Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Überblick
Dieser Azure Security and Compliance Blueprint bietet Anleitungen für die Bereitstellung einer Datenanalysearchitektur in Azure, die für die Sammlung, Speicherung und das Abrufen von Finanzdaten geeignet ist, die vom Federal Financial Institution Examination Council (FFIEC) geregelt sind.
Diese Referenzarchitektur, implementierungsleitfaden und das Bedrohungsmodell bieten Kunden eine Grundlage für die Einhaltung der FFIEC-Anforderungen. Diese Lösung bietet einen Basisplan, mit dem Kunden Workloads auf FFIEC-kompatible Weise auf Azure bereitstellen können. Diese Lösung sollte jedoch nicht as-is in einer Produktionsumgebung verwendet werden, da zusätzliche Konfiguration erforderlich ist.
Um FFIEC-Compliance zu erreichen, müssen qualifizierte Prüfer eine Produktionskundenlösung zertifizieren. Prüfungen werden von Prüfern von Mitgliedsagenturen der FFIEC überwacht, darunter der Gouverneursrat des Federal Reserve Systems (FRB), die Federal Deposit Insurance Corporation (FDIC), die National Credit Union Administration (NCUA), das Office of the Comptroller of the Currency (OCC) und das Consumer Financial Protection Bureau (CFPB). Diese Prüfer bestätigen, dass Prüfungen von Prüfern abgeschlossen werden, die unabhängigkeit von der geprüften Institution erhalten. Kunden sind verantwortlich für die Durchführung geeigneter Sicherheits- und Compliancebewertungen jeder lösung, die mit dieser Architektur erstellt wurde, da die Anforderungen je nach den Besonderheiten der Implementierung jedes Kunden variieren können.
Architekturdiagramm und -komponenten
Dieser Azure Security and Compliance Blueprint bietet eine Analyseplattform, auf der Kunden eigene Analysetools erstellen können. Die Referenzarchitektur beschreibt einen generischen Anwendungsfall, in dem Kunden Daten entweder über Massendatenimporte durch den SQL/Data Administrator oder durch Betriebsdatenaktualisierungen über einen operationalen Benutzer eingeben. Beide Arbeitsströme enthalten Azure Functions zum Importieren von Daten in azure SQL-Datenbank. Azure Functions müssen vom Kunden über das Azure-Portal konfiguriert werden, um die Importaufgaben zu verarbeiten, die für die eigenen Analyseanforderungen jedes Kunden eindeutig sind.
Azure bietet eine Vielzahl von Berichterstellungs- und Analysediensten für die Kunden. Diese Lösung umfasst Azure Machine Learning in Verbindung mit Azure SQL-Datenbank, um schnell Daten zu durchsuchen und schnellere Ergebnisse durch intelligentere Modellierung zu liefern. Azure Machine Learning erhöht die Abfragegeschwindigkeiten, indem neue Beziehungen zwischen Datasets ermittelt werden. Nachdem die Daten durch mehrere statistische Funktionen trainiert wurden, können bis zu 7 zusätzliche Abfragepools (insgesamt 8 einschließlich des Kundenservers) mit den gleichen tabellarischen Modellen synchronisiert werden, um Abfrageworkloads zu verteilen und die Reaktionszeiten zu reduzieren.
Für erweiterte Analysen und Berichte können Azure SQL-Datenbanken mit Spaltenspeicherindizes konfiguriert werden. Sowohl Azure Machine Learning- als auch Azure SQL-Datenbanken können als Reaktion auf die Kundennutzung vollständig skaliert oder heruntergefahren werden. Der gesamte SQL-Datenverkehr wird über die Einbeziehung von selbstsignierten Zertifikaten mit SSL verschlüsselt. Als bewährte Methode empfiehlt Azure die Verwendung einer vertrauenswürdigen Zertifizierungsstelle für erhöhte Sicherheit.
Sobald Daten in die Azure SQL-Datenbank hochgeladen und von Azure Machine Learning trainiert wurden, wird sie sowohl vom betrieblichen Benutzer als auch vom SQL/Data-Administrator mit Power BI verdaut. Power BI zeigt Daten intuitiv an und zieht Informationen über mehrere Datasets hinweg zusammen, um einen größeren Einblick zu gewinnen. Die hohe Anpassungsfähigkeit und einfache Integration in die Azure SQL-Datenbank stellt sicher, dass Kunden sie so konfigurieren können, dass sie für eine Vielzahl von Szenarien konfiguriert werden können, die von ihren Geschäftlichen Anforderungen benötigt werden.
