Blog Security & Compliance Data & AI Azure

Beveilig je data science omgeving in Azure: 6 onmisbare tools!

Heb je er ooit bij stilgestaan wat er kan gebeuren als je je data science omgeving niet goed beveiligt? Denk er eens over na. Wat zou er gebeuren als je gegevens in verkeerde handen valt? Van het stelen van jouw gegevens en code tot netwerkinbreuken en ongeautoriseerde toegang. Tegenwoordig zijn hackers meedogenloos.

Zorg ervoor dat de beveiliging van je data science omgeving een topprioriteit is. In dit artikel leggen we uit hoe je je data science omgeving kunt beveiligen. Veiligheid voor alles!

Auteur

Rinie Huijgen CTO

Tool 1: Identiteits- en toegangsbeheer (IAM)

IAM op Azure helpt ons rollen te definiëren voor de gebruikers van onze data science infrastructuur. Rollen kunnen worden verdeeld op het niveau van abonnementen, resourcegroepen of individuele resources. Vervolgens kan je het portaal rollen toewijzen aan gebruikers, (Entra ID) groepen, Service Principals of Managed Identities.

Voorbeeld: sommige gebruikers in je data science team mogen alleen Azure Machine Learning bekijken. Zij krijgen dus een "Reader" rol voor de Azure Machine Learning resource. Beheerders mogen misschien wijzigingen aanbrengen in de Azure Machine Learning resource en krijgen daarom de rol "Contributor". Al met al helpt IAM ons om de toegangsrechten van gebruikers te beperken, volgens het principle of least privilege, dat onbevoegde toegang voorkomt.

Tool 2: Networking

Alles wat we online en in Azure doen heeft een geautoriseerde verbinding en mogelijkheid tot communicatie nodig. Hierbij is belangrijk dat een verbinding of communicatie die niet geautoriseerd is wordt geweigerd. Van toegang tot onze data science omgeving tot toegang tot en verbinding met gegevensbronnen. Maar hoe pak je dat aan?
Twee belangrijke dingen om te overwegen bij het configureren van netwerken op Azure zijn:

1. Azure firewall regels;
2. Azure Private Link

Tool 3: Azure Firewall

Als het gaat om Azure Firewalls zie je toe op whitelisting adressen, bijvoorbeeld voor wie toestemming heeft om verbinding te maken met de data science omgeving. Het is belangrijk om te begrijpen dat je dit zelf moet configureren, wat in de toekomst gewijzigd kan worden of wanneer een medewerker je bedrijf verlaat. Als het gaat om de communicatie van bijvoorbeeld een storage account naar je Azure data science omgeving via Azure Machine Learning, is de configuratie gebaseerd op Azure beveiligingsstandaarden. Hier kunnen de protocollen voor communicatie per Azure tool veranderen.

Azure Private Link: Een ander onderdeel van netwerkbeveiliging is het beveiligen van je Azure-servicebronnen in je data science omgeving met virtuele netwerken met behulp van Azure Private Link. Deze service heeft toegang tot Azure Machine Learning via een privé-eindpunt in het virtuele netwerk. Azure Private Link, met private endpoints, is eenvoudig in te stellen en te beheren, en zorgt ervoor dat uw Azure resource beveiligd is, privé toegankelijk is op Azure, en beschermd is tegen datalekken, allemaal via een eenvoudige workflow.
Door jouw netwerkcomponenten te beveiligen voorkom je dat jouw netwerk geïnfiltreerd wordt en begin je voordat het te laat is.

Tool 4: Azure Monitor

Azure Monitor kan je gebruiken om telemetriegegevens van jouw resources in de Azure cloud te verzamelen, analyseren en op te volgen. Met Azure Monitor kan je proactief optreden bij problemen die de prestaties en beveiliging van jouw Azure resource beïnvloeden, door alerts te implementeren.

Azure monitor kan zowel problemen met betrekking tot je applicaties en infrastructuur detecteren als diagnosticeren met Application Insights en VM Insights. Hiermee kun je alerts aanmaken, bekijken en beheren op basis van metrics voor je Azure resource. Bijvoorbeeld wanneer een model deployment is mislukt of wanneer je onbruikbare nodes hebt. Als dit wordt gedetecteerd, kun je in de waarschuwing zien wat de oorzaak is, waardoor je problemen kunt oplossen en diagnosticeren via Log Analytics integraties. Een andere functie van het gebruik van Azure monitor is veranderingsanalyse, die resourcewijzigingen op abonnementsniveau detecteert en ons helpt de oorzaak van het probleem te begrijpen. De eerste stap in het oplossen van je beveiliging is je ervan bewust worden, en met de mogelijkheden van Azure Monitor kan je dat doen.

Azure Log Analytics in Azure Monitor

Azure Log Analytics gebruiken we voor het raadplegen van gegevens, verzameld door de Azure Monitor. Azure Log Analytics bestaat uit functies zoals filteren en sorteren, waardoor het analyseren van de logopslag van Azure Monitor veel gemakkelijker wordt. Opvragen met Azure Log Analytics kan met behulp van de Kusto Query Language (KQL). Log Analytics heeft ook meer geavanceerde functies beschikbaar om statistische analyses van de gegevens te maken, naast visualisatie voor trendanalyse.

Tool 5: Azure Policy

Wanneer je de compliance van je data science omgeving moet beoordelen, kan je Azure Policy gebruiken. Azure Policy werkt door resources te evalueren en te vergelijken met specifieke bedrijfsregels, beschreven in een beleidsdefinitie in JSON-formaat. Deze beleidsregels kun je zelf definiëren.

Als je meerdere bedrijfsregels hebt, geeft het je ook de mogelijkheid om ze te groeperen en een set aan te maken. Een voorbeeld van het beschrijven van een bedrijfsregel in een beleidsdefinitie kan zijn dat je bedrijf (vanwege de naleving van regelgeving m.b.t. de fysieke locatie) de inzet van resources moet controleren, omdat sommige locaties geen toegang mogen krijgen. Daarom kun je een locatiebeleid gebruiken zodat gebruikers alleen resources kunnen inzetten in West Europa, en bijvoorbeeld niet in China.

De definitie van deze regels die je hebt gemaakt kan vervolgens worden toegewezen aan elke resource in Azure. Denk aan resource groepen, abonnementen en resources zoals Azure Machine Learning. Wil je dus compliant zijn en je compliance op grote schaal kunnen beoordelen? Gebruik dan Azure Policy.

Tool 6: Microsoft defender voor de cloud

Als je een cloud security posture management en workload protection platform tool nodig hebt voor je data science omgeving, kijk dan eens naar Microsoft Defender for Cloud. Deze tool helpt de beveiliging van je resources en workload te beheren in multi-cloudomgevingen, maar ook on-premises of volledig op Azure. Het beoordeelt je beveiliging op basis van Defender for cloud secure score, zodat je beveiligingsontwikkeling traceerbaar is en vooruitgang wordt gemeten. Het werkt ook als een aanbevelingsmotor, want de tool geeft suggesties om veiliger te werken, en de optie om risico's te beoordeling. Waarschuwingen via Defender for the cloud zijn real-time, zodat je eventuele risico's direct kunt voorkomen en er continu voor kunt zorgen dat je data science omgeving actueel en veilig is.

Security & Compliance Data