Data Platform: turvaa salaisuutesi

Data Platform eli data-alusta

Data-alusta pystyy käsittelemään monenlaista dataa ja on yrityksen digitalisaatio - sekä analytiikkahankkeiden keskiössä.

Tässä kirjoituksessa käydään läpi muutamia tapoja millä data-alustan kehityksessä voidaan huomioida tietoturvaan ja tietosuojaan liittyviä ei-toiminnallisia vaatimuksia.

Hyödynnä Azure Active Directory (AAD) ja RBAC täysimääräisesti

AAD ja Azure yhdessä mahdollistavat roolipohjaisen käyttöoikeuksien hallinnan (RBAC). Yksittäinen sovellustunnus tai käyttäjä lisätään sopivaan ryhmään, jonka kautta se saa valtuuksia RBAC – oikeuksiensa puitteissa.

Azure tarjoaa joukon standardirooleja sekä resurssikohtaisesti tiettyjä erikoistuneita rooleja, näissä on syytä huomioida periytyminen sekä se että annetaan riittävästi mutta ei liikaa oikeuksia erilaisiin resursseihin. Rooleja voi luoda myös itse.

Hyödynnä Azure Key Vault (AKV)

AKV on palvelu salaisuuksien, avainten ja sertifikaattien tallentamiseen erilaisten toimialojen tietoturva – ja tietosuojastandardien mukaisesti.

Kehittäjät voivat tallentaa AKV:hen erilaisina salaisuuksina vaikkapa Azure Data Factoryn (ADF) tai Azure Synapse Analytics Integration Pipelinesien yhteysmääritykset johonkin on-premises tietokantapalvelimen tietokantaan. Käytännössä tällöin luodaan ADF:n puolelle linkki AKV:hen ja muita linkitettyjä resursseja määriteltäessä viitataankin suoraan määriteltyyn AKV – linkitettyyn resurssiin sekä tiettyyn salaisuuteen.

AKV:n oikeudet voidaan antaa Azure AD – tunnuksen tai ryhmän RBAC – roolien mukaisesti. Useimmille käyttäjille tai sovellustunnuksille riittänee, että ne voivat lukea salaisuuksia AKV:sta. Kehittäjillä voisi olla vaikkapa oikeus nähdä salaisuuden nimi, mutta vain sovelluksella olisi oikeus lukea sen sisältö ja päästä kiinni tietolähteeseen.

Hyödynnä Azure virtuaaliverkkoja ja niiden aliverkkoja segmentointiin (VNet ja SNet)

Virtuaaliverkolla ja sen aliverkoilla saadaan rakennettua segmentointia Azuren palveluiden kesken, esimerkiksi tiettyyn tiedontallennuspaikkaan ei olisi pääsyä tietyn virtuaaliverkon aliverkon ulkopuolelta. Tähän liittyy myös Microsoftin Azuressa suosiman Hub and Spoke – arkkitehtuurin hyödyntäminen.

Tietoliikenneyhteyksien rakentamisvaiheessa varmistetaan samalla että data liikkuu mahdollisimman nopeasti ja tietoturvallisesti hybridiympäristössä.

Tarkemmin käsittelin tietoliikenteen liittyviä asioita tässä kirjoituksessa.

Minimoi käsiteltävien henkilötietojen määrä data-alustalla

Ehkä kaikkea henkilötietoa ei tarvitse tuoda data-alustalle ja toisaalta monesti riittää että suorat tunnistetiedot jätetään pois, tällöin data on luonteeltaan pseudonyymiä. Huomaa että pseudonyymikin henkilöä koskeva data on henkilötietoa.

Puhtaasti tunnistamatonta anonyymiä dataa sisältävän tietojoukon tuottaminen on käsitteellisesti ja teknisesti hankalaa, on aina mahdollista että datan määrän kasvaessa ei pystytä täysin takaamaan tunnistamattomuutta, tästä hyvänä esimerkki ns. Netflix - tapaus jo vuosien takaa.

Muutenkin on syytä hyödyntää organisaation tietosuojasta vastaavien osaamista sekä ohjeistusta henkilötietojen käsittelyssä. Huomaa että henkilöön liitettävissä olevat pankkitilien tapahtumatiedot tai energian mittaustiedotkin ovat henkilötietoa, tosin luonteeltaan pseudonyymiä jos on tehty aiemman kohdan mukaisesti.

