Compartir a través de

Microsoft Purview 安全最佳做法

本文提供了有关 Microsoft Purview 治理解决方案的常见安全要求的最佳做法。 所述的安全策略遵循分层的深层防御方法。

注意

这些最佳做法涵盖了 Microsoft Purview 统一治理解决方案的安全性。 有关 Microsoft Purview 的更多信息,请转到此处

显示 Microsoft Purview 中深层防御的屏幕截图。

在将这些建议应用于你的环境之前,应咨询安全团队,因为其中一些建议可能不适用于你的安全要求。

网络安全

可以为 Microsoft Purview 数据映射启用以下网络安全功能:

显示网络中的 Microsoft Purview 帐户的屏幕截图。

有关详细信息,请参阅有关连接到 Azure PaaS 服务的最佳做法

为 Microsoft Purview 帐户部署专用终结点

如果你需要在专用网络中使用 Microsoft Purview,建议在 Microsoft Purview 帐户中使用 Azure 专用链接服务,以便在连接到 Microsoft Purview 治理门户、访问 Microsoft Purview 终结点和扫描数据源时实现部分隔离或端到端隔离

Microsoft Purview 帐户专用终结点用于增加额外的安全层,以便仅允许源自虚拟网络内部的客户端调用访问 Microsoft Purview 帐户。 此专用终结点也是门户专用终结点的一个必备组件。

若要使用专用网络连接到 Microsoft Purview 治理门户,需要使用 Microsoft Purview 门户专用终结点。

Microsoft Purview 可以使用引入专用终结点扫描 Azure 或本地环境中的数据源。

有关详细信息,请参阅 Microsoft Purview 网络体系结构和最佳做法

使用 Microsoft Purview 防火墙阻止公共访问

可以禁用 Microsoft Purview 公共访问,以完全阻止从公共 Internet 对 Microsoft Purview 帐户进行访问。 在这种情况下,应考虑以下要求:

  • 必须基于端到端网络隔离方案部署 Microsoft Purview。
  • 若要访问 Microsoft Purview 治理门户和 Microsoft Purview 终结点,需要使用已连接到专用网络的管理计算机通过专用网络来访问 Microsoft Purview。
  • 查看已知限制

有关详细信息,请参阅用于限制公共访问的防火墙

使用网络安全组

可以使用 Azure 网络安全组来筛选 Azure 虚拟网络中出入 Azure 资源的网络流量。 网络安全组包含安全规则,这些规则可允许或拒绝多种 Azure 资源的入站和出站网络流量。 可以为每项规则指定源和目标、端口以及协议。

可将网络安全组应用于部署了 Microsoft Purview 专用终结点、自承载集成运行时 VM 和 Azure 数据源的网络接口或 Azure 虚拟网络子网。

有关详细信息,请参阅为专用终结点应用 NSG 规则

要进行 Microsoft Purview 扫描,数据源上需有以下 NSG 规则:

方向 源端口范围 目标 目标端口 协议 操作
入站 自承载集成运行时 VM 的专用 IP 地址或子网 * 数据源专用 IP 地址或子网 443 任意 允许

管理计算机上需有以下 NSG 规则才能访问 Microsoft Purview 治理门户:

方向 源端口范围 目标 目标端口 协议 操作
出站 管理计算机的专用 IP 地址或子网 * Microsoft Purview 帐户和门户专用终结点 IP 地址或子网 443 任意 允许
出站 管理计算机的专用 IP 地址或子网 * 服务标记:AzureCloud 443 任意 允许

自承载集成运行时 VM 上需有以下 NSG 规则才能进行 Microsoft Purview 扫描和元数据引入:

重要

请考虑根据数据源类型添加具有相关服务标记的附加规则。

方向 源端口范围 目标 目标端口 协议 操作
出站 自承载集成运行时 VM 的专用 IP 地址或子网 * 数据源专用 IP 地址或子网 443 任意 允许
出站 自承载集成运行时 VM 的专用 IP 地址或子网 * Microsoft Purview 帐户和引入专用终结点 IP 地址或子网 443 任意 允许
出站 自承载集成运行时 VM 的专用 IP 地址或子网 * 服务标记:Servicebus 443 任意 允许
出站 自承载集成运行时 VM 的专用 IP 地址或子网 * 服务标记:Storage 443 任意 允许
出站 自承载集成运行时 VM 的专用 IP 地址或子网 * 服务标记:AzureActiveDirectory 443 任意 允许
出站 自承载集成运行时 VM 的专用 IP 地址或子网 * 服务标记:DataFactory 443 任意 允许
出站 自承载集成运行时 VM 的专用 IP 地址或子网 * 服务标记:KeyVault 443 任意 允许

