O Azure Synapse Analytics é uma plataforma fornecida pela Microsoft, onde oferece um ambiente unificado para ingestão, preparação, orquestração, gerenciamento, monitoramento e análise de dados, permitindo com que as empresas processem grandes quantidades de dados e obtenham insights valiosos. Logo, com a crescente quantidade de dados que estão sendo processados na nuvem, a segurança dos dados torna-se então não só um alerta, mas uma grande preocupação para as empresas que utilizam recursos na nuvem no sentido de “como gerenciar” da forma mais adequada e segura possível.
Neste artigo, vamos explorar sobre 3 principais medidas de segurança que a plataforma oferece para proteger os dados dos clientes contra ameaças externas e internas, garantir a integridade, confidencialidade e disponibilidade de seus dados.
Vamos então conhecer alguns dos recursos de segurança importantes da plataforma:
· Autenticação e Autorização:
Fonte: Freepik
Primeiro vamos entender o que significa cada um:
Autenticação é a verificação das credenciais do usuário para conceder acesso a um sistema, podendo ser única, de dois fatores ou multifator. Já a autorização é a verificação de permissões para acessar áreas ou executar ações em uma aplicação com base em critérios e condições estabelecidos. A autorização pode conceder ou negar permissões, também podemos ouvir ser chamados de controle de acesso ou controle de privilégio.
A autenticação e autorização no Synapse Analytics é baseada em vários recursos de segurança do Azure, onde consegue fornecer de maneira segura e escalável controle dos acessos aos recursos dos serviços. Para isto, utilizam-se o Azure AD (Azure Active Directory) e o Azure RBAC (Role-Based Access Control), onde os mesmos funcionam desta forma:
Autenticação:
O AAD é usado para autenticação no Synapse Analytics. Isso significa que as identidades dos usuários e recursos são gerenciadas pelo AAD.
Os usuários do Synapse Analytics são autenticados usando suas credenciais do AAD. Isso pode incluir senhas, autenticação multifator ou autenticação baseada em certificado.
O Synapse Analytics também suporta logon único (SSO) para usuários que já fizeram logon em outros serviços do Azure usando o mesmo Azure AD/credencial, melhorando a experiência do usuário.
Autorização:
O Azure RBAC (Role-Based Access Control) é usado para autorização no Synapse Analytics. Isso significa que as permissões de acesso aos recursos são gerenciadas usando funções predefinidas do RBAC.
O Synapse Analytics oferece várias funções predefinidas do RBAC, como proprietário(owner), colaborador (contributor) e leitor (reader), que fornecem diferentes níveis de acesso aos recursos do serviço.
Os proprietários de recursos podem conceder permissões a usuários e grupos do AAD atribuindo funções predefinidas ou criando funções personalizadas com permissões granulares específicas (https://learn.microsoft.com/pt-br/azure/role-based-access-control/custom-roles).
O Synapse Analytics também suporta a criação de grupos de acesso, que permitem que os proprietários de recursos concedam permissões a vários usuários ou grupos ao mesmo tempo.
· Criptografia:
Fonte: Freepik
O Azure Synapse Analytics usa criptografia em repouso e em trânsito para proteger seus dados. A criptografia em repouso é fornecida por meio do recurso de criptografia de disco do Azure Storage, que garante que seus dados sejam criptografados enquanto estão armazenados no disco (em repouso).
As tentativas de obter acesso físico ao hardware em que os dados são armazenados e em seguida comprometer os dados contidos, é o que chamamos de ataque contra dados em repouso.
No ASA, utilizamos o Transparent Data Encryption (TDE) com chaves gerenciadas pelo serviço, que é uma solução de criptografia em repouso onde protege os dados armazenados no banco de dados. Como a chave de criptografia é gerenciada pelo serviço, significa que os dados são protegidos mesmo que o servidor seja comprometido. O TDE pode ser habilitado ou desabilitado para cada pool de SQL dedicado no espaço de trabalho.
A criptografia em trânsito é a proteção dos dados enquanto eles são transmitidos entre diferentes partes do serviço. É como se fosse uma senha que deixa os dados protegidos enquanto viajam pela internet.
O serviço usa um protocolo chamado SSL/TLS que criptografa os dados para que só quem tiver a senha (destinatário certo) possa acessá-los. Isso é muito importante para manter informações sensíveis seguras e garantir que ninguém roube ou intercepte os dados no caminho.
O Azure Key Vault é a alternativa de armazenamento de chave recomendada e apresenta uma gestão padronizada em todos os serviços. As chaves são mantidas e administradas em um "cofre de chaves" e a possibilidade de acesso ao cofre de chaves pode ser concedida a usuários ou serviços.
Fonte: Microsoft
· Defender for SQL
O Azure Defender for SQL é um recurso do Azure Defender que pode ser ativado no Synapse Analytics e agir como um “escudo” para proteger bancos de dados SQL.
Ao ser ativado, o Azure Defender for SQL já começa a monitorar as atividades do banco de dados, identificando e alertando sobre possíveis ameaças, alguma atividade maliciosa, tentativas de acesso não autorizado e/ou algum outro tipo de vulnerabilidade. Ele gera relatórios e insights detalhados sobre as ameaças detectadas e as ações que foram tomadas para resolver.
O Azure Defender for SQL usa machine learning para analisar os padrões de acesso e identificar atividades suspeitas e através disto, recomendar medidas corretivas para ajudar a analisar o risco.
Com a utilização do Azure Defender for SQL, adicionamos uma camada a mais de segurança para os bancos de dados no Synapse Analytics contra as ameaças cibernéticas e o mesmo pode ser testado gratuitamente por 30 dias e depois decidir se deseja ou não continuar utilizando.
Em resumo, o Azure Synapse Analytics é uma plataforma altamente segura que oferece uma ampla gama de recursos de segurança para proteger seus dados. Ao adotar essas medidas de segurança, você tem uma grande garantia de que seus dados permaneçam seguros e protegidos em todas as etapas do ciclo de vida dos dados.
Por fim, é importante lembrar que a segurança é uma responsabilidade compartilhada. Embora o Azure Synapse Analytics forneça medidas avançadas de segurança, é importante que seja implementado as boas práticas recomendadas de segurança de dados, como por exemplo o uso de senhas fortes, configuração de políticas de segurança de rede e o monitoramento regular de atividades suspeitas.
Links de referências:
https://learn.microsoft.com/pt-br/azure/role-based-access-control/overview
https://learn.microsoft.com/pt-br/azure/role-based-access-control/custom-roles
https://learn.microsoft.com/pt-br/azure/synapse-analytics/security/workspaces-encryption Protect your SQL Server on-premises, in Azure, and in multicloud - Microsoft Security Blog
Autenticação x autorização – qual é a diferença? (freecodecamp.org)