Die Lösung verwendet Azure Storage-Konten, die Kunden für die Verwendung der Speicherdienstverschlüsselung konfigurieren können, um die Vertraulichkeit ruhender Daten aufrechtzuerhalten. Azure speichert drei Kopien von Daten innerhalb des ausgewählten Rechenzentrums eines Kunden zur Resilienz. Der geografisch redundante Speicher stellt sicher, dass Daten in ein sekundäres Rechenzentrum, das hunderte Meilen entfernt ist, repliziert und dort wieder als drei Kopien gespeichert werden. Dadurch wird verhindert, dass ein nachteiliges Ereignis im primären Rechenzentrum des Kunden zu einem Datenverlust führt.
Um die Sicherheit zu erhöhen, werden alle Ressourcen in dieser Lösung über Azure Resource Manager als Ressourcengruppe verwaltet. Die rollenbasierte Azure Active Directory-Zugriffssteuerung wird verwendet, um den Zugriff auf bereitgestellte Ressourcen zu steuern, einschließlich ihrer Schlüssel im Azure Key Vault. Die Systemintegrität wird über das Azure Security Center und Azure Monitor überwacht. Kunden konfigurieren beide Überwachungsdienste zum Erfassen von Protokollen und zum Anzeigen der Systemintegrität in einem einzigen, leicht navigierbaren Dashboard.
Azure SQL-Datenbank wird in der Regel über SQL Server Management Studio (SSMS) verwaltet, das von einem lokalen Computer ausgeführt wird, der für den Zugriff auf die Azure SQL-Datenbank über eine sichere VPN- oder ExpressRoute-Verbindung konfiguriert ist. Microsoft empfiehlt, eine VPN- oder ExpressRoute-Verbindung für die Verwaltung und den Datenimport in die Ressourcengruppe der Referenzarchitektur zu konfigurieren.
Diese Lösung verwendet die folgenden Azure-Dienste. Details zur Bereitstellungsarchitektur befinden sich im Abschnitt "Bereitstellungsarchitektur ".
- Application Insights
- Azure Active Directory
- Azure Data Catalog
- Azure-Datenträgerverschlüsselung
- Azure-Ereignisraster
- Azure-Funktionen
- Azure Key Vault (ein Dienst zur sicheren Verwaltung kryptografischer Schlüssel)
- Azure Machine Learning
- Azure Monitor (Protokolle)
- Azure Security Center
- Azure SQL-Datenbank
- Azure Storage
- Virtuelles Azure-Netzwerk
- (1) /16 Netzwerk
- (2) /24 Netzwerke
- (2) Netzwerksicherheitsgruppen
- Power BI-Dashboard
Bereitstellungsarchitektur
Im folgenden Abschnitt werden die Bereitstellungs- und Implementierungselemente beschrieben.
Azure Event Grid: Azure Event Grid ermöglicht Kunden das einfache Erstellen von Anwendungen mit ereignisbasierten Architekturen. Benutzer wählen die Azure-Ressource aus, die sie abonnieren möchten, und weisen dem Ereignishandler oder Webhook einen Endpunkt zu, an den das Ereignis gesendet werden soll. Kunden können Webhook-Endpunkte sichern, indem Sie beim Erstellen eines Ereignisabonnements Abfrageparameter zur Webhook-URL hinzufügen. Azure Event Grid unterstützt nur HTTPS-Webhook-Endpunkte. Azure Event Grid ermöglicht Es Kunden, die Zugriffsebene zu steuern, die verschiedenen Benutzern gewährt wird, um verschiedene Verwaltungsvorgänge auszuführen, z. B. Listenereignisabonnements, Erstellen neuer Abonnements und Generieren von Schlüsseln. Das Ereignisraster verwendet die rollenbasierte Zugriffssteuerung von Azure.
Azure Functions: Azure Functions ist ein serverloser Computedienst, mit dem Benutzer Code bei Bedarf ausführen können, ohne die Infrastruktur explizit bereitstellen oder verwalten zu müssen. Verwenden Sie Azure Functions, um ein Skript oder einen Codeabschnitt als Reaktion auf eine Vielzahl von Ereignissen auszuführen.