Microsoft Purview 帐户、门户和引入专用终结点上需有以下 NSG 规则:

方向 源端口范围 目标 目标端口 协议 操作
入站 自承载集成运行时 VM 的专用 IP 地址或子网 * Microsoft Purview 帐户和引入专用终结点 IP 地址或子网 443 任意 Allow
入站 管理计算机的专用 IP 地址或子网 * Microsoft Purview 帐户和引入专用终结点 IP 地址或子网 443 任意 Allow

有关详细信息,请参阅自承载集成运行时网络要求

访问管理

标识和访问管理为很大比例的安全保障提供了基础。 它在云服务中实现基于标识身份验证和授权控制的访问。 这些控制措施可以保护数据和资源,并确定应允许哪些请求。

若与与 Microsoft Purview 中的角色和访问管理相关,可以应用以下安全最佳做法:

  • 定义在控制平面和数据平面中管理 Microsoft Purview 的角色和职责:
    • 定义在 Azure 订阅中部署和管理 Microsoft Purview 所需的角色和任务。
    • 定义使用 Microsoft Purview 执行数据管理和治理所需的角色和任务。
  • 将角色分配给 Microsoft Entra 组,而不是将角色分配给单个用户。
  • 使用 Azure Active Directory 权利管理通过访问包将用户访问权限映射到 Microsoft Entra 组。
  • 对 Microsoft Purview 用户强制实施多重身份验证,尤其是对于具有特权角色的用户(例如集合管理员、数据源管理员或数据策展人)。

在控制平面和数据平面中管理 Microsoft Purview 帐户

控制平面是指与 Azure 资源管理器内 Microsoft Purview 的 Azure 部署和管理相关的所有操作。

数据平面是指在数据映射和数据目录中与 Microsoft Purview 交互相关的所有操作。

你可以将控制平面和数据平面角色分配给与 Microsoft Purview 实例的 Azure 订阅关联的 Microsoft Entra 租户中的用户、安全组和服务主体。

控制平面操作和数据平面操作示例:

任务 范围 建议的角色 使用哪种角色?
部署 Microsoft Purview 帐户 控制面板 Azure 订阅所有者或参与者 Azure RBAC 角色
为 Microsoft Purview 设置专用终结点 控制面板 参与者 Azure RBAC 角色
删除 Microsoft Purview 帐户 控制面板 参与者 Azure RBAC 角色
添加或管理自承载集成运行时 (SHIR) 控制面板 数据源管理员 Microsoft Purview 角色
查看 Microsoft Purview 指标以获取当前容量单位 控制面板 读者 Azure RBAC 角色
创建集合 数据平面 集合管理员 Microsoft Purview 角色
注册数据源 数据平面 集合管理员 Microsoft Purview 角色
扫描 SQL Server 数据平面 数据源管理员和数据读取者或数据管护者 Microsoft Purview 角色
在 Microsoft Purview 数据目录中搜索 数据平面 数据源管理员和数据读取者或数据管护者 Microsoft Purview 角色

Microsoft Purview 平面角色是在 Microsoft Purview 集合中的 Microsoft Purview 实例内定义和管理的。 有关详细信息,请参阅 Microsoft Purview 中的访问控制

按照 Microsoft Purview 数据治理角色,获取有关数据目录中管理的用户角色和权限的指导。

请遵循适用于 Azure 控制平面任务的 Azure 基于角色的访问建议

身份验证和授权

若要访问 Microsoft Purview,用户必须经过身份验证并获得授权。 身份验证是证明用户所声明身份的过程。 授权是指在集合上分配的 Microsoft Purview 中控制访问权限。

