Azure 中雲端規模分析的數據隱私權
雲端規模分析可讓組織判斷最佳的數據存取模式,以符合其需求,同時保護多個層級的個人資料。 個人資料包含任何可唯一識別個人的資訊,例如駕駛執照號碼、社會安全號碼、銀行帳戶詳細數據、護照號碼、電子郵件位址等等。 現今有許多法規可用來保護用戶隱私權。
若要使用 Azure 之類的雲端環境來保護數據隱私權,您可以從建立數據機密性配置來指定數據存取原則開始。 這些原則可以定義數據應用程式所在的基礎架構、定義數據存取權的授權方式,以及指定授與之後可以存取哪些數據列或數據行。
建立數據機密性分類配置
| 分類 | 描述 |
|---|---|
| 公開 | 任何人都可以存取數據,也可以傳送給任何人。 例如,開啟政府數據。 |
| 僅供內部使用。 | 只有員工可以存取數據,且無法在公司外部傳送。 |
| 機密 | 只有在特定工作需要數據時,才能共享數據。 若沒有保密協議,數據就無法在公司外部傳送。 |
| 敏感性 (個人資料) | 數據包含私用資訊,此資訊必須遮罩並共用,只有需要知道的時間有限。 數據無法傳送給未經授權的人員或公司外部。 |
| 受限制 | 數據只能與負責保護的具名個人共用。 例如,法律檔或商業秘密。 |
擷取數據之前,您必須將數據分類為 機密或低於 或 機密(個人資料):
- 如果不同使用者看不到哪些數據行和數據列的限制,則可以將數據排序為 機密或下方 。
- 如果不同使用者可以看到哪些數據行和數據列的限制,則可以將數據排序為機密(個人資料)。
重要
當數據與先前具有較低分類的其他數據產品結合時,數據集可能會從機密或以下變更為敏感性(個人資料)。 當數據需要持續時,應該移至符合其機密層級和上線程式的指定資料夾。
建立 Azure 原則集
對應數據分類之後,您應該將分類與本機受管制的產業原則需求和內部公司原則保持一致。 此步驟可協助您建立 Azure 原則集,以控管可部署的基礎結構、可部署的位置,以及指定網路和加密標準。
對於受管制產業,Microsoft開發了許多 法規合規性政策計劃 ,作為合規性架構的基準。
針對數據分類,其遵循加密和允許基礎結構 SKU 的相同規則,以及數據可位於相同登陸區域的原則計劃。
針對受限制的數據,建議您在 管理群組下的專用 數據登陸區域中裝載數據,您可以在其中定義一組較高的基礎結構需求,例如客戶管理的密鑰進行加密,以及套用至登陸區域的輸入和輸出限制。
注意
本指南已評估將機密(個人資料)和機密或低於數據放入相同的數據登陸區域,但不同的記憶體帳戶。 不過,這可能會讓網路層的解決方案變得複雜,例如網路安全組。
任何已部署的數據控管解決方案都應該限制誰可以在目錄中搜尋受限制的數據。
您也應該考慮針對所有數據資產和服務實作Microsoft Entra ID 條件式存取,以及限制數據的 Just-In-Time 存取,以增強安全性。
加密
除了定義位置和允許的 Azure 服務的原則之外,您也應該考慮每個數據分類的加密需求。
- 金鑰管理的需求為何?
- 儲存這些金鑰的需求為何?
- 您對於待用數據加密的需求為何?
- 針對傳輸加密中的數據,您的每個分類需求為何?
- 針對使用加密中的數據,您的每個分類需求為何?
