Beveiligingsoverwegingen voor gegevensopname begrijpen
Voor gegevensintegratie is een veilige verwerking van gegevens vereist die zowel at-rest als in transit zijn. Voordat u een oplossing voor gegevensintegratie gaat maken, moet de ontwerpfase rekening houden met de beveiligingsvereisten. Dit biedt in eerste instantie dekking van de bronsystemen en hoe de gegevens uit deze systemen worden opgenomen. Er is echter behoefte aan een holistische benadering, die ook de beveiliging van intermediaire gegevensarchieven op de volgende gebieden inkapselt
Netwerk
Er zijn een aantal problemen waarmee u rekening moet houden met het instellen van netwerkbeveiliging. Mogelijk moet u met de Azure-Beheer istrator in uw organisatie werken om een aantal van deze gebieden te beheren.
Virtuele netwerken gebruiken om Azure-resources te beveiligen
Virtuele netwerken maken beveiligde communicatie mogelijk tussen Azure-services of met servers die zich in een on-premises netwerk bevinden. Virtuele netwerken of VNets zijn de fundamentele bouwsteen voor het configureren van privénetwerken. Hiermee kunt u beveiligde communicatie tussen Azure-resources, services op internet en met server on-premises netwerken mogelijk maken. Azure Data Factory kan gegevens opnemen van een on-premises server of een virtuele machine die wordt gehost in Azure. Hiervoor kan een zelf-hostende Integration Runtime worden geïmplementeerd op een server in een virtueel netwerk. Als u de toegang wilt beperken, moet u een netwerkbeveiligingsgroep (NSG) configureren om alleen beheerderstoegang toe te staan. Wanneer u Azure-SSIS Integration Runtime gebruikt, krijgt u de mogelijkheid om lid te worden van een virtueel netwerk. Als u deze optie accepteert, kan Azure Data Factory netwerkbronnen maken. Een voorbeeld hiervan is dat automatisch een netwerkbeveiligingsgroep wordt gemaakt door Azure Data Factory en poort 3389 standaard is geopend voor al het verkeer. Vergrendel dit om ervoor te zorgen dat alleen uw beheerders toegang hebben.
Services gebruiken om inbraak te detecteren en te voorkomen
U kunt communicatie met bekende IP-adressen weigeren door de DDoS-beveiligingsstandaard (Distributed Denial of Service) in te schakelen op de virtuele netwerken waarop de Integration Runtime wordt gehost. Daarnaast kunt u de geïntegreerde bedreigingsinformatie van Azure Security Center gebruiken om communicatie met bekende schadelijke of ongebruikte INTERNET-IP-adressen te weigeren. Azure Firewall met Bedreigingsinformatie kan worden gebruikt om netwerktoegang te beheren. Als inbraakdetectie en/of preventie op basis van nettoladinginspectie is vereist, kunt u verkeer omleiden naar een firewallapparaat via Azure ExpressRoute geforceerde tunneling of naar een virtueel netwerkapparaat dat deze mogelijkheid ondersteunt
Het beheer van beveiligingsregels vereenvoudigen met behulp van netwerkservicetags
Virtuele netwerken kunnen worden geconfigureerd met servicetags. Met servicetags kunt u IP-adresvoorvoegsels uit een bepaalde Azure-service groeperen voor administratieve doeleinden. Met behulp van servicetags kunt u netwerkbeveiligingsregels maken in netwerkbeveiligingsgroepen op basis van servicetags om de administratieve overhead te verminderen. Door de naam van de servicetag (bijvoorbeeld DataFactoryManagement) op te geven in het juiste bron- of doelveld van een regel, kunt u binnenkomend verkeer voor de bijbehorende service toestaan of weigeren.
Identiteits- en toegangsbeheer
Het beheren van de toegang tot uw gegevens is een belangrijk gebied om rekening mee te houden. Hier volgen enkele gebieden waar u rekening mee moet houden.
