Bereitstellen von Sicherheit für Analysen auf Cloudebene in Azure

In diesem Artikel erfahren Sie, wie Ihre Organisation eine Sicherheitsbereitstellung über die Datenzugriffs- und Berechtigungsverwaltung in Azure implementieren kann.

Verwalten des Zugriffs auf Daten

Organisationen können Authentifizierung und Autorisierung verwenden, um den Zugriff auf die Dienste Ihres Szenarios zu steuern. Der Abschnitt mit den bewährten Methoden enthält einen Einrichtungsleitfaden für die Sicherheit der einzelnen Dienste. Im Abschnitt mit den bewährten Methoden für Azure Data Lake werden beispielsweise Zugriffssteuerung und Data Lake-Konfigurationen in Azure Data Lake Storage beschrieben.

In vorherigen Artikeln wurde beschrieben, wie Sie Datenanwendungen integrieren, die Ihre Datenprodukte erstellen. Der Schwerpunkt lag dabei auf einer möglichst umfassenden Automatisierung.

Im Rahmen der Azure-Plattform gibt es zwei Möglichkeiten, Zugriff auf Datenprodukte zu gewähren:

• Über Azure Purview (Datenrichtlinien)
• Verwenden eines benutzerdefinierten Datenmarktplatzes, mit den Zugriff über die Berechtigungsverwaltung von Microsoft Entra gewährt wird

Die Azure Purview-Methode wird unter Tutorial: Bereitstellen von Zugriff auf Azure Storage-Datasets durch den Datenbesitzer (Vorschau) erläutert. Beachten Sie, dass Datenbesitzer auch Richtlinien für Ressourcengruppen und Abonnements definieren können.

In diesem Artikel erfahren Sie, wie Sie die Microsoft Entra-Berechtigungsverwaltung mit einem benutzerdefinierten Daten-Marketplace verwenden können, um Zugriff auf Datenprodukte zu gewähren.

Hinweis

Jedes Unternehmen muss seinen Datengovernanceprozess im Detail für jedes Datenprodukt definieren. Beispielsweise können Daten mit der Klassifizierung Öffentlich oder Nur zur internen Verwendung durch Ressourcen geschützt werden, während Daten, die als Vertraulich oder höher eingestuft sind, mithilfe von Optionen geschützt werden, die unter Datenschutz für Analysen auf Cloudebene in Azure beschrieben sind. Weitere Informationen zu Klassifizierungstypen finden Sie unter Anforderungen für die Azure-Datengovernance in einem modernen Unternehmen.

Verwalten der Microsoft Entra-Berechtigung

Die Berechtigungsverwaltung ist ein Identity Governance-Feature, mit dem Organisationen Identitäts- und Zugriffslebenszyklen nach Bedarf verwalten können, indem sie Workflows für Zugriffsanforderungen, Zugriffszuweisungen, Überprüfungen und Ablauf automatisieren. Eine Zusammenfassung der Berechtigungsverwaltung und ihres Werts finden Sie im Video Was ist die Microsoft Entra-Berechtigungsverwaltung?.

In diesem Artikel wird davon ausgegangen, dass Sie mit der Berechtigungsverwaltung von Microsoft Entra ID vertraut sind oder sich zumindest die Microsoft-Dokumentation angesehen haben und mit der folgenden Terminologie vertraut sind.