Suojaa käsiteltävät henkilötiedot data-alustalla

Data-alustalla tarvittava henkilötieto olisi hyvä suojata erilaisin teknisin keinoin, aiemmin mainittu Azure AD ja RBAC - yhdistelmä toimii joissain tapauksissa asettamaan tarvittavat käyttöoikeusrajaukset, mutta tämän lisäksi on muitakin keinoja.

Azuren tietokantapalvelut (Azure SQL, Azure Synapse Analytics) tarjoavat joukon teknisiä keinoja lisätä tietosuojaa henkilötietoja käsiteltäessä. Näitä ovat:

BYOK - malliin liittyen datan salauksessa käytetyt salausavaimet ovat AKV - palvelussa, jos vaaditaan että salausavaimet ovat Azuren ulkopuolella niin se rajaa käytettäviä palveluita hyvin tehokkaasti. PaaS - palveluista vain muutama tukee sellaista.

Kirjoittajasta

Asko Kauppinen on Ready Solutions Oy:n konsultti, jolla on vuosien kokemus erilaisista data-alustoista Teradatasta aina Azuren palveluihin.

asko.kauppinen@readysolutions.fi

+358451374850

Lisää ajankohtaisia julkaisuja:

Avoimen datan hyödyntäminen automaattisesti Power BI:tä käyttäen
Tutustu tarinaan
Onko tekoälyn hyödyntämisestä vielä(kään) konkreettista hyötyä kilpailukyvylle?
Jo vuosia on puhuttu, että tekoälyn (AI) hyödyntäminen mullistaisi teollisen tuotannon ja palvelut lisäämällä tehokkuutta ja tuottavuutta. Missä ne konkreettiset hyödyntämismahdollisuudet sitten oikein piilevät?
Tutustu tarinaan
Johdatko toimintaasi tietoon perustuen?
Tutustu tarinaan
The effect of preconceptions on the results of machine learning
The use of machine learning and artificial intelligence offers many possibilities, such as the improvement of medical treatment and diagnosis, identifying potential safety hazards, and advancing scientific research. However, when used inappropriately, data models can also perpetuate inequality or cause people and companies to focus on improving metrics to the detriment of actual performance.
Tutustu tarinaan
Organisaation hierarkian hallintaratkaisu Microsoft Power Platformia hyödyntäen 
Yleinen tilanne varsinkin suuremmissa yrityksissä on se, että olemassa olevat ERP-, henkilöstö- taikka taloushallinnon ohjelmistot tarjoavat mahdollisuuksia hierarkioiden luomiseen ja ylläpitämiseen. Mutta entä jos valmiit ratkaisut eivät tue yrityksen tarvetta, taikka toimivat turhan kankeasti käyttötarkoitukseen?
Tutustu tarinaan

Lisää ajankohtaisia julkaisuja:

Avoimen datan hyödyntäminen automaattisesti Power BI:tä käyttäen
Tutustu tarinaan
Onko tekoälyn hyödyntämisestä vielä(kään) konkreettista hyötyä kilpailukyvylle?
Jo vuosia on puhuttu, että tekoälyn (AI) hyödyntäminen mullistaisi teollisen tuotannon ja palvelut lisäämällä tehokkuutta ja tuottavuutta. Missä ne konkreettiset hyödyntämismahdollisuudet sitten oikein piilevät?
Tutustu tarinaan
Johdatko toimintaasi tietoon perustuen?
Tutustu tarinaan
The effect of preconceptions on the results of machine learning
The use of machine learning and artificial intelligence offers many possibilities, such as the improvement of medical treatment and diagnosis, identifying potential safety hazards, and advancing scientific research. However, when used inappropriately, data models can also perpetuate inequality or cause people and companies to focus on improving metrics to the detriment of actual performance.
Tutustu tarinaan
Organisaation hierarkian hallintaratkaisu Microsoft Power Platformia hyödyntäen 
Yleinen tilanne varsinkin suuremmissa yrityksissä on se, että olemassa olevat ERP-, henkilöstö- taikka taloushallinnon ohjelmistot tarjoavat mahdollisuuksia hierarkioiden luomiseen ja ylläpitämiseen. Mutta entä jos valmiit ratkaisut eivät tue yrityksen tarvetta, taikka toimivat turhan kankeasti käyttötarkoitukseen?
Tutustu tarinaan