Azure Machine Learning: Azure Machine Learning ist eine Data Science-Technik, mit der Computer vorhandene Daten verwenden können, um zukünftige Verhaltensweisen, Ergebnisse und Trends zu prognostizieren.
Azure-Datenkatalog: Der Datenkatalog macht Datenquellen leicht auffindbar und verständlich durch die Benutzer, die die Daten verwalten. Allgemeine Datenquellen können registriert, markiert und nach Finanzdaten gesucht werden. Die Daten verbleiben an ihrem vorhandenen Speicherort, aber eine Kopie der Metadaten wird dem Datenkatalog hinzugefügt, zusammen mit einem Verweis auf den Speicherort der Datenquelle. Die Metadaten werden außerdem indiziert, damit jede Datenquelle per Suchfunktion einfach ermittelt werden kann und für die Benutzer, die sie ermitteln, verständlich ist.
Virtuelles Netzwerk
Die Architektur definiert ein privates virtuelles Netzwerk mit einem Adressraum von 10.200.0.0/16.
Netzwerksicherheitsgruppen: Netzwerksicherheitsgruppen enthalten Zugriffssteuerungslisten, die Datenverkehr innerhalb eines virtuellen Netzwerks zulassen oder verweigern. Netzwerksicherheitsgruppen können zum Sichern des Datenverkehrs auf Subnetz- oder einzelner VM-Ebene verwendet werden. Die folgenden Netzwerksicherheitsgruppen sind vorhanden:
- Eine Netzwerksicherheitsgruppe für Active Directory
- Eine Netzwerksicherheitsgruppe für die Arbeitslast
Jede der Netzwerksicherheitsgruppen hat bestimmte Ports und Protokolle geöffnet, sodass die Lösung sicher und ordnungsgemäß funktionieren kann. Darüber hinaus sind die folgenden Konfigurationen für jede Netzwerksicherheitsgruppe aktiviert:
- Diagnoseprotokolle und Ereignisse werden aktiviert und in einem Speicherkonto gespeichert.
- Azure Monitor-Protokolle sind mit den Diagnoseprotokollen der Netzwerksicherheitsgruppe verbunden.
Subnetze: Jedes Subnetz ist seiner entsprechenden Netzwerksicherheitsgruppe zugeordnet.
Daten im Transit
Azure verschlüsselt standardmäßig alle Kommunikationen mit und aus Azure-Rechenzentren. Alle Transaktionen mit Azure Storage über das Azure-Portal erfolgen über HTTPS.
Ruhende Daten
Die Architektur schützt ruhende Daten durch Verschlüsselung, Datenbanküberwachung und andere Maßnahmen.
Azure Storage: Um die Anforderungen an verschlüsselte Daten im Ruhezustand zu erfüllen, verwendet Azure StorageSpeicherdienstverschlüsselung. Dies hilft dabei, Daten zu schützen und zu sichern, um die von der FFIEC definierten organisatorischen Sicherheitsverpflichtungen und Compliance-Anforderungen zu unterstützen.
Azure Disk Encryption: Azure Disk Encryption nutzt das BitLocker-Feature von Windows, um Die Volumeverschlüsselung für Datenträger bereitzustellen. Die Lösung ist in Azure Key Vault integriert, um die Datenträgerverschlüsselungsschlüssel zu steuern und zu verwalten.
Azure SQL-Datenbank: Die Azure SQL-Datenbankinstanz verwendet die folgenden Datenbanksicherheitsmaßnahmen:
- Die Active Directory-Authentifizierung und -Autorisierung ermöglicht die Identitätsverwaltung von Datenbankbenutzern und anderen Microsoft-Diensten an einem zentralen Ort.
- Die SQL-Datenbanküberwachung verfolgt Datenbankereignisse und schreibt sie in ein Überwachungsprotokoll in einem Azure-Speicherkonto.
- Azure SQL-Datenbank ist für die Verwendung transparenter Datenverschlüsselung konfiguriert, die echtzeitbasierte Verschlüsselung und Entschlüsselung der Datenbank, zugeordneter Sicherungen und Transaktionsprotokolldateien durchführt, um ruhende Informationen zu schützen. Durch transparente Datenverschlüsselung wird gewährleistet, dass gespeicherte Daten nicht unbefugtem Zugriff unterliegen.
- Firewallregeln verhindern den gesamten Zugriff auf Datenbankserver, bis die entsprechenden Berechtigungen erteilt werden. Die Firewall gewährt den Datenbankzugriff auf der Grundlage der Ursprungs-IP-Adresse der jeweiligen Anforderung.
