Data Platform: turvaa salaisuutesi
Data-alustan eli data platformin kehittäminen Azuressa
Data-alusta pystyy käsittelemään monenlaista dataa ja on organisaation digitalisaatio - sekä analytiikkahankkeiden keskiössä.
Tässä kirjoituksessa käydään läpi muutamia tapoja millä Microsoftin Azuressa tapahtuvan data-alustan kehityksessä voidaan huomioida tietoturvaan ja tietosuojaan liittyviä ei-toiminnallisia vaatimuksia. Useimmissa tapauksissa on jo ennen kehittämistä syytä ottaa nämä asiat huomioon, vaikkapa niin että organisaatiolla on olemassa tarpeisiin mukautettu Azuren hallintamalli, jonka kautta kehittäjät saavat raamit työlleen.
Hyödynnä Entra ID ja roolipohjainen valtuushallinta täysimääräisesti
Microsoftin Azuressa Entra ID (aiemmin Azure Active Directory) ja Azure yhdessä mahdollistavat roolipohjaisen käyttöoikeuksien hallinnan (RBAC). Yksittäinen sovellustunnus taikka käyttäjä lisätään sopivaan ryhmään, jonka kautta se saa valtuuksia RBAC – oikeuksiensa puitteissa.
Azure tarjoaa joukon standardirooleja sekä resurssikohtaisesti tiettyjä erikoistuneita rooleja, näissä on syytä huomioida periytyminen sekä se että annetaan riittävästi mutta ei liikaa oikeuksia erilaisiin resursseihin. Rooleja voi luoda myös itse jos näyttää siltä että standardiroolien kautta saadaan jopa liikaakin oikeuksia.
Hyödynnä Azure Key Vault – palvelua
Azure Key Vault (AKV) on palvelu salaisuuksien, avainten ja sertifikaattien tallentamiseen erilaisten toimialojen tietoturva – ja tietosuojastandardien mukaisesti.
Kehittäjät voivat tallentaa Azure Key Vaultiin erilaisina salaisuuksina vaikkapa Azure Data Factoryn tai Azure Synapse Analytics Integration Pipelinesien yhteysmääritykset johonkin on-premises tietokantapalvelimen tietokantaan. Käytännössä tällöin luodaan Azure Data Factoryn puolella linkki Azure Key Vaultiin ja muita linkitettyjä resursseja määriteltäessä viitataankin suoraan määriteltyyn Azure Key Vault – linkitettyyn resurssiin sekä tiettyyn salaisuuteen.
Azure Key Vaultin oikeudet voidaan antaa Entra ID – tunnuksen tai ryhmän RBAC – roolien mukaisesti. Useimmille käyttäjille tai sovellustunnuksille riittänee, että ne voivat lukea salaisuuksia Azure Key Vaultista. Kehittäjillä voisi olla vaikkapa oikeus nähdä salaisuuden nimi, mutta vain sovelluksella olisi oikeus lukea sen sisältö ja päästä kiinni tietolähteeseen.
Hyödynnä Azuressa virtuaaliverkkoja ja niiden aliverkkoja segmentointiin
Virtuaaliverkolla ja sen aliverkoilla saadaan rakennettua tietoliikennemielessä segmentointia Azuren palveluiden kesken, esimerkiksi tiettyyn tiedontallennuspaikkaan ei olisi pääsyä tietyn virtuaaliverkon aliverkon ulkopuolelta. Tähän liittyy myös Microsoftin Azuressa suosiman Hub and Spoke – arkkitehtuurin hyödyntäminen.
Tietoliikenneyhteyksien rakentamisvaiheessa varmistetaan samalla että data liikkuu mahdollisimman nopeasti ja tietoturvallisesti hybridiympäristössä omasta konesalista Microsoftin Azureen.
Tarkemmin käsittelin tietoliikenteen liittyviä asioita tässä kirjoituksessa.