Begriff	BESCHREIBUNG
Zugriffspaket	Ein Bündel von Ressourcen, das von einem Team oder Projekt benötigt wird und einer Richtlinie unterliegt. Zugriffspakete müssen immer in einem Katalog enthalten sein. Erstellen Sie ein neues Zugriffspaket für ein Szenario, in dem Benutzer Zugriff anfordern müssen.
Zugriffsanforderung	Die Anforderung des Zugriffs auf die Ressourcen in einem Zugriffspaket. Zugriffsanforderungen durchlaufen in der Regel einen Genehmigungsworkflow. Wird die Anforderung genehmigt, erhält der Anforderer eine Zugriffspaketzuweisung.
Zuweisung	Eine Zuweisung eines Zugriffspakets zu einem Benutzer. Dem Benutzer werden alle Ressourcenrollen eines Zugriffspakets bereitgestellt. Zugriffspaketzuweisungen laufen in der Regel nach einer bestimmten Zeit ab.
Katalog	Ein Container verwandter Ressourcen und Zugriffspakete. Kataloge werden für die Delegierung verwendet, damit Benutzer ohne Administratorberechtigungen eigene Zugriffspakete erstellen können. Katalogbesitzer können Ressourcen, deren Besitzer sie sind, zu einem Katalog hinzufügen.
Katalogersteller	Ein Benutzer, der dazu berechtigt ist, neue Kataloge zu erstellen. Wenn ein Nicht-Administratorbenutzer, der als Katalogersteller autorisiert wurde, einen neuen Katalog erstellt, wird er automatisch Besitzer des betreffenden Katalogs.
Verbundene Organisation	Ein externes Microsoft Entra-Verzeichnis bzw. eine externe Domäne, zu der eine Beziehung besteht. Sie können Benutzer einer verbundenen Organisation als Benutzer angeben, die Zugriff anfordern dürfen.
Policy	Eine Reihe von Regeln zum Definieren des Datenzugriffslebenszyklus. Durch die Regeln kann beispielsweise festgelegt werden, wie Benutzer Zugriff erhalten, wer die Genehmigung für Benutzer erteilen darf und wie lange Benutzer über eine Zuweisung Zugriff haben. Richtlinien werden mit Zugriffspaketen verknüpft. Ein Zugriffspaket kann mehrere Richtlinien umfassen. Ein Beispiel wäre ein Paket mit einer Richtlinie für Mitarbeiter, die Zugriff anfordern, und einer zweiten Richtlinie für externe Benutzer, die Zugriff anfordern.

Wichtig

Microsoft Entra-Mandanten können derzeit 500 Kataloge mit 500 Zugriffspaketen bereitstellen. Sollte Ihre Organisation höhere Kapazitäten benötigen, wenden Sie sich an den Azure-Support.

Workflows für die Datenzugriffsverwaltung

Ihre Organisation kann die Zugriffsgovernance unter Verwendung einer benutzerdefinierten Anwendung mit Microsoft Entra-Berechtigungsverwaltung an Ihre Domänen-Data Stewards und Chief Data Officers delegieren. Diese Delegierung entlastet Datenanwendungsteams und ermöglicht es ihnen, sich selbst zu helfen, ohne sich an Ihre Plattformteams wenden zu müssen. Sie können mehrere Genehmigungsebenen festlegen und Ihr End-to-End-Onboarding sowie die Datenzugriffsverwaltung über die Microsoft Graph-REST-API und über REST-APIs für die Berechtigungsverwaltung automatisieren.

Mithilfe von Berechtigungsverwaltungspaketen von Microsoft Entra können Sie Zugriff an Benutzer*innen ohne Administratorberechtigungen delegieren, beispielsweise an Ihre Datenanwendungsteams, damit sie Zugriffspakete erstellen können. Zugriffspakete enthalten Ressourcen, die Benutzer anfordern können – etwa Zugriff auf Datenprodukte. Ihre Data Stewards und andere delegierte Zugriffspaket-Manager können Richtlinien mit Regeln definieren, die steuern, welche Benutzer Zugriff anfordern können, wer ihren Zugriff genehmigen kann und wann der genehmigte Zugriff abläuft.