- Die SQL-Bedrohungserkennung ermöglicht die Erkennung und Reaktion auf potenzielle Bedrohungen, da sie auftreten, indem Sicherheitswarnungen für verdächtige Datenbankaktivitäten, potenzielle Sicherheitsrisiken, SQL-Einfügungsangriffe und anomale Datenbankzugriffsmuster bereitgestellt werden.
- Verschlüsselte Spalten stellen sicher, dass vertrauliche Daten niemals als Nur-Text im Datenbanksystem angezeigt werden. Nach dem Aktivieren der Datenverschlüsselung können nur Clientanwendungen oder Anwendungsserver mit Zugriff auf die Schlüssel auf Nur-Text-Daten zugreifen.
- Erweiterte Eigenschaften können verwendet werden, um die Verarbeitung von betroffenen Personen einzustellen, da Benutzer benutzerdefinierte Eigenschaften zu Datenbankobjekten hinzufügen und Daten als "Nicht eingestellt" markieren können, um anwendungslogik zu unterstützen, um die Verarbeitung zugeordneter Finanzdaten zu verhindern.
- mitRow-Level Sicherheit können Benutzer Richtlinien definieren, um den Zugriff auf Daten einzuschränken, um die Verarbeitung einzustellen.
- Das dynamische Maskieren von SQL-Datenbanken beschränkt die Gefährdung vertraulicher Daten, indem die Daten für nicht privilegierte Benutzer oder Anwendungen maskiert werden. Dynamische Datenmasken können potenziell vertrauliche Daten automatisch erkennen und die geeigneten Masken vorschlagen, die angewendet werden sollen. Dadurch können Sie den Zugriff auf Daten identifizieren und reduzieren, sodass sie die Datenbank nicht über nicht autorisierten Zugriff verlässt. Kunden sind dafür verantwortlich, die Einstellungen für die dynamische Datenmaske anzupassen, um ihrem Datenbankschema zu entsprechen.
Identitätsverwaltung
Die folgenden Technologien bieten Funktionen zum Verwalten des Zugriffs auf Daten in der Azure-Umgebung:
- Azure Active Directory ist der cloudbasierte Verzeichnis- und Identitätsverwaltungsdienst von Microsoft mit mehreren Mandanten. Alle Benutzer für diese Lösung werden in Azure Active Directory erstellt, einschließlich Der Benutzer, die auf die Azure SQL-Datenbank zugreifen.
- Die Authentifizierung für die Anwendung wird mit Azure Active Directory ausgeführt. Weitere Informationen finden Sie unter Integrieren von Anwendungen in Azure Active Directory. Darüber hinaus verwendet die Verschlüsselung der Datenbankspalte Azure Active Directory, um die Anwendung bei Azure SQL-Datenbank zu authentifizieren. Weitere Informationen finden Sie unter Schützen vertraulicher Daten in der Azure SQL-Datenbank.
- Mit der rollenbasierten Zugriffssteuerung von Azure können Administratoren differenzierte Zugriffsberechtigungen definieren, um nur den Zugriff zu gewähren, den Benutzer für ihre Aufgaben benötigen. Anstatt jedem Benutzer uneingeschränkte Berechtigungen für Azure-Ressourcen zu erteilen, können Administratoren nur bestimmte Aktionen für den Zugriff auf Daten zulassen. Der Abonnementzugriff ist auf den Abonnementadministrator beschränkt.
- Azure Active Directory Privileged Identity Management ermöglicht Es Kunden, die Anzahl der Benutzer zu minimieren, die Zugriff auf bestimmte Informationen haben. Administratoren können Azure Active Directory Privileged Identity Management verwenden, um privilegierte Identitäten und deren Zugriff auf Ressourcen zu ermitteln, einzuschränken und zu überwachen. Diese Funktionalität kann auch verwendet werden, um administrativen Zugriff bei Bedarf just-in-time zu erzwingen.
- Azure Active Directory Identity Protection erkennt potenzielle Sicherheitsrisiken, die sich auf die Identitäten einer Organisation auswirken, konfiguriert automatisierte Antworten auf erkannte verdächtige Aktionen im Zusammenhang mit den Identitäten einer Organisation und untersucht verdächtige Vorfälle, um geeignete Maßnahmen zu ergreifen, um sie zu beheben.
