Strategie přístupu k datům
PLATÍ PRO:
Azure Data Factory Azure Synapse Analytics
Tip
Vyzkoušejte si službu Data Factory v Microsoft Fabric, řešení pro analýzy typu all-in-one pro podniky. Microsoft Fabric zahrnuje všechno od přesunu dat až po datové vědy, analýzy v reálném čase, business intelligence a vytváření sestav. Přečtěte si, jak začít používat novou zkušební verzi zdarma.
Zásadním cílem zabezpečení organizace je chránit úložiště dat před náhodným přístupem přes internet, může se jednat o místní úložiště dat nebo cloudové úložiště dat SaaS.
Cloudové úložiště dat obvykle řídí přístup pomocí následujících mechanismů:
- Private Link z virtuální sítě do zdrojů dat s povolenými privátními koncovými body
- Pravidla brány firewall, která omezují připojení podle IP adresy
- Mechanismy ověřování, které vyžadují, aby uživatelé prokázali svou identitu
- Mechanismy autorizace, které omezují uživatele na konkrétní akce a data
Tip
Díky zavedení rozsahu statických IP adres teď můžete povolit rozsahy IP adres pro konkrétní oblast prostředí Azure Integration Runtime, abyste měli jistotu, že v cloudových úložištích dat nebudete muset povolit všechny IP adresy Azure. Tímto způsobem můžete omezit IP adresy, které mají povolený přístup k úložištům dat.
Poznámka:
Rozsahy IP adres jsou blokované pro Azure Integration Runtime a v současné době se používají jenom pro přesun dat, kanál a externí aktivity. Toky dat a prostředí Azure Integration Runtime, které umožňují spravovanou virtuální síť, teď tyto rozsahy IP adres nepoužívají.
To by mělo fungovat v mnoha scénářích a my chápeme, že by byla žádoucí jedinečná statická IP adresa na prostředí Integration Runtime, ale v současné době by to nebylo možné pomocí prostředí Azure Integration Runtime, což je bezserverová. V případě potřeby můžete vždy nastavit místní prostředí Integration Runtime a použít s ní statickou IP adresu.
Strategie přístupu k datům prostřednictvím služby Azure Data Factory
- Private Link – Ve spravované virtuální síti Azure Data Factory můžete vytvořit prostředí Azure Integration Runtime a bude využívat privátní koncové body k zabezpečenému připojení k podporovaným úložištům dat. Provoz mezi spravovanou virtuální sítí a zdroji dat cestuje do páteřní sítě Microsoftu a není přístupný veřejné síti.
- Důvěryhodná služba – Azure Storage (Blob, ADLS Gen2) podporuje konfiguraci brány firewall, která umožňuje vybrat důvěryhodné služby platformy Azure pro zabezpečený přístup k účtu úložiště. Důvěryhodné služby vynucují ověřování spravovaných identit, což zajišťuje, že se k tomuto úložišti nemůže připojit žádná jiná datová továrna, pokud to neschválili s použitím spravované identity. Další podrobnosti najdete v tomto blogu. Proto je to extrémně bezpečné a doporučené.
- Jedinečná statická IP adresa – Budete muset nastavit místní prostředí Integration Runtime, abyste získali statickou IP adresu pro konektory služby Data Factory. Tento mechanismus zajišťuje blokování přístupu ze všech ostatních IP adres.
- Rozsah statických IP adres – IP adresy prostředí Azure Integration Runtime můžete použít k jeho povolení v úložišti (například S3, Salesforce atd.). Určitě omezuje IP adresy, které se můžou připojit k úložišti dat, ale také závisí na ověřovacích a autorizačních pravidlech.
- Značka služby – Značka služby představuje skupinu předpon IP adres z dané služby Azure (například Azure Data Factory). Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby jako změny adres a minimalizuje složitost častých aktualizací pravidel zabezpečení sítě. Je užitečné při filtrování přístupu k datům v úložištích dat hostovaných v IaaS ve virtuální síti.
- Povolit služby Azure – Některé služby umožňují všem službám Azure připojit se k ní v případě, že zvolíte tuto možnost.
Další informace o podporovaných mechanismech zabezpečení sítě v úložištích dat v prostředí Azure Integration Runtime a prostředí Integration Runtime v místním prostředí najdete v následujících dvou tabulkách.
Azure Integration Runtime
Úložiště dat Podporovaný mechanismus zabezpečení sítě v úložištích dat Private Link Důvěryhodná služba Rozsah statických IP adres Značky služeb Povolit služby Azure Úložiště dat Azure PaaS Azure Cosmos DB Ano - Ano - Yes Průzkumník dat Azure - - Ano* Ano* - Azure Data Lake Gen1 - - Ano - Yes Azure Database for MariaDB, MySQL, PostgreSQL - - Ano - Yes Soubory Azure Ano - Yes - . Azure Blob Storage a ADLS Gen2 Ano Ano (jenom ověřování MSI) Ano - . Azure SQL DB, Azure Synapse Analytics), SQL Ml Ano (pouze Azure SQL DB/DW) - Ano - Yes Azure Key Vault (pro načítání tajných kódů/ připojovací řetězec) ano Ano Yes - - Další úložiště dat PaaS/ SaaS AWS S3, SalesForce, Google Cloud Storage atd. - - Ano - - Snowflake Ano - Yes - - Azure IaaS SQL Server, Oracle atd. - - Ano Yes - Místní IaaS SQL Server, Oracle atd. - - Ano - - *Platí pouze v případě, že je Azure Data Explorer vložený do virtuální sítě a rozsah IP adres je možné použít na skupinu zabezpečení sítě nebo bránu firewall.
Místní prostředí Integration Runtime (v místní síti nebo virtuální síti)
Úložiště dat Podporovaný mechanismus zabezpečení sítě v úložištích dat Statická IP adresa Důvěryhodné služby Úložiště dat Azure PaaS Azure Cosmos DB Ano - Průzkumník dat Azure - - Azure Data Lake Gen1 Ano - Azure Database for MariaDB, MySQL, PostgreSQL Ano - Soubory Azure Ano - Azure Blob Storage a ADLS Gen2 Ano Ano (jenom ověřování MSI) Azure SQL DB, Azure Synapse Analytics), SQL Ml Ano - Azure Key Vault (pro načítání tajných kódů/ připojovací řetězec) Ano Yes Další úložiště dat PaaS/ SaaS AWS S3, SalesForce, Google Cloud Storage atd. Ano - Azure laaS SQL Server, Oracle atd. Ano - Místní laaS SQL Server, Oracle atd. Ano -
Související obsah
Další informace najdete v následujících souvisejících článcích: