Data Platform: turvaa salaisuutesi

Data Platform eli data-alusta

Data-alusta pystyy käsittelemään monenlaista dataa ja on yrityksen digitalisaatio - sekä analytiikkahankkeiden keskiössä.

Tässä kirjoituksessa käydään läpi muutamia tapoja millä data-alustan kehityksessä voidaan huomioida tietoturvaan ja tietosuojaan liittyviä ei-toiminnallisia vaatimuksia.

Hyödynnä Azure Active Directory (AAD) ja RBAC täysimääräisesti

AAD ja Azure yhdessä mahdollistavat roolipohjaisen käyttöoikeuksien hallinnan (RBAC). Yksittäinen sovellustunnus tai käyttäjä lisätään sopivaan ryhmään, jonka kautta se saa valtuuksia RBAC – oikeuksiensa puitteissa.

Azure tarjoaa joukon standardirooleja sekä resurssikohtaisesti tiettyjä erikoistuneita rooleja, näissä on syytä huomioida periytyminen sekä se että annetaan riittävästi mutta ei liikaa oikeuksia erilaisiin resursseihin. Rooleja voi luoda myös itse.

Hyödynnä Azure Key Vault (AKV)

AKV on palvelu salaisuuksien, avainten ja sertifikaattien tallentamiseen erilaisten toimialojen tietoturva – ja tietosuojastandardien mukaisesti.

Kehittäjät voivat tallentaa AKV:hen erilaisina salaisuuksina vaikkapa Azure Data Factoryn (ADF) tai Azure Synapse Analytics Integration Pipelinesien yhteysmääritykset johonkin on-premises tietokantapalvelimen tietokantaan. Käytännössä tällöin luodaan ADF:n puolelle linkki AKV:hen ja muita linkitettyjä resursseja määriteltäessä viitataankin suoraan määriteltyyn AKV – linkitettyyn resurssiin sekä tiettyyn salaisuuteen.

AKV:n oikeudet voidaan antaa Azure AD – tunnuksen tai ryhmän RBAC – roolien mukaisesti. Useimmille käyttäjille tai sovellustunnuksille riittänee, että ne voivat lukea salaisuuksia AKV:sta. Kehittäjillä voisi olla vaikkapa oikeus nähdä salaisuuden nimi, mutta vain sovelluksella olisi oikeus lukea sen sisältö ja päästä kiinni tietolähteeseen.

Hyödynnä Azure virtuaaliverkkoja ja niiden aliverkkoja segmentointiin (VNet ja SNet)

Virtuaaliverkolla ja sen aliverkoilla saadaan rakennettua segmentointia Azuren palveluiden kesken, esimerkiksi tiettyyn tiedontallennuspaikkaan ei olisi pääsyä tietyn virtuaaliverkon aliverkon ulkopuolelta. Tähän liittyy myös Microsoftin Azuressa suosiman Hub and Spoke – arkkitehtuurin hyödyntäminen.

Tietoliikenneyhteyksien rakentamisvaiheessa varmistetaan samalla että data liikkuu mahdollisimman nopeasti ja tietoturvallisesti hybridiympäristössä.

Tarkemmin käsittelin tietoliikenteen liittyviä asioita tässä kirjoituksessa.

Minimoi käsiteltävien henkilötietojen määrä data-alustalla

Ehkä kaikkea henkilötietoa ei tarvitse tuoda data-alustalle ja toisaalta monesti riittää että suorat tunnistetiedot jätetään pois, tällöin data on luonteeltaan pseudonyymiä. Huomaa että pseudonyymikin henkilöä koskeva data on henkilötietoa.

Puhtaasti tunnistamatonta anonyymiä dataa sisältävän tietojoukon tuottaminen on käsitteellisesti ja teknisesti hankalaa, on aina mahdollista että datan määrän kasvaessa ei pystytä täysin takaamaan tunnistamattomuutta, tästä hyvänä esimerkki ns. Netflix - tapaus jo vuosien takaa.