Sicherheit
Geheime Verwaltung: Die Lösung verwendet Azure Key Vault für die Verwaltung von Schlüsseln und geheimen Schlüsseln. Azure Key Vault trägt zum Schutz von kryptografischen Schlüsseln und Geheimnissen bei, die von Cloudanwendungen und -diensten verwendet werden. Mit den folgenden Azure Key Vault-Funktionen können Kunden solche Daten schützen und darauf zugreifen:
- Erweiterte Zugriffsrichtlinien werden bedarfsbezogen konfiguriert.
- Schlüsseltresor-Zugriffsrichtlinien werden mit den mindestens erforderlichen Berechtigungen für Schlüssel und Geheimnisse definiert.
- Alle Schlüssel und geheimen Schlüssel im Key Vault weisen Ablaufdaten auf.
- Alle Schlüssel im Key Vault werden durch spezielle Hardwaresicherheitsmodule geschützt. Der Schlüsseltyp ist ein HSM Protected 2048-Bit-RSA-Schlüssel.
- Allen Benutzern und Identitäten werden mindestens erforderliche Berechtigungen mit rollenbasierter Zugriffssteuerung gewährt.
- Diagnoseprotokolle für Key Vault sind mit einem Aufbewahrungszeitraum von mindestens 365 Tagen aktiviert.
- Zulässige kryptografische Vorgänge für Schlüssel sind auf diejenigen beschränkt, die erforderlich sind.
Azure Security Center: Mit Azure Security Center können Kunden Sicherheitsrichtlinien über Workloads hinweg zentral anwenden und verwalten, die Gefährdung von Bedrohungen einschränken und Angriffe erkennen und darauf reagieren. Darüber hinaus greift Azure Security Center auf vorhandene Konfigurationen von Azure-Diensten zu, um Konfigurations- und Dienstempfehlungen bereitzustellen, um den Sicherheitsstatus zu verbessern und Daten zu schützen.
Azure Security Center verwendet eine Vielzahl von Erkennungsfunktionen, um Kunden über potenzielle Angriffe zu informieren, die auf ihre Umgebungen abzielen. Diese Warnungen enthalten wertvolle Informationen dazu, was die Warnung ausgelöst hat, welche Ressourcen gezielt sind, und die Quelle des Angriffs. Das Azure Security Center verfügt über eine Reihe vordefinierter Sicherheitswarnungen, die ausgelöst werden, wenn eine Bedrohung oder verdächtige Aktivitäten stattfinden. Mit benutzerdefinierten Warnungsregeln im Azure Security Center können Kunden neue Sicherheitswarnungen basierend auf Daten definieren, die bereits aus ihrer Umgebung gesammelt wurden.
Azure Security Center bietet priorisierte Sicherheitswarnungen und Vorfälle, sodass Kunden potenzielle Sicherheitsprobleme leichter erkennen und beheben können. Für jede erkannte Bedrohung wird ein Bericht zur Bedrohungserkennung generiert, um Die Reaktionsteams bei der Untersuchung und Behebung von Bedrohungen zu unterstützen.
Protokollierung und Überwachung
Azure-Dienste protokollieren umfangreiche System- und Benutzeraktivitäten sowie Systemintegrität:
- Aktivitätsprotokolle: Aktivitätsprotokolle bieten Einblicke in Vorgänge, die für Ressourcen in einem Abonnement ausgeführt werden. Aktivitätsprotokolle können dabei helfen, den Initiator, den Zeitpunkt des Auftretens und den Status eines Vorgangs zu ermitteln.
- Diagnoseprotokolle: Diagnoseprotokolle enthalten alle Protokolle, die von jeder Ressource ausgegeben werden. Zu diesen Protokollen gehören Windows-Ereignissystemprotokolle, Azure Storage-Protokolle, Key Vault-Überwachungsprotokolle sowie Zugriffs- und Firewallprotokolle des Anwendungsgateways. Alle Diagnoseprotokolle schreiben in ein zentralisiertes und verschlüsseltes Azure-Speicherkonto für die Archivierung. Die Aufbewahrung kann bis zu 730 Tage konfiguriert werden, um organisationsspezifische Aufbewahrungsanforderungen zu erfüllen.