我们使用 Microsoft Entra ID 为集合中的 Microsoft Purview 提供身份验证和授权机制。 你可以将 Microsoft Purview 角色分配给与托管你的 Microsoft Purview 实例的 Azure 订阅关联的 Microsoft Entra 租户中的以下安全主体:

  • 用户和来宾用户(如果他们已被添加到 Microsoft Entra 租户中)
  • 安全组
  • 托管标识
  • 服务主体

可将 Microsoft Purview 精细角色分配到 Microsoft Purview 实例内的灵活集合层次结构。

显示 Microsoft Purview 访问管理的屏幕截图。

定义最低特权模型

作为一般法则,对于想要强制实施数据访问安全策略的组织而言,必须根据需要知道最低特权安全策略限制访问权限。

在 Microsoft Purview 中,可以使用 Microsoft Purview 集合来组织数据源、资产和扫描。 集合是 Microsoft Purview 中元数据的分层式分组,但同时它们提供了一种机制用于管理整个 Microsoft Purview 中的访问权限。 可以根据集合的层次结构将 Microsoft Purview 中的角色分配到集合。

使用 Microsoft Purview 集合可以实现组织的元数据层次结构,以便获得基于最低特权模型的集中或委托式管理和治理层次结构。

在 Microsoft Purview 集合中分配角色时请遵循最低特权访问模型,方法是在团队中实施职责分离,并仅向用户授予他们执行其作业所需的访问权限。

有关如何基于 Microsoft Purview 集合层次结构在 Microsoft Purview 中分配最低特权访问模型的详细信息,请参阅 Microsoft Purview 中的访问控制

降低特权帐户的泄露风险

保护特权访问是保护业务资产的首要步骤。 尽量减少拥有访问权限的人员以保护信息或资源安全,这样可以减小恶意用户获得访问权限,或者已授权用户无意中影响敏感资源的可能性。

减少在你的 Microsoft Purview 实例中拥有写入访问权限的用户数量。 在根集合中保留最少量的集合管理员和数据管护者角色。

使用多重身份验证和条件访问

Microsoft Entra 多重身份验证提供了另一层安全和身份验证。 为了提高安全性,我们建议对所有特权帐户强制实施条件访问策略

通过使用 Microsoft Entra 条件访问策略,在登录时为所有被分配到 Microsoft Purview 角色并在你的 Microsoft Purview 实例中具有修改访问权限的所有个人用户(集合管理员、数据源管理员、数据策展人)应用 Microsoft Entra 多重身份验证。

为管理员帐户启用多重身份验证,并确保管理员帐户用户已注册 MFA。

可以通过选择 Microsoft Purview 作为云应用来定义条件访问策略。

防止意外删除 Microsoft Purview 帐户

在 Azure 中,可将资源锁应用于 Azure 订阅、资源组或资源,以防止意外删除或修改关键资源。

为 Microsoft Purview 帐户启用 Azure 资源锁,以防止意外删除 Azure 订阅中的 Microsoft Purview 实例。

CanNotDeleteReadOnly 锁添加到 Microsoft Purview 帐户不能防止在 Microsoft Purview 数据平面中执行删除或修改操作,但可以防止在控制平面中执行任何操作,例如删除 Microsoft Purview 帐户、部署专用终结点或配置诊断设置。

有关详细信息,请参阅了解锁的范围

可将资源锁分配到 Microsoft Purview 资源组或资源,但无法将 Azure 资源锁分配到 Microsoft Purview 托管资源或托管资源组。

实施急救策略

为你的 Microsoft Entra 租户、Azure 订阅和 Microsoft Purview 帐户规划破窗策略,以防止租户级帐户锁定。

有关 Microsoft Entra ID 和 Azure 紧急访问计划的详细信息,请参阅管理 Microsoft Entra ID 中的紧急访问帐户

有关 Microsoft Purview 急救策略的详细信息,请参阅 Microsoft Purview 集合最佳做法和设计建议

威胁防护和防止数据外泄

Microsoft Purview 提供数据敏感性的丰富见解,这些见解对于使用 Microsoft Defender for Cloud 管理组织的安全状况和防范其工作负载受到威胁的安全团队而言非常宝贵。 数据资源仍是恶意参与者的常用目标,因此,安全团队在云环境中识别敏感数据资源、确定其优先级并保护这些资源至关重要。 为了应对这一挑战,我们宣布在 Microsoft Defender for Cloud 与 Microsoft Purview 之间推出了公共预览版的集成。