針對金鑰管理,加密金鑰可以是平臺管理或客戶管理。 Microsoft Azure 中記載的金鑰管理,以協助您選擇密鑰管理解決方案。 如需詳細資訊,請參閱 Azure 中的金鑰管理概觀和 如何選擇正確的金鑰管理解決方案。
Microsoft已發佈的文件說明 Azure 待用數據加密 和數據 加密模型 ,可協助您瞭解可用的加密選項。
Microsoft讓客戶能夠在雲端服務和客戶之間移動時,使用 傳輸層安全性 (TLS) 通訊協定來保護數據。 如需詳細資訊,請參閱 傳輸中的數據加密。
如果您的案例需要數據保持加密使用中,Azure 機密運算威脅模型的目標是將信任降到最低,或移除租使用者網域中存取程式代碼和數據的可能性。
如需最新的 Azure 機密運算供應專案,請參閱 Azure 機密運算產品。
資料控管
定義部署允許 Azure 服務的原則之後,您必須決定如何授與數據產品的存取權。
如果您有數據控管解決方案,例如 Microsoft Purview 或 Azure Databricks Unity 目錄,您可以建立數據資產/產品,以擴充和策劃的數據湖層。 請確定您已設定資料目錄內的許可權,以保護這些資料物件。
Microsoft Purview 提供管理、保護及控制的核心方式:
- 存取資料
- 資料生命週期
- 內部和外部原則和法規
- 數據共享原則
- 識別 敏感性 (個人資料)
- 關於保護與合規性的深入解析
- 數據保護報告的原則
如需使用 Microsoft Purview 管理讀取或修改存取的詳細資訊,請參閱 Microsoft Purview 數據擁有者原則概念。
無論您決定實作 Microsoft Purview 或任何其他數據控管解決方案,請務必使用 Microsoft Entra ID 群組將原則套用至數據產品。
請務必使用數據控管解決方案的 REST API 將新數據集上線。 數據應用程式小組會建立數據產品,並在數據控管解決方案中註冊它們,以協助識別敏感性(個人資料)。 數據控管解決方案會匯入定義,並拒絕對數據的所有存取,直到小組設定其存取原則為止。
使用模式來保護敏感數據
根據您需要實作以保護敏感數據的數據、服務和原則而定,可以採用數種模式。
多個複本
針對分類為 機密(個人資料)的每個數據產品, 都會由其管線建立兩個複本。 第一個複本分類為 機密或以下。 此複本已移除所有機密(個人資料)數據行,並建立於數據產品的機密或下方資料夾下。 另一個複本會建立在 敏感性 (個人資料) 資料夾中, 並包含所有敏感數據。 每個資料夾都會指派一個Microsoft Entra ID 讀取器和一個Microsoft Entra ID 寫入器安全組。
如果Microsoft Purview 正在使用中,您可以註冊這兩個版本的數據產品,並使用原則來保護數據。
此程式會將機密(個人資料)和機密或低於數據區隔開,但授與機密(個人資料)存取權的使用者將能夠查詢所有數據列。 您的組織可能需要查看提供數據列層級安全性以篩選數據列的其他解決方案。
數據列層級和數據行層級安全性
如果您需要篩選使用者看到的數據列,您可以將資料移至使用數據列層級安全性的計算解決方案。
為您的特定使用案例選取適當的 Azure 服務或Microsoft Fabric 解決方案,對於防止重新工程至關重要。 OLTP 資料庫不適合廣泛的分析,就像針對巨量數據分析量身打造的解決方案無法達到電子商務應用程式所需的毫秒回應時間一樣。
若要使用支援數據列層級安全性的解決方案,數據應用程式小組會建立不同的Microsoft Entra標識符群組,並根據數據的敏感度指派許可權。
讓我們藉由指定數據列層級安全性來詳細說明案例,因此需要限制特定數據行的存取權。 數據應用程式小組會建立具有唯讀存取權的四個Microsoft Entra ID 群組,如下表所示:
| 群組 | 權限 |
|---|---|
DA-AMERICA-HRMANAGER-R |
使用薪資資訊檢視 北美洲 人力資源人員數據資產。 |
DA-AMERICA-HRGENERAL-R |
檢視 北美洲 沒有薪資資訊的人力資源人員數據資產。 |
DA-EUROPE-HRMANAGER-R |
檢視具有薪資信息的歐洲人力資源人員數據資產。 |
DA-EUROPE-HRGENERAL-R |
檢視不含薪資信息的歐洲人力資源人員數據資產。 |
第一層限制將支援動態數據遮罩,以隱藏不具許可權的使用者敏感數據。 這種方法的其中一個優點是,它可以整合到數據集的上線與 REST API。
第二層限制是新增數據行層級安全性,以限制非人力資源經理查看薪資和數據列層級安全性,以限制歐洲和 北美洲 小組成員可以看到哪些數據列。
資料行加密
雖然動態數據遮罩會在簡報時遮罩數據,但某些使用案例會要求解決方案永遠無法存取純文本數據。
SQL Always Encrypted 是Microsoft引進的強大功能,可增強 SQL Server 資料庫中所儲存敏感數據的安全性。 SQL Always Encrypted 可確保儲存在 SQL Server 資料庫中的敏感數據保持安全且不受未經授權的存取保護。 這項功能可藉由加密待用和傳輸中的數據,協助維護最大數據機密性和法規合規性。
透過在用戶端執行加密和解密作業,Always Encrypted 可確保敏感數據仍會受到保護,免於未經授權的存取。 其輕鬆整合和合規性優點,是想要保護其最有價值數據資產的組織不可或缺的工具。