Azure Monitor-Protokolle: Diese Protokolle werden in Azure Monitor-Protokollen für die Verarbeitung, Speicherung und Dashboardberichterstattung konsolidiert. Nach der Erfassung werden die Daten in separaten Tabellen für jeden Datentyp in Log Analytics-Arbeitsbereichen organisiert, sodass alle Daten unabhängig von der ursprünglichen Quelle analysiert werden können. Darüber hinaus ist Azure Security Center in Azure Monitor-Protokolle integriert, sodass Kunden Kusto-Abfragen verwenden können, um auf ihre Sicherheitsereignisdaten zuzugreifen und sie mit Daten aus anderen Diensten zu kombinieren.
Die folgenden Azure-Überwachungslösungen sind als Teil dieser Architektur enthalten:
- Active Directory-Bewertung: Die Active Directory-Integritätsprüfungslösung bewertet das Risiko und die Integrität von Serverumgebungen in regelmäßigen Abständen und stellt eine priorisierte Liste der Empfehlungen bereit, die für die bereitgestellte Serverinfrastruktur spezifisch sind.
- SQL-Bewertung: Die SQL-Integritätsprüfungslösung bewertet das Risiko und die Integrität von Serverumgebungen in einem regelmäßigen Intervall und stellt Kunden eine priorisierte Liste der Empfehlungen bereit, die für die bereitgestellte Serverinfrastruktur spezifisch sind.
- Agentengesundheit: Die Agentenstatuslösung berichtet über die Anzahl der bereitgestellten Agenten und deren geografische Verteilung, sowie wie viele Agenten nicht reagieren und wie viele Agenten Betriebsdaten übermitteln.
- Aktivitätsprotokollanalyse: Die Lösung "Aktivitätsprotokollanalyse" unterstützt die Analyse der Azure-Aktivitätsprotokolle für alle Azure-Abonnements für einen Kunden.
Azure Automation: Azure Automation speichert, führt aus und verwaltet Runbooks. In dieser Lösung helfen Runbooks beim Sammeln von Protokollen aus der Azure SQL-Datenbank. Mit der Automatisierungsänderungsnachverfolgungslösung können Kunden Änderungen in der Umgebung leicht erkennen.
Azure Monitor: Azure Monitor hilft Benutzern, die Leistung nachzuverfolgen, die Sicherheit aufrechtzuerhalten und Trends zu identifizieren, indem Organisationen Warnungen überwachen, erstellen und Archivdaten archivieren können, einschließlich der Nachverfolgung von API-Aufrufen in ihren Azure-Ressourcen.
Application Insights: Application Insights ist ein erweiterbarer APM-Dienst (Application Performance Management) für Webentwickler auf mehreren Plattformen. Es erkennt Leistungsanomalien und enthält leistungsstarke Analysetools, um Probleme zu diagnostizieren und zu verstehen, was Benutzer tatsächlich mit der App tun. Es wurde entwickelt, um Benutzern zu helfen, die Leistung und Benutzerfreundlichkeit kontinuierlich zu verbessern.
Bedrohungsmodell
Das Datenflussdiagramm für diese Referenzarchitektur steht zum Download zur Verfügung oder finden Sie unten. Dieses Modell kann Kunden dabei helfen, die Punkte des potenziellen Risikos in der Systeminfrastruktur beim Vornehmen von Änderungen zu verstehen.
Compliancedokumentation
Die Azure Security and Compliance Blueprint – FFIEC Customer Responsibility Matrix listet alle Ziele auf, die von FFIEC benötigt werden. In dieser Matrix wird ausgeführt, ob die Implementierung jedes Ziels in der Verantwortung von Microsoft, dem Kunden oder gemeinsam liegt.
Der Azure Security and Compliance Blueprint – FFIEC Data Analytics Implementation Matrix bietet Informationen dazu, welche FFIEC-Ziele von der Datenanalysearchitektur adressiert werden, einschließlich detaillierter Beschreibungen, wie die Implementierung die Anforderungen der einzelnen erfassten Ziele erfüllt.
Anleitungen und Empfehlungen
VPN und ExpressRoute
Ein sicherer VPN-Tunnel oder ExpressRoute muss so konfiguriert werden, dass eine Sichere Verbindung zu den Ressourcen hergestellt wird, die als Teil dieser Data Analytics-Referenzarchitektur bereitgestellt werden. Durch die entsprechende Einrichtung eines VPN oder ExpressRoutes können Kunden eine Schutzebene für Daten bei der Übertragung hinzufügen.