与 Microsoft 365 和 Microsoft Defender for Cloud 集成

公司中的安全组织面临的最大难题之一往往是如何根据资产的重要性和敏感性来识别和保护资产。 Microsoft 最近已宣布在 Microsoft Purview 与 Microsoft Defender for Cloud 之间推出了公共预览版的集成,以帮助克服这些难题。

如果你在 Microsoft Purview 中扩展了资产和数据库列的 Microsoft 365 敏感度标签,则可以基于检测到的资产敏感度标签从库存、警报和建议,使用 Microsoft Defender for Cloud 来跟踪高价值资产。

  • 对于建议,我们提供了安全控制以帮助你了解每条建议对你的整体安全状况有多重要。 Microsoft Defender for Cloud 包含每个控制的安全分数值,以帮助你确定安全工作的优先级。 详细了解安全控制及其建议

  • 对于警报,我们为每个警报分配了严重性标签,以帮助你确定处理每个警报的优先顺序。 详细了解如何对警报进行分类?

有关详细信息,请参阅将 Microsoft Purview 与 Azure 安全产品集成

信息保护

安全的元数据提取和存储

Microsoft Purview 是云中的数据治理解决方案。 你可以在 Microsoft Purview 中注册和扫描来自本地、Azure 或多云环境的各种数据系统中的不同数据源。 在 Microsoft Purview 中注册和扫描数据源时,实际数据和数据源将保留在其原始位置,只会从数据源提取元数据并将其存储在 Microsoft Purview 数据映射中,这意味着,你无需将数据移出该区域或其原始位置就能将元数据提取到 Microsoft Purview 中。

如果你的帐户是在 2023 年 12 月 15 日之前创建的,则你的帐户已部署有一个受管理资源组,并且该组中部署了一个 Azure 存储帐户。 这些资源由 Microsoft Purview 使用,不能由任何其他用户或主体访问。 部署 Microsoft Purview 帐户时,Azure 基于角色的访问控制 (RBAC) 拒绝分配会自动添加到此资源组,从而阻止其他用户或任何未由 Microsoft Purview 启动的 CRUD 操作的访问。

2023 年 12 月 15 日之后部署的帐户(或使用 2023-05-01-preview 之后的 API 版本部署的帐户)使用在内部 Azure 订阅中部署的引入存储帐户。 由于这些资源不在 Microsoft Purview 的 Azure 订阅中,因此除 Microsoft Purview 帐户外,任何其他用户或主体都无法访问这些资源。

(如果你已使用 API 部署了帐户,则使用 2023-05-01-preview 之后的 API 版本部署的帐户将使用在内部 Azure 订阅中部署的引入存储帐户,而非使用在 Azure 订阅中部署的托管存储帐户。)

元数据存储在何处?

在扫描过程中,Microsoft Purview 仅将来自不同数据源系统的元数据提取到 Microsoft Purview 数据映射中。

你可以在任何支持的 Azure 区域中的 Azure 订阅内部署 Microsoft Purview 帐户。

所有元数据存储在 Microsoft Purview 实例中的数据映射内。 这意味着,元数据将存储在 Microsoft Purview 实例所在的同一个区域中。

如何从数据源提取元数据?

Microsoft Purview 允许使用以下任何选项从数据源提取元数据:

  • Azure 运行时。 在数据源所在的同一区域中提取并处理元数据。

    1. 将使用 Azure 集成运行时从 Microsoft Purview 数据映射启动手动或自动扫描。

    2. Azure 集成运行时连接到数据源以提取元数据。

    3. 元数据在 Microsoft Purview 托管或引入存储中排队,然后存储在 Azure Blob 存储中。

    4. 元数据发送到 Microsoft Purview 数据映射。

  • 自承载集成运行时。 元数据由自承载集成运行时提取到自承载集成运行时 VM 的内存中并进行处理,然后再发送到 Microsoft Purview 数据映射。 在这种情况下,客户必须在其 Azure 订阅或本地环境中部署和管理一个或多个基于 Windows 的自承载集成运行时虚拟机。 扫描本地和基于 VM 的数据源始终需要使用自承载集成运行时。 这些数据源不支持 Azure 集成运行时。 以下步骤说明了使用自承载集成运行时扫描数据源时的概要通信流。

