Data and Analytics
marzo 6, 2025

Azure Data Factory y la seguridad: Protege tus datos desde hoy

Compartir
Twittear

En un panorama liderado por los datos y donde las empresas se suelen sentir sobrepasadas por la cantidad de los mismos que manejan, nos encontramos con una situación empresarial que necesita un cambio urgente.

Hace unos meses os compartíamos un artículo sobre todos los detalles de Azure Data Factory, pero en este nos vamos a centrar en sus consideraciones de seguridad. ¡Toma nota!

Azure Data Factory Security

Azure Data Factory es una solución de datos en la nube que permite ingerir, preparar y transformar los datos a gran escala. Facilita su uso para una amplia variedad de casos de uso, como ingeniería de datos, migración de los paquetes locales a Azure, integración de datos operativos, análisis, ingesta de datos en almacenes, etc.

Los recursos de administración de Data Factory están integrados en la infraestructura de seguridad de Azure y aplican todas las medidas de seguridad que ofrece Azure. Esto se debe a que, en una solución de Data Factory, se crean una o varias canalizaciones de datos, las cuales son una agrupación lógica de actividades que realizan una tarea.

Aunque Data Factory está disponible en algunas regiones, el servicio de movimiento de datos está disponible globalmente para garantizar el cumplimiento de datos, la eficiencia y menores costos de salida de la red.

Aunque incluye Azure Integration Runtime y el entorno de ejecución de integración autohospedado, no almacena ningún dato temporal, dato de caché ni registro, excepto las credenciales de servicio vinculadas de los almacenes de datos en la nube, que se cifran mediante certificados.

Con esta solución se pueden crear flujos de trabajo controlados por datos para orquestar el movimiento de los datos entre los almacenes de datos admitidos y organizar el procesamiento de los datos mediante servicios de proceso en otra regiones o entornos locales.

Consideraciones de seguridad

Las consideraciones de seguridad a tener en cuenta en los dos escenarios de movimiento de datos son: escenario de nube (el origen y el destino son públicamente accesibles a través de Internet) y escenario híbrido (el origen o el destino están detrás de un firewall o dentro de una red corporativa local).

Escenarios de nube

Aplica a servicios cloud como Azure Storage, Azure Synapse Analytics, Azure SQL Database o Azure Data Lake Store, entre otros.

Para la protección de las credenciales del almacén de datos tenemos dos opciones:

  • Almacenamiento de credenciales cifradas en un almacén administrado de Azure Data Factory: ayuda a proteger las credenciales del almacén de datos cifrándolas con certificados administrados por Microsoft.
  • Almacenamiento de credenciales en Azure Key Vault: también se puede almacenar la credencial del almacén de datos ahí, pues Data Factory recupera la credencial durante la ejecución de una actividad.

La centralización del almacenamiento de los secretos de aplicación permite controlar su distribución. Key Vault reduce las posibilidades de que se puedan filtrar por accidente los secretos. Las aplicaciones pueden acceder de manera protegida a la información que necesitan a través de URI. Estos URI permiten que las aplicaciones recuperen versiones específicas de un secreto.

Por su parte, si el almacén de atos en la nube es compatible con HTTPS o TLS, todas las transferencias de datos entre los servicios de movimiento de datos de Data Factory y un almacén de datos en la nube se realizan a través del canal seguro HTTPS o TLS.

Escenarios híbridos

Los escenarios híbridos necesitan que el entorno de ejecución de integración autohospedado se instale en una red local o en una virtual (Azure), o bien dentro de una nube privada virtual (Amazon). El entorno de ejecución de integración autohospedado debe poder tener acceso a los almacenes de datos locales.

El canal de comandos permite la comunicación entre los servicios de movimiento de datos de Data Factory y el entorno de ejecución de integración autohospedado. La comunicación contiene información relacionada con la actividad. El canal de datos se usa para transferir datos entre los almacenes de datos locales y los almacenes de datos en la nube.

Mejores prácticas para asegurar el movimiento de datos en Azure Data Factory

Garantizar el movimiento seguro de datos es fundamental, especialmente cuando estos son sensibles, para así proteger la confidencialidad, la integridad y el cumplimiento normativo.

