ネットワークを構成するための基本的な構成要素です。 これにより、Azure リソース、インターネット上のサービス、オンプレミス ネットワーク上のサーバーの間で、セキュリティで保護された通信が可能になります。 Azure Data Factory では、オンプレミス サーバーから、または Azure 内でホストされている仮想マシンから、データを取り込むことができます。 これを実現するには、仮想ネットワーク内のサーバーにセルフホステッド統合ランタイムをデプロイできます。 アクセスを制限するには、管理アクセスのみを許可するようにネットワーク セキュリティ グループ (NSG) を構成する必要があります。 Azure SSIS 統合ランタイムを使用する場合は、仮想ネットワークに参加するオプションがあります。 このオプションを受け入れると、Azure Data Factory でネットワーク リソースを作成できるようになります。たとえば、ネットワーク セキュリティ グループが Azure Data Factory によって自動的に作成され、ポート 3389 が既定ですべてのトラフィックに対して開かれます。 これをロックダウンして、管理者のみがアクセスできるようにします。
サービスを使用した侵入の検出と防止
既知の IP アドレスとの通信を拒否するには、統合ランタイムがホストされている仮想ネットワークで、分散型サービス拒否 (DDoS) 保護標準を有効にします。 また、Azure Security Center の統合された脅威インテリジェンスを使用して、既知の悪意のあるインターネット IP アドレスまたは使用されていないインターネット IP アドレスとの通信を拒否することもできます。 脅威インテリジェンスを使用した Azure Firewall を、ネットワーク アクセスを制御するために使用できます。 ペイロードの検査に基づいて侵入を検出または防止 (あるいはその両方) する必要がある場合は、Azure ExpressRoute 強制トンネリングまたはこの機能をサポートするネットワーク仮想アプライアンスを介して、ファイアウォール アプライアンスにトラフィックをリダイレクトできます
ネットワーク サービス タグを使用してセキュリティ規則の管理を簡略化する
仮想ネットワークは、サービス タグを使用して構成できます。 サービス タグを使用すると、特定の Azure サービスの IP アドレス プレフィックスをグループ化して管理することができます。 サービス タグを使用すると、サービス タグに基づいてネットワーク セキュリティ グループにネットワーク セキュリティ規則を作成し、管理のオーバーヘッドを減らすことができます。 規則の適切なソースまたは宛先フィールドにサービス タグ名 (DataFactoryManagement など) を指定することにより、対応するサービスの受信トラフィックを許可または拒否できます。
ID とアクセスの制御
データへのアクセスの管理は、考慮する必要がある重要な領域です。 注意する必要のあるいくつかの領域を次に示します。
管理者アカウント
Azure Data Factory の作業と管理に使用する管理者アカウントは、セキュリティが侵害されないように定期的に監視および管理される専用の既知のアカウントである必要があります。 Data Factory インスタンスを作成するには、Azure へのサインインに使用するユーザー アカウントが、共同作成者ロールまたは所有者ロールのメンバーであるか、Azure サブスクリプションの管理者である必要があります。 高度なセキュリティ環境の場合は、ADF 管理タスクの管理アクセスに専用マシンを使用することを検討してください
Active Directory を使用してシングル サインオンを利用する
Microsoft Entra ID にサービス プリンシパルを登録してトークン管理を活用すると、Azure Data Factory サービスにより Azure リソース全体の認証を合理化できます。 データ ファクトリは、特定のデータ ファクトリを表す Azure リソースのマネージド ID に関連付けることができます。 このマネージド ID を Azure SQL Database の認証に使用できます。 この ID を使用して指定したファクトリからデータベースにアクセスし、データベースに、またはデータベースからデータをコピーできます。
データ保護
医療データや財務データなどの特定の種類のデータについては、次の領域に関して特に考慮する必要がある場合があります。
ロールベースのアクセス制御 (RBAC) を使用してリソースへのアクセスを制御する
データ ソースで RBAC を使用して、Azure Data Factory サービス プリンシパルへのデータへのアクセスを制御します。
機微なデータ
機密データを使用する場合は、次のようないくつかの考慮事項を検討する必要があります。
- 機密情報を含むデータ ストアの一覧を管理する
- 機密情報を保存または処理するシステムを分離する
- 機密情報の承認されていない転送を監視してブロックする
- 転送中の機密情報を暗号化する
- 保存されている機密情報を暗号化する
ログ記録と監視
また、データにアクセスしているユーザーを理解することも重要です。セキュリティに関する考慮事項には、次の領域が含まれます。
セキュリティ ログの一元管理を構成する
Azure Monitor を使用して、Azure Data Factory によって生成されるインジェスト ログの格納を一元化し、Log Analytics を使用してそれらに対してクエリを実行します。 また、ADF インジェスト アクティビティのベースラインを確立するためのデータが保持されるように、Azure Storage アカウントにログが長期間格納されるようにするための戦略を設定します
仮想ネットワーク、サブネット、NIC の構成とネットワーク パケット トラフィックを監視してログに記録する
NSG のネットワーク セキュリティ グループ (NSG) フロー ログを有効にして、Integration Runtime のデプロイを保護し、トラフィックを監査するために Azure Storage アカウントにログを送信します。 また、NSG フロー ログを Log Analytics ワークスペースに送信し、Traffic Analytics を使用して Azure クラウド内のトラフィック フローに関する分析情報を提供することもできます。
監査ログを有効にする
Azure Data Factory の診断設定を使用して、パイプライン実行データを追跡するように診断ログを構成できます。これは 45 日間保持されます。 今後の分析のために Azure Storage アカウントにこの診断ログを保存することができます。
アクティビティのアラートを有効にする
Log Analytics にログを送信する Azure Data Factory の診断設定では、管理者にアクティビティについて通知できる、一連の定義済みの条件セットのアラートを構成することができます
組織内のログ記録と監視の標準に従う
次のようなログ記録と監視に関する組織の標準を確認して、標準に準拠するようにします。
- 監査ログ
- セキュリティ ログ
- マルウェア対策ログ
- ログ保持ポリシー