Nieuws

Beveilig je data science omgeving in Azure

In dit artikel leggen we uit hoe je je data science-omgeving kunt beveiligen. Veiligheid voor alles!

Gepubliceerd: 06 februari 2023

In dit artikel behandelen we de volgende onderwerpen:

Waarom beveiligen we de data science omgeving in Azure?
Hoe beveilig je je omgeving in Azure?

Let op: Ben je benieuwd naar de wereld van data science, maar weet je niet waar je moet beginnen? Lees dan ons eerste artikel. Wil je leren hoe je jouw huidige data science omgeving kunt overzetten naar Azure? Klik dan hier voor meer informatie!

Azure biedt een groot aantal tools om je data science omgeving te beveiligen. Bij Intercept gebruiken we de volgende tools:

Identity and Access Management (IAM)
Networking
Azure Monitor
Azure Log Analytics
Azure Policy
Defender for Cloud

Lees verder als je wilt weten wat deze tools voor je kunnen betekenen.

Identiteits- en toegangsbeheer (IAM)

IAM op Azure helpt ons rollen te definiëren voor de gebruikers van onze data science infrastructuur. Rollen kunnen worden verdeeld op het niveau van abonnementen, resourcegroepen of individuele resources. Vervolgens kan je het portaal rollen toewijzen aan gebruikers, (AD-)groepen, Service Principals of Managed Identities.

Voorbeeld: sommige gebruikers in je data science team mogen alleen Azure Machine Learning bekijken. Zij krijgen dus een "Reader" rol voor de Azure Machine Learning resource. Beheerders mogen misschien wijzigingen aanbrengen in de Azure Machine Learning resource en krijgen daarom de rol "Contributor". Al met al helpt IAM ons om de toegangsrechten van gebruikers te beperken, volgens het principle of least privilege, dat onbevoegde toegang voorkomt.

Networking

Alles wat we online en in Azure doen heeft een geautoriseerde verbinding en mogelijkheid tot communicatie nodig. Hierbij is belangrijk dat een verbinding of communicatie die niet geautoriseerd is wordt geweigerd. Van toegang tot onze data science omgeving tot toegang tot en verbinding met gegevensbronnen. Maar hoe pak je dat aan?

Twee belangrijke dingen om te overwegen bij het configureren van netwerken op Azure zijn:

Azure firewall regels;
Azure Private Link

Azure Firewall

Als het gaat om Azure Firewalls zie je toe op whitelisting adressen, bijvoorbeeld voor wie toestemming heeft om verbinding te maken met de data science omgeving. Het is belangrijk om te begrijpen dat je dit zelf moet configureren, wat in de toekomst gewijzigd kan worden of wanneer een medewerker je bedrijf verlaat. Als het gaat om de communicatie van bijvoorbeeld een storage account naar je Azure data science omgeving via Azure Machine Learning, is de configuratie gebaseerd op Azure beveiligingsstandaarden. Hier kunnen de protocollen voor communicatie per Azure tool veranderen.

Azure Private Link

Een ander onderdeel van netwerkbeveiliging is het beveiligen van je Azure-servicebronnen in je data science omgeving met virtuele netwerken met behulp van Azure Private Link. Deze service heeft toegang tot Azure Machine Learning via een privé-eindpunt in het virtuele netwerk. Azure Private Link, met private endpoints, is eenvoudig in te stellen en te beheren, en zorgt ervoor dat uw Azure resource beveiligd is, privé toegankelijk is op Azure, en beschermd is tegen datalekken, allemaal via een eenvoudige workflow.

Door jouw netwerkcomponenten te beveiligen voorkom je dat jouw netwerk geïnfiltreerd wordt en begin je voordat het te laat is.

Een voorbeeld van het beschrijven van een bedrijfsregel in een beleidsdefinitie kan zijn dat je bedrijf (vanwege de naleving van regelgeving de fysieke locatie) de inzet van middelen moet controleren, omdat sommige locaties geen toegang mogen krijgen. Daarom kun je een locatiebeleid gebruiken zodat gebruikers alleen middelen kunnen inzetten in West Europa, en bijvoorbeeld niet in China.

Azure Policy

Azure Monitor

Azure Monitor kan je gebruiken om telemetriegegevens van jouw resources in de Azure cloud te verzamelen, analyseren en op te volgen. Met Azure Monitor kan je proactief optreden bij problemen die de prestaties en beveiliging van jouw Azure resource beïnvloeden, door alerts te implementeren.