Hyödynnä Azuressa resurssikohtaisia palomuurisääntöjä
Virtuaaliverkkojen ja niiden aliverkkojen lisäksi monissa Azuren resursseissa on resurssikohtaisten palomuurisääntöjen asettamisen mahdollisuus. Tyypillinen käyttötapaus on sellainen, jossa pääsy muualta kuin joidenkin virtuaaliverkkojen aliverkoista sekä joistain julkisista IP – osoitteista on estetty kokonaan. Jos resurssin public endpoint – pääsy estetään niin resurssiin voi päästä vain jostain virtuaaliverkon aliverkosta, jonne on määritelty private endpoint ja omasta yritysverkosta on oltava vähintään S2S VPN – yhteys kyseiseen aliverkkoon. Lisäksi tässä tapauksessa on useimmiten konfiguroitava käytetyt DNS – palvelut koska Azure resurssin FQDN, fully qualified domain name, viittaa resurssin public endpoint – määritykseen.
Joidenkin Azuren resurssien tapauksessa on mahdollista määrittään niin että Entra ID – identiteetin omaavat palvelut voivat ohittaa resurssikohtaiset palomuurisäännöt.
Minimoi käsiteltävien henkilötietojen määrä data-alustalla
Monesti kaikkea organisaation käsittelemää henkilötietoa ei edes tarvitse tuoda data-alustalle ja toisaalta monesti riittää että suorat tunnistetiedot jätetään pois, tällöin data on luonteeltaan pseudonyymiä. Huomaa että pseudonyymikin henkilöä koskeva data on edelleen henkilötietoa kunhan organisaatiolla eli rekisterinpitäjällä on mahdollisuus yhdistää pseudonymisoidut tiedot alkuperäisiin suoriin tunnistetietoihin.
Puhtaasti tunnistamatonta anonyymiä dataa sisältävän tietojoukon tuottaminen on käsitteellisesti ja teknisesti hankalaa, on aina mahdollista että datan määrän kasvaessa ei pystytä täysin takaamaan tunnistamattomuutta, tästä hyvänä esimerkki ns. Netflix - tapaus jo vuosien takaa.
Muutenkin on syytä hyödyntää organisaation tietosuojasta vastaavien osaamista sekä velvoittavasti seurattava ohjeistusta henkilötietojen käsittelyssä. Huomaa että henkilöön liitettävissä olevat pankkitilien tapahtumatiedot tai energian mittaustiedotkin ovat henkilötietoa, tosin luonteeltaan pseudonyymiä jos on tehty niin että suorat tunnistetiedot on poistettu.
Suojaa käsiteltävät henkilötiedot data-alustalla
Data-alustalla tarvittava henkilötieto olisi hyvä suojata erilaisin teknisin keinoin, aiemmin mainittu Entra ID ja Azuren RBAC - yhdistelmä toimii joissain tapauksissa asettamaan tarvittavat käyttöoikeusrajaukset, mutta tämän lisäksi on syytä hyödyntää muitakin keinoja.
Azuren tietokantapalvelut (Azure SQL, Azure Synapse Analytics) tarjoavat joukon teknisiä keinoja lisätä tietosuojaa henkilötietoja käsiteltäessä. Näitä ovat:
BYOK - malliin liittyen datan salauksessa käytetyt salausavaimet ovat Azure Key Vault - palvelussa, jos vaaditaan että salausavaimet ovat Azuren ulkopuolella niin se rajaa käytettäviä palveluita hyvin tehokkaasti. PaaS - palveluista vain muutama tukee sellaista toiminnallisuutta.
Azure Storagen osalta on mahdollista hyödyntää myös BYOK – avainta joka säilytetään Azure Key Vault - palvelussa, tällöin levossa oleva data salataan käyttäen omaa salausavainta eikä Microsoftin generoimaa.
Kehitä Azuressa data-alustaa osaavan kumppanin kanssa
Olemme Ready Solutionilla erikoistuneet juuri Microsoftin Azureen ja toimintamme aikana olemme toteuttaneet lukuisia data-alustaprojekteja Azureen.