    1. 将触发手动或自动扫描。 Microsoft Purview 连接到 Azure 密钥保管库以检索凭据来访问数据源。

    2. 将使用自承载集成运行时从 Microsoft Purview 数据映射启动扫描。

    3. VM 中的自承载集成运行时服务连接到数据源以提取元数据。

    4. 元数据在自承载集成运行时的 VM 内存中进行处理。 元数据在 Microsoft Purview 引入存储中排队,然后存储在 Azure Blob 存储中。

    5. 元数据发送到 Microsoft Purview 数据映射。

    如果需要从数据源中提取元数据,而这些数据源包含不能离开本地网络边界的敏感数据,则我们强烈建议在数据源所在的企业网络中部署自承载集成运行时 VM,以在本地提取并处理元数据,并仅将元数据发送到 Microsoft Purview。

    1. 将触发手动或自动扫描。 Microsoft Purview 连接到 Azure 密钥保管库以检索凭据来访问数据源。

    2. 扫描是通过本地自承载集成运行时启动的。

    3. VM 中的自承载集成运行时服务连接到数据源以提取元数据。

    4. 元数据在自承载集成运行时的 VM 内存中进行处理。 元数据在 Microsoft Purview 引入存储中排队,然后存储在 Azure Blob 存储中。 实际数据永远不会离开网络边界。

    5. 元数据发送到 Microsoft Purview 数据映射。

信息保护和加密

Azure 提供了许多机制,用于在迁移数据时保持数据的静态私密性。 对于 Microsoft Purview,将使用 Azure 管理的密钥对静态数据进行加密,并使用传输层安全性 (TLS) v1.2 或更高版本对传输中数据进行加密。

传输层安全性(传输中加密)

传输中的数据(也称为动态数据)将在 Microsoft Purview 中进行加密。

为了在访问控制之外再添加另一层安全性,Microsoft Purview 将使用传输层安全性 (TLS) 来加密动态数据以保护客户数据,同时还会保护传输中数据,使其免受“带外”攻击(例如流量捕获)。 它使用加密来确保攻击者无法轻松读取或修改数据。

Microsoft Purview 支持通过传输层安全性 (TLS) v1.2 或更高版本来加密传输中数据。

有关详细信息,请参阅加密传输中的敏感信息

透明数据加密(静态加密)

静态数据包括以任何数字格式驻留在物理介质上的永久性存储中的信息。 该介质可以包括磁性介质或光学介质上的文件、存档数据和 Azure 区域中的数据备份。

为了在访问控制之外再添加另一层安全性,Microsoft Purview 将加密静态数据,使其免受“带外”攻击(例如访问底层存储)。 它使用与 Azure 托管密钥配合使用的加密。 这种做法有助于确保攻击者无法轻松读取或修改数据。

有关详细信息,请参阅加密静态敏感数据

可选事件中心命名空间配置

每个 Microsoft Purview 帐户都可以配置可通过其 Atlas Kafka 终结点访问的事件中心。 这可以在创建时在“配置”下启用,也可以从 Azure 门户的“Kafka 配置”下启用。 建议仅当用于将事件分发到 Microsoft Purview 帐户数据映射中或外部时,才启用可选的托管事件中心。 若要删除此信息分发点,请不要配置这些终结点或将其移除。

若要删除配置的事件中心命名空间,可以执行以下步骤:

  1. Azure 门户中,搜索并打开 Microsoft Purview 帐户。
  2. 在 Azure 门户中 Microsoft Purview 帐户页上的设置下选择“Kafka 配置”。
  3. 选择要禁用的事件中心。 (挂钩中心向 Microsoft Purview 发送消息。通知中心接收通知。)
  4. 选择“移除”以保存选项并开始禁用过程。 此过程需要几分钟才能完成。 屏幕截图显示了 Azure 门户中 Microsoft Purview 帐户页的 Kafka 配置页,其中突出显示了“移除”按钮。

