Protezione dei dati in Analisi di flusso di Azure
Analisi di flusso di Azure è una piattaforma distribuita come servizio completamente gestita che consente di creare pipeline di analisi in tempo reale. Tutti i carichi di lavoro pesanti, ad esempio il provisioning del cluster, il ridimensionamento dei nodi per supportare l'utilizzo e la gestione dei checkpoint interni, vengono gestiti in background.
Asset di dati privati archiviati
Analisi di flusso di Azure mantiene i metadati e i dati seguenti per l'esecuzione:
Definizione di query e configurazione correlata
Funzioni o aggregazioni definite dall'utente
Checkpoint necessari per il runtime di Analisi di flusso
Snapshot dei dati di riferimento
Dettagli della connessione delle risorse usate dal processo di Analisi di flusso
In-Region Data Residency
Analisi di flusso di Azure archivia i dati dei clienti e altri metadati descritti in precedenza. I dati dei clienti vengono archiviati da Analisi di flusso di Azure in una singola area per impostazione predefinita, quindi questo servizio soddisfa automaticamente i requisiti di residenza dei dati dell'area, inclusi quelli specificati nel Centro protezione. È anche possibile scegliere di archiviare tutti gli asset di dati (dati dei clienti e altri metadati) correlati al processo di analisi di flusso in un'unica area crittografandoli in un account di archiviazione di propria scelta.
Crittografare i dati
Analisi di flusso usa automaticamente standard di crittografia di classe migliori nell'infrastruttura per crittografare e proteggere i dati. È sufficiente considerare attendibile Analisi di flusso per archiviare in modo sicuro tutti i dati in modo che non sia necessario preoccuparsi della gestione dell'infrastruttura.
Se si vogliono usare chiavi gestite dal cliente per crittografare i dati, è possibile usare il proprio account di archiviazione (utilizzo generico V1 o V2) per archiviare tutti gli asset di dati privati richiesti dal runtime di Analisi di flusso. L'account di archiviazione può essere crittografato in base alle esigenze. Nessuno degli asset di dati privati viene archiviato in modo permanente dall'infrastruttura di Analisi di flusso.
Questa impostazione deve essere configurata al momento della creazione del processo di Analisi di flusso e non può essere modificata durante tutto il ciclo di vita del processo. Non è consigliabile modificare o eliminare l'archiviazione usata da Analisi di flusso. Se si elimina l'account di archiviazione, si elimineranno definitivamente tutti gli asset di dati privati, causando l'esito negativo del processo.
L'aggiornamento o la rotazione delle chiavi nell'account di archiviazione non è possibile tramite il portale di Analisi di flusso. È possibile aggiornare le chiavi usando le API REST. È anche possibile connettersi all'account di archiviazione dei processi usando l'autenticazione dell'identità gestita con consenti servizi attendibili.
Se l'account di archiviazione da usare si trova in un Rete virtuale di Azure, è necessario usare la modalità di autenticazione dell'identità gestita con Consenti servizi attendibili. Per altre informazioni, vedere Connettere i processi di Analisi di flusso alle risorse in una rete virtuale di Azure Rete virtuale.
Configurare l'account di archiviazione per i dati privati
Crittografare l'account di archiviazione per proteggere tutti i dati e scegliere in modo esplicito la posizione dei dati privati.
Usare la procedura seguente per configurare l'account di archiviazione per gli asset di dati privati. Questa configurazione viene eseguita dal processo di Analisi di flusso, non dall'account di archiviazione.
Accedere al portale di Azure.
Selezionare Crea risorsa nell'angolo superiore sinistro del portale di Azure.
Selezionare Analisi>Processo di Analisi di flusso nell'elenco risultati.
Compilare la pagina del processo di Analisi di flusso con i dettagli necessari, ad esempio nome, area e scalabilità.
Selezionare la casella di controllo Secure all private data assets needed by this job in my Storage account (Proteggere tutti gli asset di dati privati necessari per questo processo nell'account di archiviazione).
Selezionare un account di archiviazione dalla sottoscrizione. Si noti che questa impostazione non può essere modificata per tutto il ciclo di vita del processo. Non è inoltre possibile aggiungere questa opzione dopo la creazione del processo.
Per eseguire l'autenticazione con una stringa di connessione, selezionare Stringa di connessione nell'elenco a discesa Modalità di autenticazione. La chiave dell'account di archiviazione viene popolata automaticamente dalla sottoscrizione.
Per eseguire l'autenticazione con l'identità gestita, selezionare Identità gestita dall'elenco a discesa Modalità di autenticazione. Se si sceglie Identità gestita, è necessario aggiungere il processo di Analisi di flusso all'elenco di controllo di accesso dell'account di archiviazione con il ruolo Collaboratore dati BLOB di archiviazione . Se non si concede l'accesso al processo, il processo non sarà in grado di eseguire alcuna operazione. Per altre informazioni su come concedere l'accesso, vedere Usare il controllo degli accessi in base al ruolo di Azure per assegnare un accesso all'identità gestita a un'altra risorsa.
Asset di dati privati archiviati da Analisi di flusso
Tutti i dati privati necessari per essere salvati in modo permanente da Analisi di flusso vengono archiviati nell'account di archiviazione. Esempi di asset di dati privati includono:
Query create e relative configurazioni
Funzioni definite dall'utente
Checkpoint necessari per il runtime di Analisi di flusso
Snapshot dei dati di riferimento
Vengono archiviati anche i dettagli di connessione delle risorse, usati dal processo di Analisi di flusso. Crittografare l'account di archiviazione per proteggere tutti i dati.
Abilita Data Residency
È possibile usare questa funzionalità per applicare i requisiti di residenza dei dati che potrebbero essere necessari fornendo un account di archiviazione di conseguenza.