Erstellen von Katalogen

Wenn Sie ein Data Lakehouse implementieren, erstellen Sie in der Berechtigungsverwaltung einen Katalog für jede Datenzielzone. Je nach Automatisierung und Implementierungsgröße können Sie eine der folgenden Vorgehensweisen verwenden:

• Aufrufen der REST-APIs für die Berechtigungsverwaltung, um einen Katalog für die Domäne zu erstellen
• Erstellen eines weiteren Katalogs für jede Datenzielzone über das Berechtigungsverwaltungsportal

Wenn Sie ein Datengitter implementieren, erstellen Sie in der Berechtigungsverwaltung einen Katalog für jede Domäne. Je nach Automatisierung und Implementierungsgröße können Sie eine der folgenden Vorgehensweisen verwenden:

• Aufrufen der REST-APIs für die Berechtigungsverwaltung, um einen Katalog für die Domäne zu erstellen
• Erstellen eines weiteren Katalogs für jede Domäne über das Berechtigungsverwaltungsportal

Tipp

Jeder Katalog kann über eigene Gruppenberechtigungen für die Paketerstellung und die Berechtigungsverwaltung verfügen.

Datenprodukterstellung

Datenprodukte werden unter Datenprodukte für Analysen auf Cloudebene in Azure erläutert. Bei benutzerdefinierten Anwendungen wird beim Onboarding von Daten erwartet, dass End-to-End-Sicherheit bereitgestellt wird.

Beim Onboardingprozess für Daten werden wichtige Metadaten benötigt. Hierzu zählen unter anderem:

• Mehrsprachige Speicherorte (Compute oder Data Lake)
• Genehmigende Personen (z. B. Data Stewards oder der Chief Data Officer einer Domäne)
• Lebenszyklusanforderungen
• Überprüfen der Anforderungen
• Domänen
• Datenproduktnamen
• Klassifizierungen

Abbildung 1: Datenprodukterstellung für die Datenzugriffsverwaltung

Abbildung 1 zeigt, wie Ihr Datenanwendungsteam die Sicherheitsbereitstellung für ein Datenprodukt automatisieren kann, das sich in einem Data Lake befindet. Eine Anforderung wird nach dem Onboarding des Datenprodukts an die Microsoft Graph-REST-APIs gesendet, um Folgendes auszuführen:

1. Erstellen von zwei Sicherheitsgruppen über die Azure Active Directory Graph-API: eine zum Zulassen von Lese- und Schreibzugriff und eine, die nur Lesezugriff ermöglicht

   • Die folgenden Benennungskonventionen für Microsoft Entra-Gruppen werden für die Passthrough-Authentifizierung von Microsoft Entra in Data Lakes vorgeschlagen:
     • Domänenname oder Name der Datenzielzone
     • Datenproduktname
     • Data Lake-Ebene:
       • RAW für Rohdaten
       • ENR für angereicherte Daten
       • CUR für kuratierte Daten
     • Datenproduktname
       • RW für Lese-/Schreibvorgänge
       • R für schreibgeschützte Vorgänge
   • Die folgenden Benennungskonventionen für Microsoft Entra-Gruppen werden für die Zugriffssteuerung für Tabellen empfohlen:
     • Domänenname oder Name der Datenzielzone
     • Datenproduktname
     • Schema- oder Tabellenname
       • RW für Lese-/Schreibvorgänge
       • R für schreibgeschützte Vorgänge

2. Zuweisen Ihrer Sicherheitsgruppen zum Datenprodukt. Bei Data Lakes müssen hierzu Ihre beiden Sicherheitsgruppen auf der Ebene des Datenproduktordners und auf der richtigen Lake-Ebene (Rohdaten, angereicherte Daten oder kuratierte Daten) angewendet werden.

3. Erstellen eines Zugriffspakets, das Ihre Sicherheitsgruppen mit den erforderlichen genehmigenden Personen und dem Lebenszyklus (Zugriffsüberprüfungen und Ablauf) bündelt

Tipp

In komplexen Szenarien können Sie eine Sicherheitsgruppe für Berechtigungssammlungen erstellen, um mehrere Sicherheitsgruppen zu erfassen. Dies ist jedoch eine manuelle Aufgabe, die NACH der Erstellung Ihrer Sicherheitsgruppen für Datenprodukte ausgeführt wird.

Anfordern von Datenproduktzugriff

Sie können die Gewährung von Datenproduktzugriff mithilfe einer benutzerdefinierten Anwendung und der REST-APIs für die Berechtigungsverwaltung automatisieren.