Durch die Implementierung eines sicheren VPN-Tunnels mit Azure kann eine virtuelle private Verbindung zwischen einem lokalen Netzwerk und einem virtuellen Azure-Netzwerk erstellt werden. Diese Verbindung erfolgt über das Internet und ermöglicht es Kunden, Informationen sicher innerhalb einer verschlüsselten Verbindung zwischen dem Kundennetzwerk und Azure zu übertragen. Standort-zu-Standort-VPN ist eine sichere, ausgereifte Technologie, die seit Jahrzehnten von Unternehmen aller Größen bereitgestellt wurde. Der IPsec-Tunnelmodus wird in dieser Option als Verschlüsselungsmechanismus verwendet.
Da der Datenverkehr im VPN-Tunnel bei einem Standort-zu-Standort-VPN das Internet durchläuft, bietet Microsoft eine andere, noch sicherere Verbindungsoption. Azure ExpressRoute ist eine dedizierte WAN-Verbindung zwischen Azure und einem lokalen Standort oder einem Exchange-Hostinganbieter. Da ExpressRoute-Verbindungen nicht über das Internet gehen, bieten diese Verbindungen mehr Zuverlässigkeit, schnellere Geschwindigkeiten, niedrigere Latenzen und höhere Sicherheit als typische Verbindungen über das Internet. Da es sich hierbei um eine direkte Verbindung des Telekommunikationsanbieters des Kunden handelt, werden die Daten nicht über das Internet übertragen und daher nicht verfügbar gemacht.
Bewährte Methoden für die Implementierung eines sicheren Hybridnetzwerks, das ein lokales Netzwerk auf Azure erweitert, sind verfügbar.
Extrahieren-Transform-Load Prozess
PolyBase kann Daten in Azure SQL-Datenbank laden, ohne dass ein separates Extrakt-, Transformations-, Lade- oder Importtool erforderlich ist. PolyBase ermöglicht den Zugriff auf Daten über T-SQL-Abfragen. Der Business Intelligence- und Analysestapel von Microsoft sowie Drittanbietertools, die mit SQL Server kompatibel sind, können mit PolyBase verwendet werden.
Azure Active Directory Setup
Azure Active Directory ist wichtig für die Verwaltung der Bereitstellung und Bereitstellung des Zugriffs auf Mitarbeiter, die mit der Umgebung interagieren. Ein vorhandenes Windows Server Active Directory kann in vier Klicks in Azure Active Directory integriert werden. Kunden können die bereitgestellte Active Directory-Infrastruktur (Domänencontroller) auch mit einem vorhandenen Azure Active Directory verknüpfen, indem sie die bereitgestellte Active Directory-Infrastruktur zu einer Unterdomäne einer Azure Active Directory-Gesamtstruktur macht.
Verzichtserklärung
- Dieses Dokument dient nur zu Informationszwecken. MICROSOFT ÜBERNIMMT KEINE GEWÄHRLEISTUNGEN, AUSDRÜCKLICHEN, IMPLIZIERTEN ODER GESETZLICHEN GARANTIEN HINSICHTLICH DER INFORMATIONEN IN DIESEM DOKUMENT. Dieses Dokument wird „as-is“ bereitgestellt. Informationen und Ansichten, die in diesem Dokument ausgedrückt werden, einschließlich URL- und anderer Internet-Website-Verweise, können sich ohne vorherige Ankündigung ändern. Kunden, die dieses Dokument lesen, tragen das Risiko, es zu verwenden.
- Dieses Dokument stellt Kunden keine rechtlichen Rechte an geistigem Eigentum in microsoft-Produkten oder -Lösungen zur Verfügung.
- Kunden können dieses Dokument zu internen Referenzzwecken kopieren und verwenden.
- Bestimmte Empfehlungen in diesem Dokument können zu einer erhöhten Daten-, Netzwerk- oder Computeressourcennutzung in Azure führen und die Azure-Lizenz- oder Abonnementkosten eines Kunden erhöhen.
- Diese Architektur soll als Grundlage für Kunden dienen, um sich an ihre spezifischen Anforderungen anzupassen und sollte nicht as-is in einer Produktionsumgebung verwendet werden.
- Dieses Dokument wird als Referenz entwickelt und sollte nicht verwendet werden, um alle Mittel zu definieren, mit denen ein Kunde bestimmte Complianceanforderungen und -vorschriften erfüllen kann. Kunden sollten bei genehmigten Kundenimplementierungen rechtliche Unterstützung von ihrer Organisation anfordern.