Alguno de los pasos y mejores prácticas a seguir son:

  1. Utilizar conexiones seguras: para garantizar la seguridad en la transferencia de datos, se recomienda utilizar siempre protocolos como HTTPS o SSL/TLS. Así se pueden cifrar mientras se transmiten y se protegen de accesos no deseados o alteraciones.
  2. Implementar el cifrado: con funciones de cifrado integradas se pueden proteger los datos confidenciales mientras están en reposo. Para preservar la confidencialidad, Key Vault ayuda en el cifrado de canalizaciones de datos y sistemas de almacenamiento.
  3. Control de acceso basado en roles (RBAC): se puede usar esta solución para aplicar el principio del mínimo privilegio, poniendo en práctica el RBAC. Basándose en los requisitos de acceso a los datos de cada usuario y principio de servicio, se definen y asignan responsabilidades.
  4. Almacenar credenciales y de forma segura: mantén las credenciales fuera de las canalizaciones de Azure Data Factory codificándolas. Además, para mantener una autenticación segura durante las operaciones de movimiento de datos, lo mejor es restringir quién tiene acceso a los secretos almacenados utilizando identidades gestionadas y controles de acceso.
  5. Habilitar el linaje de datos y la supervisión: habilita el seguimiento y la supervisión del linaje de datos para seguir el flujo de datos a través de canalizaciones y operaciones. Así se puede registrar información sobre los procesos de transporte de datos, como el origen, el destino y las actividades de transformación, incluidas las funciones de registro y auditoría.
  6. Implementar el enmascaramiento y la redacción de datos: para exponer u ocultar datos de forma selectiva en función de las responsabilidades y los permisos de los usuarios, se puede utilizar el enmascaramiento dinámico de datos (DDM). Para reemplazar o eliminar fragmentos de datos sensibles antes de su transmisión o almacenamiento, lo recomendable es aplicar reglas de redacción.
  7. Redes seguras e integración VNet: configura reglas de cortafuegos y grupos de seguridad de red (NSG) para limitar el tráfico entrante y saliente a direcciones IP y redes virtuales fiables.
  8. Supervisión continua de la seguridad y el cumplimiento: adoptar procedimientos de “security monitoring” es fundamental a la hora de identificar y abordar rápidamente cualquier amenaza de seguridad. Azure Sentinel y Security Center pueden ayudar a supervisar las actividades de movimiento de datos y reducir proactivamente las amenazas gracias a auditorías y evaluaciones de cumplimiento.
  9. Actualizar y parchear: es muy importante actualizar todos los recursos de ADF con las novedades y correcciones más recientes (servicios vinculados, canalizaciones y tiempos de ejecución de integración). Así se deberán configurar pipelines de despliegue automáticos para garantizar un mantenimiento y actualizaciones sin problemas.
  10. Formar a los usuarios: la concienciación y formación sobre seguridad es fundamental en todo este proceso. Compartir las mejores prácticas para mover datos de forma segura, como planes de respuesta ante incidentes, técnicas de manejo de datos y sistemas de autenticación, fomentará una cultura de responsabilidad y concienciación sobre la seguridad en tu empresa.

Implementación Azure Data Factory de forma segura

Las organizaciones pueden mejorar su postura de seguridad de Azure Data Factory y garantizar un tránsito de datos seguro a lo largo del proceso de integración de datos adhiriéndose a las mejores prácticas y consejos que os compartimos más arriba.

Ante un entorno empresarial tan cambiante, la capacidad de analizar datos al instante se ha convertido en una necesidad y, gracias a él, las empresas consiguen la capacidad de monitorear eventos en tiempo real.

Gracias a eso podrás reaccionar rápidamente a los cambios y resolver problemas potenciales. Y en Plain Concepts te ayudamos a sacarle el máximo partido.

Te proponemos una estrategia de data en la que puedas obtener valor y sacar el máximo rendimiento de tus datos.

Te ayudamos a descubrir cómo obtener valor de tus datos, a controlar y analizar todas tus fuentes de datos y utilizar los datos para tomar decisiones inteligentes y acelerar tu negocio:

  • Evaluación de la estrategia y el análisis de datos: evaluamos la tecnología de datos para la síntesis de la arquitectura y la planificación de la implantación.
  • Análisis moderno y evaluación de almacenes de datos: te proporcionamos una visión clara del modelo moderno de almacenamiento de datos a través de la comprensión de las mejores prácticas sobre cómo preparar los datos para el análisis.
  • Evaluación del análisis exploratorio de datos: observamos los datos antes de hacer suposiciones para que obtengas una mejor comprensión de los conjuntos de datos disponibles.
  • Acelerador Digital Twin y Smart Factory: creamos un marco para ofrecer soluciones integradas de gemelos digitales de fabricación y cadena de suministro en la nube.

Además, te ofrecemos un Framework de adopción de Microsoft Fabric con el que evaluaremos las soluciones tecnológicas y de negocio, haremos un roadmap claro para la estrategia del dato, visualizamos los casos de uso que marquen la diferencia en tu compañía, tenemos en cuenta el dimensionamiento de equipos, tiempos y costes, estudiamos la compatibilidad con plataformas de datos existentes y migramos soluciones de Power BI, Synapse y Datawarehouse a Fabric.

Elena Canorea
Autor
Elena Canorea
Communications Lead
LinkedIn
Compartir
Twittear

Noticias Relacionadas