Muutenkin on syytä hyödyntää organisaation tietosuojasta vastaavien osaamista sekä ohjeistusta henkilötietojen käsittelyssä. Huomaa että henkilöön liitettävissä olevat pankkitilien tapahtumatiedot tai energian mittaustiedotkin ovat henkilötietoa, tosin luonteeltaan pseudonyymiä jos on tehty aiemman kohdan mukaisesti.

Suojaa käsiteltävät henkilötiedot data-alustalla

Data-alustalla tarvittava henkilötieto olisi hyvä suojata erilaisin teknisin keinoin, aiemmin mainittu Azure AD ja RBAC - yhdistelmä toimii joissain tapauksissa asettamaan tarvittavat käyttöoikeusrajaukset, mutta tämän lisäksi on muitakin keinoja.

Azuren tietokantapalvelut (Azure SQL, Azure Synapse Analytics) tarjoavat joukon teknisiä keinoja lisätä tietosuojaa henkilötietoja käsiteltäessä. Näitä ovat:

BYOK - malliin liittyen datan salauksessa käytetyt salausavaimet ovat AKV - palvelussa, jos vaaditaan että salausavaimet ovat Azuren ulkopuolella niin se rajaa käytettäviä palveluita hyvin tehokkaasti. PaaS - palveluista vain muutama tukee sellaista.

Kirjoittajasta

Asko Kauppinen on Ready Solutions Oy:n konsultti, jolla on vuosien kokemus erilaisista data-alustoista Teradatasta aina Azuren palveluihin.

asko.kauppinen@readysolutions.fi

+358451374850

Lisää ajankohtaisia julkaisuja:

Tekoälyn hyödyntäminen kuvien luonnissa – mahtavat mahdollisuudet – myös väärinkäyttöön.
Viime aikoina sosiaalisessa mediassa on kovaa vauhtia yleistynyt ilmiö, jossa esitellään kuvia, jotka on luotu tekoälyn avulla. Kurkataan nyt siihen, mitä pinnan alla tapahtuu, kun tekoäly muodostaa kuvia pelkän tekstisyötteen perusteella, ja mitä seurauksia tällaisen teknologian kehityksellä voi olla.
Tutustu tarinaan
DAX-debuggauksen uusi aika Power BI -kontekstissa
Tutustu tarinaan
Pörssisähkön futuurihinnat
Syksyn ja talven -22/23 mittaan kylmäävä kysymys on miltä sähkön hinnan kehitys näyttää.
Tutustu tarinaan
D365 Finance + Power App = automatisoitu talouden raportointi
Tutustu tarinaan
Power BI -kenttäparametrit, uutta ja mielenkiintoista!
Power BI:n toukokuun päivitys tarjoili käyttäjille hyödyllisiä toiminnallisuuksia Kenttäparametrien (Field parameters) muodossa.
Tutustu tarinaan

Lisää ajankohtaisia julkaisuja:

Tekoälyn hyödyntäminen kuvien luonnissa – mahtavat mahdollisuudet – myös väärinkäyttöön.
Viime aikoina sosiaalisessa mediassa on kovaa vauhtia yleistynyt ilmiö, jossa esitellään kuvia, jotka on luotu tekoälyn avulla. Kurkataan nyt siihen, mitä pinnan alla tapahtuu, kun tekoäly muodostaa kuvia pelkän tekstisyötteen perusteella, ja mitä seurauksia tällaisen teknologian kehityksellä voi olla.
Tutustu tarinaan
DAX-debuggauksen uusi aika Power BI -kontekstissa
Tutustu tarinaan
Pörssisähkön futuurihinnat
Syksyn ja talven -22/23 mittaan kylmäävä kysymys on miltä sähkön hinnan kehitys näyttää.
Tutustu tarinaan
D365 Finance + Power App = automatisoitu talouden raportointi
Tutustu tarinaan
Power BI -kenttäparametrit, uutta ja mielenkiintoista!
Power BI:n toukokuun päivitys tarjoili käyttäjille hyödyllisiä toiminnallisuuksia Kenttäparametrien (Field parameters) muodossa.
Tutustu tarinaan