Entender as considerações de segurança de ingestão de dados
A integração de dados requer o tratamento seguro de dados que estão em repouso e em trânsito. Antes de criar uma solução de integração de dados, a fase de design deve considerar os requisitos de segurança. Inicialmente, isso cobrirá os sistemas de origem e como os dados deles serão ingeridos. No entanto, é preciso adotar uma abordagem holística, que também encapsula a segurança de armazenamentos de dados intermediários nas áreas a seguir
Rede
Há uma série de problemas aos quais você deve estar atento quanto à configuração da segurança de rede. Talvez você precise trabalhar com o administrador do Azure em sua organização para gerenciar algumas dessas áreas.
Usar redes virtuais para proteger os recursos do Azure
As redes virtuais permitem a comunicação segura entre os serviços do Azure ou com servidores que existem na rede local. As redes virtuais (ou VNets) são o bloco de construção fundamental para configurar redes privadas. Elas permitem a comunicação segura entre os recursos do Azure, os serviços na Internet e o servidor em redes locais. O Azure Data Factory pode ingerir dados de um servidor local ou de uma máquina virtual hospedada no Azure. Para conseguir isso, um runtime de integração auto-hospedada pode ser implantado em um servidor dentro de uma rede virtual. Para restringir o acesso, você deve configurar um NSG (grupo de segurança de rede) para permitir somente o acesso administrativo. Ao usar o Azure-SSIS Integration Runtime, você terá a opção de ingressar em uma rede virtual. Aceitar essa opção permite que Azure Data Factory crie recursos de rede. Um exemplo disso é um grupo de segurança de rede criado automaticamente pelo Azure Data Factory e a porta 3389 aberta para todo o tráfego por padrão. Bloqueie isso para garantir que somente os administradores tenham acesso.
Usar serviços para detectar e impedir invasões
Você pode negar a comunicação com endereços IP conhecidos habilitando o padrão de proteção contra DDoS (negação de serviço distribuído) nas redes virtuais nas quais o runtime de integração está hospedado. Além disso, é possível usar a inteligência contra ameaças integrada da Central de Segurança do Azure para negar comunicações com endereços IP da Internet maliciosos conhecidos ou não usados. O Firewall do Azure com inteligência contra ameaças pode ser usado para controlar o acesso à rede. Se a detecção e/ou prevenção de intrusão baseada na inspeção de conteúdo for necessária, você poderá redirecionar o tráfego para um dispositivo de firewall por meio do túnel de força do Azure ExpressRoute ou de uma solução de virtualização de rede com suporte para essa funcionalidade
Simplificar o gerenciamento de regras de segurança usando marcas de serviço de rede
As redes virtuais podem ser configuradas com marcas de serviço. As marcas de serviço permitem agrupar prefixos de endereço IP de um determinado serviço do Azure para fins administrativos. Usando marcas de serviço, você pode criar regras de segurança de rede em grupos de segurança de rede com base nas marcas de serviço para reduzir as sobrecargas administrativas. Ao especificar o nome da marca de serviço (por exemplo, DataFactoryManagement) no campo correto de origem ou destino de uma regra, você poderá permitir ou negar o tráfego de entrada para o serviço correspondente.
Identidade e controle de acesso
O gerenciamento de acesso aos seus dados é uma área importante a ser considerada. Aqui estão algumas áreas que devem ser consideradas.
Contas administrativas
As contas administrativas usadas para trabalhar e gerenciar o Azure Data Factory devem ser contas dedicadas e conhecidas monitoradas e gerenciadas regularmente para garantir que não sejam comprometidas. Para criar instâncias de Data Factory, a conta de usuário usada para entrar no Azure deve ser um membro das funções colaborador ou proprietário, ou um administrador da assinatura do Azure. Para ambientes de alta segurança, considere usar computadores dedicados para acesso administrativo para qualquer tarefa administrativa do ADF
Usar o Active Directory para usar logon único
Registre as entidades de serviço no Microsoft Entra ID para aproveitar o gerenciamento de tokens para que seu serviço do Azure Data Factory simplifique a autenticação nos recursos do Azure. Um data factory pode ser associado a uma identidade gerenciada para recursos do Azure, que representa esse data factory específico. Você pode usar essa identidade gerenciada para autenticação do Banco de Dados SQL do Azure. O factory designado pode acessar dados do banco de dados e copiá-los para o banco de dados usando essa identidade.
Proteção de dados
Talvez você precise inserir considerações especiais para tipos específicos de dados, como dados médicos ou dados financeiros, nas áreas a seguir.
Usar o RBAC (Controle de Acesso Baseado em Função) para controlar o acesso aos recursos
Use o RBAC nas fontes de dados para controlar o acesso aos dados para a entidade de serviço do Azure Data Factory.
Dados Confidenciais
É preciso considerar diversos aspectos ao trabalhar com os dados confidenciais, incluindo:
- Manter uma lista de armazenamentos de dados que contêm informações confidenciais
- Isolar os sistemas que armazenam ou processam informações confidenciais
- Monitorar e bloquear a transferência não autorizada de informações confidenciais
- Criptografar todas as informações confidenciais em trânsito
- Criptografar todas as informações confidenciais inativas
Log e monitoramento
Também é igualmente importante entender quem está acessando seus dados e suas considerações de segurança devem envolver as áreas a seguir.
configurar o gerenciamento central de log de segurança
Use o Azure Monitor para centralizar o armazenamento de logs de ingestão gerados pelo Azure Data Factory e consulte-os usando o Log Analytics. Além disso, configure uma estratégia para armazenar os logs de longo prazo em Contas de Armazenamento do Azure para que você tenha os dados para estabelecer linhas de base para atividades de ingestão de ADF
Monitorar e registrar a configuração e o tráfego de pacotes de rede de redes virtuais, sub-redes e NICs
Habilite os logs de fluxo do NSG (grupo de segurança de rede) para o NSG proteger sua implantação do Integration Runtime e envie os logs para uma Conta de Armazenamento do Azure para a auditoria de tráfego. Também envie logs de fluxo de NSG para um workspace do Log Analytics e use a Análise de Tráfego para fornecer insights sobre o fluxo de tráfego em sua nuvem do Azure.
Habilitar log de auditoria
Você pode usar as configurações de diagnóstico do Azure Data Factory para configurar logs de diagnóstico para rastrear dados de execução de pipeline, que são mantidos por 45 dias. Você pode salvar os logs de diagnóstico nas contas de Armazenamento do Azure para análise futura.
Habilitar alertas em atividades
Configuração de diagnóstico para Azure Data Factory que envia logs para o Log Analytics pode ter alertas configurados para um conjunto de condições predefinidas que podem alertar um administrador para atividades
Seguir o padrão de registro em log e monitoramento padrão em sua organização
Verifique os padrões de sua organização para registro em log e monitoramento e ajuste para o padrão, incluindo:
- Log de auditoria
- Logs de segurança
- Log antimalware
- Políticas de retenção de log