Защита данных в Azure Stream Analytics

Azure Stream Analytics — это полностью управляемая платформа как услуга, которая позволяет создавать конвейеры аналитики в режиме реального времени. Все сложные процессы, в том числе подготовка кластера, масштабирование узлов в соответствии с использованием и управление внутренними контрольными точками, осуществляется за кулисами.

Сохраняемые частные ресурсы данных

Чтобы обеспечить свою работу, Azure Stream Analytics сохраняет следующие метаданные и данные:

• определение запроса и связанную с ним конфигурацию;

• определяемые пользователем функции или агрегаты;

• контрольные точки, необходимые для среды выполнения Stream Analytics;

• моментальные снимки эталонных данных;

• сведения о подключении ресурсов, используемые заданием Stream Analytics.

Место расположения данных в регионе

Azure Stream Analytics хранит данные клиента и другие метаданные, описанные выше. Данные клиента по умолчанию сохраняются Azure Stream Analytics в одном регионе. Поэтому эти службы автоматически обеспечивают соответствие требованиям к месту расположения данных в регионе, включая требования, указанные в центре управления безопасностью. Кроме того, вы можете хранить все ресурсы данных (данные клиента и другие метаданные), связанные с заданием Stream Analytics, в одном регионе, шифруя их в учетной записи хранения по своему усмотрению.

Шифрование данных

Для шифрования и защиты данных Stream Analytics автоматически применяет лучшие в своем классе стандарты шифрования в масштабах все инфраструктуры. Вы можете просто доверить Stream Analytics безопасное хранение всех данных и не беспокоиться об управлении инфраструктурой.

Если вы хотите использовать для шифрования данных ключи, управляемые клиентом, для хранения частных ресурсов данных, необходимых для среды выполнения Stream Analytics, можно использовать собственную учетную запись хранения (общего назначения версии 1 или 2). Учетную запись хранения можно шифровать по мере необходимости. Ни один из частных ресурсов данных не хранится постоянно в инфраструктуре Stream Analytics.

Этот параметр должен быть настроен во время создания задания Stream Analytics и не может быть изменен в течение жизненного цикла задания. Не рекомендуется изменять или удалять хранилище, используемое Stream Analytics. При удалении учетной записи хранения все частные ресурсы данных будут безвозвратно удалены, что приведет к сбою задания.

С помощью портала Stream Analytics невозможно выполнить обновление или смену ключей в учетной записи хранения. Ключи можно обновить с помощью интерфейсов REST API. Вы также можете подключиться к учетной записи хранения заданий, используя проверку подлинности на основе управляемого удостоверения с параметром "Разрешение доверенных служб".

Если учетная запись хранения, которую вы хотите использовать, находится в виртуальной сети Azure, необходимо использовать режим проверки подлинности c управляемым удостоверением с параметром Разрешение доверенных служб. Подробнее см. статью Подключение заданий Stream Analytics к ресурсам в виртуальной сети Azure.

Настройка учетной записи хранения для частных данных

Зашифруйте учетную запись хранения, чтобы защитить все данные и явно выбрать расположение частных данных.

Выполните следующие действия, чтобы настроить учетную запись хранения для частных ресурсов данных. Эта настройка выполняется из задания Stream Analytics, а не из учетной записи хранения.

1. Войдите на портал Azure.

2. Щелкните Создать ресурс в верхнем левом углу окна портала Azure.

3. В списке результатов выберите Аналитика>Задание Stream Analytics.

4. Заполните страницу задания Stream Analytics, указав необходимые сведения, например имя, регион и масштаб.

5. Установите флажок Secure all private data assets needed by this job in my Storage account (Защитить все ресурсы конфиденциальных данных, необходимые этому заданию, в учетной записи хранения).

6. Выберите учетную запись хранения в вашей подписке. Обратите внимание, что этот параметр нельзя изменить в течение жизненного цикла задания. Этот параметр также нельзя добавить после создания задания.

7. Для проверки подлинности с помощью строки подключения в раскрывающемся списке "Режим проверки подлинности" выберите Строка подключения. Ключ учетной записи хранения автоматически подставится из вашей подписки.

   

8. Для проверки подлинности с помощью управляемого удостоверения выберите Управляемое удостоверение в раскрывающемся списке Режим проверки подлинности. Если выбрано управляемое удостоверение, задание Stream Analytics необходимо добавить в список управления доступом учетной записи хранения с ролью Участник для данных BLOB-объектов хранилища. Если вы не предоставите заданию доступ, задание не сможет выполнять никаких операций. Дополнительные сведения о том, как предоставить доступ, см. в разделе Назначение управляемому удостоверению доступа к другому ресурсу с помощью Azure RBAC.

   

Частные ресурсы данных, хранимые Stream Analytics

Все частные данные, которые должны храниться Stream Analytics, сохраняются в учетной записи хранения. Ниже приведены примеры частных ресурсов данных.

• Созданные запросы и связанные с ними конфигурации

• Определяемые пользователем функции

• Контрольные точки, необходимые для среды выполнения Stream Analytics

• Моментальные снимки эталонных данных

Также сохраняются сведения о подключении для ресурсов, которые используются в задании Stream Analytics. Зашифруйте учетную запись хранения, чтобы защитить все свои данные.

Включении функции "Место расположения данных"

Вы можете использовать эту функцию, чтобы принудительно применить любые требования к месту расположения данных, предоставив соответствующую учетную запись хранения.

Дальнейшие действия

• Создайте учетную запись хранения Azure
• Общие сведения о входных данных Azure Stream Analytics
• Концепции контрольных точек и воспроизведения в Azure Stream Analytics
• Использование эталонных данных для уточняющих запросов в Stream Analytics