Compreender as considerações de segurança de ingestão de dados
A integração de dados requer o tratamento seguro de dados em repouso e em trânsito. Antes da criação de uma solução de integração de dados, a etapa de projeto deve considerar os requisitos de segurança. Isso fornecerá inicialmente cobertura dos sistemas de origem e como os dados deles são ingeridos. No entanto, é necessária uma abordagem holística, que também englobe a segurança dos armazenamentos de dados intermediários nas seguintes áreas:
Rede
Há uma série de problemas que você deve estar ciente de relacionados à configuração de segurança de rede. Talvez seja necessário trabalhar com o Administrador do Azure em sua organização para gerenciar algumas dessas áreas.
Usar redes virtuais para proteger os recursos do Azure
As redes virtuais permitem uma comunicação segura entre os serviços do Azure ou com servidores que existem na rede local. As redes virtuais ou VNets são o bloco de construção fundamental para configurar redes privadas. Ele permite a comunicação segura entre recursos do Azure, serviços na Internet e com o servidor em redes locais. O Azure Data Factory pode ingerir dados de um servidor local ou de uma máquina virtual hospedada no Azure. Para conseguir isso, um tempo de execução de integração auto-hospedado pode ser implantado em um servidor dentro de uma rede virtual. Para restringir o acesso, você deve configurar um NSG (Grupo de Segurança de Rede) para permitir apenas o acesso administrativo. Ao usar o tempo de execução da Integração Azure-SSIS, você tem a opção de ingressar em uma rede virtual. Aceitar essa opção permite que o Azure Data Factory crie recursos de rede, um exemplo disso é que um Grupo de Segurança de Rede é criado automaticamente pelo Azure Data Factory e a porta 3389 está aberta a todo o tráfego por padrão. Bloqueie isso para garantir que apenas os administradores tenham acesso.
Utilize os serviços para detetar e prevenir intrusões
Você pode negar a comunicação com endereços IP conhecidos habilitando o padrão de proteção contra negação de serviço distribuída (DDoS) nas redes virtuais nas quais o tempo de execução da integração está hospedado. Além disso, você pode usar a Inteligência Integrada de Ameaças da Central de Segurança do Azure para negar comunicações com endereços IP da Internet conhecidos mal-intencionados ou não utilizados. O Firewall do Azure com Inteligência de Ameaças pode ser usado para controlar o acesso à rede. Se a deteção e/ou prevenção de intrusões com base na inspeção de carga útil for necessária, pode redirecionar o tráfego para um dispositivo de firewall através do túnel de força do Azure ExpressRoute ou para uma Ferramenta Virtual de Rede que suporte esta funcionalidade
Simplifique o gerenciamento de regras de segurança usando tags de serviço de rede
As redes virtuais podem ser configuradas com tags de serviço. As tags de serviço permitem agrupar prefixos de endereço IP de um determinado serviço do Azure para fins administrativos. Usando tags de serviço, você pode criar regras de segurança de rede em Grupos de Segurança de Rede com base em tags de serviço para reduzir as despesas gerais administrativas. Ao especificar o nome da etiqueta de serviço (por exemplo, DataFactoryManagement) no campo de origem ou destino apropriado de uma regra, você pode permitir ou negar o tráfego de entrada para o serviço correspondente.
Identidade e controlo de acesso
A gestão do acesso aos seus dados é uma área importante a considerar. Aqui estão algumas áreas a ter em conta.
Contas administrativas
As contas administrativas usadas para trabalhar e gerenciar o Azure Data Factory devem ser dedicadas, contas conhecidas que são monitoradas e gerenciadas regularmente para garantir que não sejam comprometidas. Para criar instâncias do Data Factory, a conta de utilizador que utiliza para iniciar sessão no Azure tem de ser membro das funções contribuidor ou proprietário ou administrador da subscrição do Azure. Para ambientes de alta segurança, considere o uso de máquinas dedicadas para acesso administrativo a qualquer tarefa administrativa do ADF
Usar o Ative Directory para usar o logon único
Registre entidades de serviço no Microsoft Entra ID para aproveitar o gerenciamento de token para que seu serviço Azure Data Factory simplifique sua autenticação nos recursos do Azure. Uma fábrica de dados pode ser associada a uma identidade gerenciada para recursos do Azure que representa o data factory específico. Você pode usar essa identidade gerenciada para autenticação do Banco de Dados SQL do Azure. A fábrica designada pode acessar e copiar dados de ou para seu banco de dados usando essa identidade.
Proteção de dados
Talvez seja necessário fazer considerações especiais para tipos específicos de dados, como dados médicos ou financeiros, nas seguintes áreas.
Usar o RBAC (Controle de Acesso Baseado em Função) para controlar o acesso aos recursos
Use o RBAC nas fontes de dados para controlar o acesso aos dados à entidade de serviço do Azure Data Factory.
Dados confidenciais
Há uma série de considerações que você deve levar em conta ao trabalhar com dados confidenciais, incluindo:
- Manutenção de uma lista dos armazenamentos de dados que contêm informações confidenciais
- Isolar os sistemas que armazenam ou processam informações confidenciais
- Monitorar e bloquear a transferência não autorizada de informações confidenciais
- Criptografar qualquer informação confidencial que esteja em trânsito
- Criptografar qualquer informação confidencial em repouso
Registos e monitorização
Também é igualmente importante entender quem está acessando seus dados, e suas considerações de segurança devem envolver as seguintes áreas.
Configurar o gerenciamento central de logs de segurança
Use o Azure Monitor para centralizar o armazenamento de logs de ingestão gerados pelo Azure Data Factory e consulte-os usando o Log Analytics. Além disso, configure uma estratégia para armazenar os logs a longo prazo nas Contas de Armazenamento do Azure para que você tenha os dados para estabelecer linhas de base para atividades de ingestão do ADF
Monitorar e registrar a configuração e o tráfego de pacotes de rede de redes virtuais, sub-redes e NICs
Habilite os logs de fluxo do NSG (grupo de segurança de rede) para o NSG protegendo sua implantação do Integration Runtime e envie logs para uma Conta de Armazenamento do Azure para auditoria de tráfego. Você também pode enviar logs de fluxo NSG para um espaço de trabalho do Log Analytics e usar o Traffic Analytics para fornecer informações sobre o fluxo de tráfego em sua nuvem do Azure.
Habilitar o log de auditoria
Você pode usar as configurações de diagnóstico do Azure Data Factory para configurar logs de diagnóstico para rastrear dados executados pelo pipeline, que são retidos por 45 dias. Você pode salvar os logs de diagnóstico nas contas de Armazenamento do Azure para análise futura.
Ativar alertas sobre atividades
A configuração de diagnóstico do Azure Data Factory que envia logs para o Log Analytics pode ter alertas configurados para um conjunto de condições predefinidas que podem alertar um administrador sobre atividades
Siga o padrão padrão de registro e monitoramento em sua organização
Verifique os padrões da sua organização para registro e monitoramento e ajuste ao padrão, incluindo:
- Registo de auditoria
- Registos de segurança
- Registo antimalware
- Políticas de retenção de logs