Data Platform: turvaa salaisuutesi

Data Platform eli data-alusta
Data-alusta pystyy käsittelemään monenlaista dataa ja on yrityksen digitalisaatio - sekä analytiikkahankkeiden keskiössä.
Tässä kirjoituksessa käydään läpi muutamia tapoja millä data-alustan kehityksessä voidaan huomioida tietoturvaan ja tietosuojaan liittyviä ei-toiminnallisia vaatimuksia.
Hyödynnä Azure Active Directory (AAD) ja RBAC täysimääräisesti
AAD ja Azure yhdessä mahdollistavat roolipohjaisen käyttöoikeuksien hallinnan (RBAC). Yksittäinen sovellustunnus tai käyttäjä lisätään sopivaan ryhmään, jonka kautta se saa valtuuksia RBAC – oikeuksiensa puitteissa.
Azure tarjoaa joukon standardirooleja sekä resurssikohtaisesti tiettyjä erikoistuneita rooleja, näissä on syytä huomioida periytyminen sekä se että annetaan riittävästi mutta ei liikaa oikeuksia erilaisiin resursseihin. Rooleja voi luoda myös itse.
Hyödynnä Azure Key Vault (AKV)
AKV on palvelu salaisuuksien, avainten ja sertifikaattien tallentamiseen erilaisten toimialojen tietoturva – ja tietosuojastandardien mukaisesti.
Kehittäjät voivat tallentaa AKV:hen erilaisina salaisuuksina vaikkapa Azure Data Factoryn (ADF) tai Azure Synapse Analytics Integration Pipelinesien yhteysmääritykset johonkin on-premises tietokantapalvelimen tietokantaan. Käytännössä tällöin luodaan ADF:n puolelle linkki AKV:hen ja muita linkitettyjä resursseja määriteltäessä viitataankin suoraan määriteltyyn AKV – linkitettyyn resurssiin sekä tiettyyn salaisuuteen.
AKV:n oikeudet voidaan antaa Azure AD – tunnuksen tai ryhmän RBAC – roolien mukaisesti. Useimmille käyttäjille tai sovellustunnuksille riittänee, että ne voivat lukea salaisuuksia AKV:sta. Kehittäjillä voisi olla vaikkapa oikeus nähdä salaisuuden nimi, mutta vain sovelluksella olisi oikeus lukea sen sisältö ja päästä kiinni tietolähteeseen.
Hyödynnä Azure virtuaaliverkkoja ja niiden aliverkkoja segmentointiin (VNet ja SNet)
Virtuaaliverkolla ja sen aliverkoilla saadaan rakennettua segmentointia Azuren palveluiden kesken, esimerkiksi tiettyyn tiedontallennuspaikkaan ei olisi pääsyä tietyn virtuaaliverkon aliverkon ulkopuolelta. Tähän liittyy myös Microsoftin Azuressa suosiman Hub and Spoke – arkkitehtuurin hyödyntäminen.
Tietoliikenneyhteyksien rakentamisvaiheessa varmistetaan samalla että data liikkuu mahdollisimman nopeasti ja tietoturvallisesti hybridiympäristössä.
Tarkemmin käsittelin tietoliikenteen liittyviä asioita tässä kirjoituksessa.
Minimoi käsiteltävien henkilötietojen määrä data-alustalla
Ehkä kaikkea henkilötietoa ei tarvitse tuoda data-alustalle ja toisaalta monesti riittää että suorat tunnistetiedot jätetään pois, tällöin data on luonteeltaan pseudonyymiä. Huomaa että pseudonyymikin henkilöä koskeva data on henkilötietoa.
Puhtaasti tunnistamatonta anonyymiä dataa sisältävän tietojoukon tuottaminen on käsitteellisesti ja teknisesti hankalaa, on aina mahdollista että datan määrän kasvaessa ei pystytä täysin takaamaan tunnistamattomuutta, tästä hyvänä esimerkki ns. Netflix - tapaus jo vuosien takaa.
Muutenkin on syytä hyödyntää organisaation tietosuojasta vastaavien osaamista sekä ohjeistusta henkilötietojen käsittelyssä. Huomaa että henkilöön liitettävissä olevat pankkitilien tapahtumatiedot tai energian mittaustiedotkin ovat henkilötietoa, tosin luonteeltaan pseudonyymiä jos on tehty aiemman kohdan mukaisesti.
Suojaa käsiteltävät henkilötiedot data-alustalla
Data-alustalla tarvittava henkilötieto olisi hyvä suojata erilaisin teknisin keinoin, aiemmin mainittu Azure AD ja RBAC - yhdistelmä toimii joissain tapauksissa asettamaan tarvittavat käyttöoikeusrajaukset, mutta tämän lisäksi on muitakin keinoja.
Azuren tietokantapalvelut (Azure SQL, Azure Synapse Analytics) tarjoavat joukon teknisiä keinoja lisätä tietosuojaa henkilötietoja käsiteltäessä. Näitä ovat:
BYOK - malliin liittyen datan salauksessa käytetyt salausavaimet ovat AKV - palvelussa, jos vaaditaan että salausavaimet ovat Azuren ulkopuolella niin se rajaa käytettäviä palveluita hyvin tehokkaasti. PaaS - palveluista vain muutama tukee sellaista.
Kirjoittajasta
Asko Kauppinen on Ready Solutions Oy:n konsultti, jolla on vuosien kokemus erilaisista data-alustoista Teradatasta aina Azuren palveluihin.
asko.kauppinen@readysolutions.fi