注意

如果在禁用此事件中心命名空间时具有引入专用终结点,则禁用后,该引入专用终结点可能显示为已断开连接。

有关配置这些事件中心命名空间的详细信息,请参阅:为 Atlas Kafka 配置事件中心主题

凭据管理

若要将数据源系统中的元数据提取到 Microsoft Purview 数据映射中,需要在 Microsoft Purview 数据映射中注册和扫描数据源系统。 为了自动化此过程,我们在 Microsoft Purview 中提供了适用于不同数据源系统的连接器,以简化注册和扫描过程。

若要连接到数据源,Microsoft Purview 要求提供对数据源系统拥有只读访问权限的凭据。

建议尽可能优先使用以下凭据选项进行扫描:

  1. Microsoft Purview 托管标识
  2. 用户分配的托管标识
  3. 服务主体
  4. 其他选项,例如帐户密钥、SQL 身份验证等。

如果你使用除托管标识以外的其他任何选项,则必须在 Azure 密钥保管库中存储并保护所有凭据。 Microsoft Purview 要求对 Azure 密钥保管库资源中的机密拥有获取/列出访问权限。

作为一般法则,可以使用以下选项来设置用于扫描数据源系统的集成运行时和凭据:

方案 运行时选项 受支持的凭据
数据源是一个 Azure 平台即服务,例如公用网络中的 Azure Data Lake Storage Gen 2 或 Azure SQL 选项 1:Azure 运行时 Microsoft Purview 托管标识、服务主体或访问密钥/SQL 身份验证(取决于 Azure 数据源类型)
数据源是一个 Azure 平台即服务,例如公用网络中的 Azure Data Lake Storage Gen 2 或 Azure SQL 选项 2:自承载集成运行时 服务主体或访问密钥/SQL 身份验证(取决于 Azure 数据源类型)
数据源是一个 Azure 平台即服务,例如使用 Azure 专用链接服务的专用网络中的 Azure Data Lake Storage Gen 2 或 Azure SQL 自承载集成运行时 服务主体或访问密钥/SQL 身份验证(取决于 Azure 数据源类型)
数据源位于 Azure IaaS VM(例如 SQL Server)中 部署在 Azure 中的自承载集成运行时 SQL 身份验证或基本身份验证(取决于 Azure 数据源类型)
数据源位于本地系统中 部署在 Azure 或本地网络中的自承载集成运行时 SQL 身份验证或基本身份验证(取决于 Azure 数据源类型)
多云 Azure 运行时或自承载集成运行时(取决于数据源类型) 支持的凭据选项因数据源类型而异
Power BI 租户 Azure 运行时 Microsoft Purview 托管标识

使用此指南来详细了解每个源及其支持的身份验证选项。

其他建议

为自承载运行时 VM 应用安全最佳做法

如果自承载集成运行时用于在 Microsoft Purview 中扫描数据源,请考虑保护 Azure 或本地环境中自承载集成运行时 VM 的部署和管理。

对于在 Azure 中部署为虚拟机的自承载集成运行时 VM,请遵循 Windows 虚拟机的安全最佳做法建议

  • 安装防病毒软件或反恶意软件。
  • 部署 Azure Defender 以获取 VM 上任何潜在异常情况的见解。
  • 限制自承载集成运行时 VM 中的软件数量。 尽管并不强制要求对 Microsoft Purview 的自承载运行时使用专用 VM,但我们强烈建议使用专用 VM,尤其是在生产环境中。
  • 将虚拟机与 Microsoft Defender for Cloud 集成可以预防、检测和响应威胁。
  • 使计算机保持最新。 可以启用自动 Windows 更新或使用 Azure 自动化中的更新管理来管理 OS 的操作系统级更新。
  • 使用多台计算机来提高复原能力和可用性。 可以部署并注册多个自承载集成运行时,从而将扫描分配到多个自承载集成运行时计算机,或者在虚拟机规模集上部署自承载集成运行时以提高冗余和可伸缩性。
  • (可选)可以计划启用从自承载集成运行时 VM 进行 Azure 备份,以便在发生 VM 级别的灾难时增加自承载集成运行时 VM 的恢复时间。

后续步骤