Защита аналитики в масштабе облака в Azure
Чтобы ограничить риски для безопасности, а также предоставить доступ к анализу данных, используйте управление данными. Управление данными обеспечивает баланс между операциями, обслуживанием и контролем. Оно соответствует базовому принципу разработки архитектуры решения «озеро данных», в котором используются подходы «инфраструктура как код» и «безопасность как код».
Принципы обеспечения безопасности
Фокус облачной аналитики основан на основных принципах управления:
| Принцип | Description |
|---|---|
| Один заслуживающий доверия источник идентификации | Используйте согласованность и единый заслуживающий доверия источник для повышения ясности и снижения риска человеческих ошибок и сложности настройки и автоматизации. |
| Автоматизированный подход к безопасности данных | Используйте автоматизацию, чтобы разрешить аудит, реализовать несколько контрольных точек и сократить количество человеческих ошибок. Автоматизация также упрощает управление данными и ограничивает дополнительные затраты. |
| Предоставление минимальных привилегий, необходимых для выполнения задачи | Предоставляйте доступ пользователям только в том объеме, который им необходим для выполнения своих заданий, и ограничьте разрешенные действия для определенной области. |
| Упрощенные, но еще не защищенные разрешения | Избегайте настройки. Настройка приводит к усложнению, что препятствует пониманию, безопасности, автоматизации и управлению человеком. Например, используйте встроенные роли для выдачи разрешений службам данных и предотвращения разрешений, которые специально ссылаются на отдельные ресурсы или пользователей. |
| Большая наглядность и возможность применения правил и определений | Четко разделяйте данные, чтобы обеспечить организацию среды, в то же время обеспечивая простоту применения правил и определений, касающихся безопасности. |
Совет
При развертывании облачной аналитики используйте принципы автоматизации, чтобы обеспечить безопасность, а не применять их вручную. В идеале вы должны взаимодействовать только вручную, чтобы утвердить или запретить запросы на доступ.