Abbildung 2: Anfordern von Zugriff auf ein Datenprodukt

Abbildung 2 enthält eine Übersicht über einen Workflow zum Anfordern von Zugriff auf ein Datenprodukt.

Benutzerzugriffsanforderung

1. Ein Datenbenutzer sucht im Data Marketplace nach den Produkten, auf die er zugreifen möchte.
2. Der Data Marketplace kommuniziert mit den REST-APIs für die Berechtigungsverwaltung und fordert für den Benutzer Zugriff auf das Datenprodukt an.
3. Je nach Richtlinie und Konto werden genehmigende Personen benachrichtigt und überprüfen die Zugriffsanforderung im Zugriffsverwaltungsportal. Wenn die Anforderung genehmigt wird, wird der Benutzer benachrichtigt und erhält Zugriff auf das Dataset.
4. Wenn Ihre Organisation Benutzerberechtigungen basierend auf Metadaten wie Abteilung, Titel oder Standort erteilen möchte, können Sie dynamische Gruppen in Microsoft Entra ID als genehmigte Gruppen hinzufügen.

Status der Benutzeranforderung

Der aktuelle Status von Datenproduktzugriffsanforderungen kann von anderen Diensten aus dem Data Marketplace überprüft werden. Diese Dienste können mit den REST-APIs für die Berechtigungsverwaltung kommunizieren, um alle ausstehenden Anforderungen für einen Benutzer- oder Dienstprinzipalnamen aufzuführen.

Zusammenfassung der Datenzugriffsverwaltung

Die Datenzugriffsverwaltung in Azure ist in folgende Ebenen unterteilt:

• Die physische Ebene (beispielsweise der Polyglott, in dem das Dataset gespeichert wird)
• Microsoft Entra-Sicherheitsgruppen
• Zugriffspakete
• Benutzer und Teams, die auf Datasets zugreifen

Das obige Diagramm enthält eine Beispielimplementierung für das Datengitter, bei der für jede Domäne ein Katalog erstellt wurde. Datenproduktteams führen das Onboarding des neuen Datasets oder Produkts für eine Datendomäne durch. Eine Microsoft Entra-Gruppe wird erstellt und dem Dataset zugewiesen. Sie können Zugriff per Microsoft Entra-Passthrough-Authentifizierung oder per Tabellenzugriffssteuerung unter Verwendung von Azure Databricks, Azure Synapse Analytics oder anderen mehrsprachigen Analysespeichern gewähren.

Die Microsoft Entra-Berechtigungsverwaltung erstellt Zugriffspakete im Katalog für Domänenzugriffspakete. Zugriffspakete können mehrere Microsoft Entra-Gruppen enthalten. Das Paket Finance Analysis gewährt Zugriff auf „Finance“ und „LOB A“, während das Paket Finance Writers Zugriff auf „Schema F“ und „LOB A“ gewährt. Gewähren Sie Schreibzugriff nur Dataseterstellern. Ansonsten sollte standardmäßig schreibgeschützter Zugriff verwendet werden.

Wichtig

Die vorherige Abbildung veranschaulicht, wie Sie Microsoft Entra-Benutzergruppen hinzufügen. Der gleiche Prozess kann zum Hinzufügen von Azure-Dienstprinzipalen verwendet werden, die von Integrations- oder Datenproduktteams für Erfassungspipelines und Ähnliches verwendet werden. Es empfiehlt sich, zwei Lebenszykluseinstellungen einzurichten: eine für Benutzer, die kurzfristigen Zugriff (30 Tage) anfordern, und eine weitere für längeren Zugriff (90 Tage).

Nächste Schritte

• Strukturieren der Mitglieder des Datenteams für Analysen auf Cloudebene in Azure
• Video: Bereitstellen der Microsoft Entra-Berechtigungsverwaltung
• Weitere Informationen zur Berechtigungsverwaltung finden Sie unter Gängige Szenarios in der Microsoft Entra-Berechtigungsverwaltung.