你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 中云规模分析的数据隐私
云规模分析可帮助你确定符合要求的最佳数据访问模式,同时在多个级别保护个人数据。 个人数据包括任何可以唯一标识个人的信息,例如驾照号码、社会安全号码、银行帐户详细信息、护照号码和电子邮件地址。 存在许多法规来保护用户隐私。
若要保护云环境中(如 Azure)中的数据隐私,可以创建指定数据访问策略的数据机密性方案。 这些策略可以定义数据应用程序驻留的基础体系结构,定义如何授权数据访问,并指定用户可以访问的行或列。
创建数据保密分类方案
| 分类 | 说明 |
|---|---|
| 公用 | 任何人都可以访问数据,并且数据可以发送给任何人。 例如,政府公开数据。 |
| 仅限内部使用 | 只有员工可以访问数据,并且无法将其发送到公司外部。 |
| 机密 | 仅当特定任务需要时,才能共享数据。 在没有保密协议的情况下,无法将数据发送到公司外部。 |
| 敏感数据(个人数据) | 数据包含隐私信息,必须在有限的时间内在需要知道的基础上屏蔽和共享。 此类数据不得发送到未经授权的人员或公司外部。 |
| 受限 | 数据只能与负责保护该数据的指定人员共享。 例如,法律文档或商业机密。 |
在引入数据之前,必须将数据分为“机密或以下级别”或“敏感个人数据”:
- 如果不需要限制哪些列和行用户可以查看,请将数据排序到机密或下方。
- 如果需要限制用户查看某些列和行,可以将数据分类为敏感个人数据。
重要
当您将数据与之前分类较低的其他数据产品结合使用时,数据集的分类可以从机密或更低变更为敏感个人数据。 如果需要持久性数据,请将其移动到与机密级别和载入过程一致的指定文件夹。
创建 Azure 策略集
对数据进行分类后,应将分类与行业策略要求和内部公司策略保持一致。 想要创建一个 Azure 策略集,用于控制可部署的基础结构、部署基础结构的位置以及网络和加密标准。
对于受监管行业,可以使用 Microsoft 法规合规性策略计划,作为合规性框架的基线。
数据分类遵循与加密、允许的基础设施 SKU 和策略措施相同的规则。 因此,可以将所有数据存储在同一登陆区域中。
对于受限数据,应在管理组下的专用数据登陆区域中托管数据,可在其中定义更高的基础结构要求集。 例如,你可以为登陆区域定义客户管理的用于加密的密钥,或入站和出站限制。
注意
可以将敏感的个人数据和机密及以下的数据放入同一数据落地区域,但分别保存在不同的存储帐户中。 但这种做法可能会使网络层上的解决方案(例如网络安全组等)变得复杂。
部署的数据治理解决方案应限制谁可以搜索目录中的受限数据。 请考虑为所有数据资产和服务实现Microsoft Entra ID 条件访问。 若要增强安全性,请对受限数据应用实时访问。
考虑加密要求
除了为位置和允许的 Azure 服务定义策略外,还考虑每个数据分类的加密要求。 请考虑以下方面的要求:
- 密钥管理
- 密钥存储
- 静态数据加密
- 传输中的数据加密
- 使用中的数据加密
对于密钥管理,可以使用平台管理的或客户管理的加密密钥。 有关详细信息,请参阅 Azure 中的密钥管理概述和 如何选择正确的密钥管理解决方案。
有关加密选项的详细信息,请参阅 azure 静态数据加密 和 数据加密模型。
可以使用 传输层安全性(TLS) 协议来保护在云服务和客户之间传输的数据。 有关详细信息,请参阅加密传输中的数据。
如果你的方案要求数据在使用过程中保持加密,Azure 机密计算威胁模型有助于最大程度地减少信任。 它可以最大程度地减少云提供商操作员或租户域中的其他执行组件在实现过程中可以访问代码和数据的可能性。
有关详细信息,请参阅 Azure 机密计算产品。
实现数据管理
定义允许的 Azure 服务的部署策略后,确定如何授予对数据产品的访问权限。
如果你有一个数据治理解决方案(例如 Microsoft Purview 或 Azure Databricks Unity Catalog),则可为扩充和精选数据湖层创建数据资产或产品。 确保设置数据目录中的权限,以帮助保护这些数据对象。