Azure monitor kan zowel problemen met betrekking tot je applicaties en infrastructuur detecteren als diagnosticeren met Application Insights en VM Insights. Hiermee kun je alerts aanmaken, bekijken en beheren op basis van metrics voor je Azure resource. Bijvoorbeeld wanneer een model deployment is mislukt of wanneer je onbruikbare nodes hebt. Als dit wordt gedetecteerd, kun je in de waarschuwing zien wat de oorzaak is, waardoor je problemen kunt oplossen en diagnosticeren via Log Analytics integraties. Een andere functie van het gebruik van Azure monitor is veranderingsanalyse, die resourcewijzigingen op abonnementsniveau detecteert en ons helpt de oorzaak van het probleem te begrijpen. De eerste stap in het oplossen van je beveiliging is je ervan bewust worden, en met de mogelijkheden van Azure Monitor kan je dat doen.

Azure Log Analytics in Azure Monitor

Azure Log Analytics gebruiken we voor het raadplegen van gegevens, verzameld door de Azure Monitor. Azure Log Analytics bestaat uit functies zoals filteren en sorteren, waardoor het analyseren van de logopslag van Azure Monitor veel gemakkelijker wordt. Opvragen met Azure Log Analytics kan met behulp van de Kusto Query Language (KQL). Log Analytics heeft ook meer geavanceerde functies beschikbaar om statistische analyses van de gegevens te maken, naast visualisatie voor trendanalyse.

Azure Policy

Wanneer je de compliance van je data science omgeving moet beoordelen, kan je Azure Policy gebruiken. Azure Policy werkt door resources te evalueren en te vergelijken met specifieke bedrijfsregels, beschreven in een beleidsdefinitie in JSON-formaat. Deze beleidsregels kun je zelf definiëren.

Als je meerdere bedrijfsregels hebt, geeft het je ook de mogelijkheid om ze te groeperen en een set aan te maken. Een voorbeeld van het beschrijven van een bedrijfsregel in een beleidsdefinitie kan zijn dat je bedrijf (vanwege de naleving van regelgeving m.b.t. de fysieke locatie) de inzet van resources moet controleren, omdat sommige locaties geen toegang mogen krijgen. Daarom kun je een locatiebeleid gebruiken zodat gebruikers alleen resources kunnen inzetten in West Europa, en bijvoorbeeld niet in China.

De definitie van deze regels die je hebt gemaakt kan vervolgens worden toegewezen aan elke resource in Azure. Denk aan resource groepen, abonnementen en resources zoals Azure Machine Learning. Wil je dus compliant zijn en je compliance op grote schaal kunnen beoordelen? Gebruik dan Azure Policy.

Microsoft Defender voor Cloud

Als je een cloud security posture management en workload protection platform tool nodig hebt voor je data science omgeving, kijk dan eens naar Microsoft Defender for Cloud. Deze tool helpt de beveiliging van je resources en workload te beheren in multi-cloudomgevingen, maar ook on-premises of volledig op Azure. Het beoordeelt je beveiliging op basis van Defender for cloud secure score, zodat je beveiligingsontwikkeling traceerbaar is en vooruitgang wordt gemeten. Het werkt ook als een aanbevelingsmotor, want de tool geeft suggesties om veiliger te werken, en de optie om risico's te beoordeling. Waarschuwingen via Defender for the cloud zijn real-time, zodat je eventuele risico's direct kunt voorkomen en er continu voor kunt zorgen dat je data science omgeving actueel en veilig is.

Hoe Intercept de overstap naar Azure aanpakt    

Ben je al overtuigd van het belang van het beveiligen van jouw data science oplossingen op Azure? Of weet je nog niet zeker waar je moet beginnen? Bij Intercept staan we klaar om te helpen! Samen met onze Data Scientist kunnen we je door al jouw eisen loodsen en je begeleiden bij elke stap van jouw data reis.

Benieuwd wat we voor u kunnen betekenen?

Vraag een Data Design of Second Opinion aan

Kom te weten wat ADF, Azure Databricks, Azure Synapse Analytics, of een combinatie van deze tools voor jouw bedrijf kunnen betekenen.

Vraag een data design aan

Data Data and AI Security & Compliance