Beheerdersaccounts
De beheerdersaccounts die worden gebruikt voor het werken en beheren van Azure Data Factory moeten toegewezen zijn, bekende accounts die regelmatig worden bewaakt en beheerd om ervoor te zorgen dat ze niet worden aangetast. Als u Data Factory-exemplaren wilt maken, moet het gebruikersaccount waarmee u zich bij Azure aanmeldt, lid zijn van de rol Inzender of Eigenaar, of moet dit een beheerder van het Azure-abonnement zijn. Voor omgevingen met hoge beveiliging kunt u overwegen om toegewezen machines te gebruiken voor beheerderstoegang voor ADF-beheertaken
Active Directory gebruiken om eenmalige aanmelding te gebruiken
Registreer service-principals binnen Microsoft Entra ID om te profiteren van tokenbeheer, zodat uw Azure Data Factory-service de verificatie stroomlijnt in Azure-resources. Een data factory kan worden gekoppeld aan een beheerde identiteit voor Azure-resources die de specifieke data factory vertegenwoordigt. U kunt deze beheerde identiteit gebruiken voor Azure SQL Database-verificatie. De aangewezen factory heeft toegang tot en kopieer gegevens van of naar uw database met behulp van deze identiteit.
Gegevensbescherming
Mogelijk moet u speciale overwegingen plaatsen voor specifieke typen gegevens, zoals medische gegevens of financiële gegevens op de volgende gebieden.
Op rollen gebaseerd toegangsbeheer (RBAC) gebruiken om de toegang tot de resources te beheren
Gebruik RBAC op de gegevensbronnen om de toegang tot de gegevens tot de Service-principal van Azure Data Factory te beheren.
Gevoelige gegevens
Er zijn een aantal overwegingen waar u rekening mee moet houden bij het werken met gevoelige gegevens, waaronder:
- Een lijst onderhouden met de gegevensarchieven die gevoelige informatie bevatten
- De systemen isoleren die gevoelige informatie opslaan of verwerken
- Onbevoegde overdracht van gevoelige informatie bewaken en blokkeren
- Gevoelige informatie versleutelen die onderweg is
- Gevoelige informatie in rust versleutelen
Logboekregistratie en controle
Het is ook net zo belangrijk om te begrijpen wie toegang heeft tot uw gegevens, en uw beveiligingsoverwegingen moeten betrekking hebben op de volgende gebieden.
Centraal beheer van beveiligingslogboeken configureren
Gebruik Azure Monitor om de opslag van opnamelogboeken die worden gegenereerd door Azure Data Factory te centraliseren en query's uit te voeren met behulp van Log Analytics. Stel bovendien een strategie in voor het opslaan van de logboeken op de lange termijn in Azure Storage-accounts, zodat u de gegevens hebt om basislijnen voor ADF-opnameactiviteiten vast te stellen
Het configuratie- en netwerkpakketverkeer van virtuele netwerken, subnetten en NIC's bewaken en registreren
Schakel netwerkbeveiligingsgroepstroomlogboeken (NSG) in voor de NSG die uw Integration Runtime-implementatie beveiligt en verzend logboeken naar een Azure Storage-account voor verkeerscontrole. U kunt ook NSG-stroomlogboeken verzenden naar een Log Analytics-werkruimte en Traffic Analytics gebruiken om inzicht te krijgen in de verkeersstroom in uw Azure-cloud.
Auditlogboekregistratie inschakelen
U kunt diagnostische instellingen van Azure Data Factory gebruiken om diagnostische logboeken te configureren voor het bijhouden van pijplijnuitvoeringsgegevens, die gedurende 45 dagen worden bewaard. U kunt de diagnostische logboeken opslaan in Azure Storage-accounts voor toekomstige analyse.
Waarschuwingen voor activiteiten inschakelen
Diagnostische instelling voor Azure Data Factory die logboeken naar Log Analytics verzendt, kan waarschuwingen hebben geconfigureerd voor een set vooraf gedefinieerde voorwaarden waarmee een beheerder kan worden gewaarschuwd voor activiteiten
Standaardlogboekregistratie en bewakingsstandaard binnen uw organisatie volgen
Controleer de standaarden van uw organisatie voor logboekregistratie en bewaking en uitlijnen op de standaard, waaronder:
- Controlegebeurtenissen vastleggen
- Beveiligingslogboeken
- Logboekregistratie van antimalware
- Bewaarbeleid voor logboeken