使用 Microsoft Purview 集中管理、保护和控制以下区域:
- 对数据的访问
- 数据生命周期
- 内部和外部策略及法规
- 数据共享策略
- 标识敏感数据
- 关于保护和合规性的见解
- 数据保护报告策略
有关如何使用 Microsoft Purview 管理读取或修改访问权限的详细信息,请参阅 Microsoft Purview 数据所有者策略的概念。
无论是决定实施 Microsoft Purview 还是其他数据治理解决方案,请使用 Microsoft Entra ID 组来应用策略到数据产品上。
使用数据管理解决方案的 REST API 载入新数据集。 数据应用程序团队创建数据产品,并在数据治理解决方案中注册它们,以帮助识别敏感数据。 数据治理解决方案导入定义并拒绝对数据的所有访问,直到团队设置其访问策略。
使用数据保护模式
若要保护敏感数据,请根据所实现的数据、服务和策略选择数据保护模式。
多个副本
每个被分类为敏感个人数据的数据产品的管道都会创建两个副本。 管道将第一项列为机密或以下级别。 此副本不包括敏感的个人数据列。 它创建于数据产品的“机密或以下级别”文件夹下。 另一个副本是在敏感个人数据文件夹中创建的。 此副本包括敏感数据。 每个文件夹都分配了一个 Microsoft Entra ID 读取器和一个 Microsoft Entra ID 编写器安全组。
如果使用 Microsoft Purview,可以注册数据产品的这两个版本,并使用策略来帮助保护数据。
多个副本模式将敏感个人数据和保密及以下等级的数据分开。 但是,如果你授予用户对敏感数据的访问权限,他们可以查询所有行。 组织可能需要考虑提供行级安全性的其他解决方案来筛选行。
行级别和列级别安全性
如果需要筛选用户可以查看的行,可以将数据移动到使用行级安全性的计算解决方案中。
若要防止重新设计,请选择适当的 Azure 服务或Microsoft Fabric 解决方案,以便用于特定用例。 不同类型的数据库设计用于不同的目的。 例如,不应使用联机事务处理(OLTP)数据库进行广泛的分析。 如果使用电子商务应用程序,则不应使用专为大数据分析定制的解决方案,因为它无法达到所需的毫秒响应时间。
如果实现支持行级别安全性的解决方案,数据应用程序团队必须创建不同的Microsoft Entra ID 组,并根据数据的敏感度分配权限。
除了行级别安全性之外,还可以限制对某些列的访问。 下表显示了具有只读访问权限的四个Microsoft Entra ID 组的示例:
| 组 | 许可 |
|---|---|
DA-AMERICA-HRMANAGER-R |
查看包含薪水信息的北美 HR 人事数据资产。 |
DA-AMERICA-HRGENERAL-R |
查看不包含薪水信息的北美 HR 人事数据资产。 |
DA-EUROPE-HRMANAGER-R |
查看包含薪水信息的欧洲 HR 人事数据资产。 |
DA-EUROPE-HRGENERAL-R |
查看不包含薪水信息的欧洲 HR 人事数据资产。 |
第一级限制支持动态数据掩码,该掩码可隐藏不具有特权的用户的敏感数据。 可以使用 REST API 将此方法集成到数据集的载入中。
第二级限制增加了列级安全性,以限制非人力资源经理查看工资。 它还增加了行级安全性,以限制欧洲和北美团队成员可以查看的行。
列加密
动态数据掩码在呈现点屏蔽数据,但某些用例要求解决方案永远无法访问纯文本数据。
SQL Always Encrypted 功能增强了 SQL Server 数据库中敏感数据的安全性。 SQL Always Encrypted 有助于确保 SQL Server 数据库中的敏感数据保持安全且不受未经授权的访问保护。 此功能对静态数据和传输中的数据进行加密,这有助于保持数据保密性和法规遵从性。 SQL Always Encrypted 在客户端执行加密和解密操作。 集成此功能有助于保护最有价值的数据资产。