Stratégies d’accès aux donnéesData access strategies

S’APPLIQUE À : Azure Data Factory Azure Synapse Analytics

Un objectif de sécurité vital d’une organisation est de protéger ses magasins de données contre tout accès aléatoire à partir d’Internet, qu’il s’agisse de magasins de données SaaS locaux ou cloud.A vital security goal of an organization is to protect their data stores from random access over the internet, may it be an on-premise or a Cloud/ SaaS data store.

En général, un magasin de données cloud contrôle l’accès à l’aide des mécanismes ci-dessous :Typically a cloud data store controls access using the below mechanisms:

  • Liaison privée d’un réseau virtuel à des sources de données avec point de terminaison privéPrivate Link from a Virtual Network to Private Endpoint enabled data sources
  • Règles de pare-feu qui limitent la connectivité par adresse IP.Firewall rules that limit connectivity by IP address
  • Mécanismes d’authentification qui obligent les utilisateurs à prouver leur identité.Authentication mechanisms that require users to prove their identity
  • Mécanismes d’autorisation qui restreignent les utilisateurs à certaines actions et données.Authorization mechanisms that restrict users to specific actions and data

Conseil

Avec l’introduction de la plage d’adresses IP statiques, vous pouvez désormais autoriser en les mettant en liste verte des plages d’adresses IP pour la région du runtime d’intégration Azure, afin de vous assurer que vous n’avez pas à autoriser toutes les adresses IP Azure dans vos magasins de données cloud.With the introduction of Static IP address range, you can now allow list IP ranges for the particular Azure integration runtime region to ensure you don’t have to allow all Azure IP addresses in your cloud data stores. De cette façon, vous pouvez limiter les adresses IP qui sont autorisées à accéder aux magasins de données.This way, you can restrict the IP addresses that are permitted to access the data stores.

Notes

Les plages d’adresses IP sont bloquées pour Azure Integration Runtime et sont actuellement utilisées uniquement pour le déplacement des données, le pipeline et les activités externes.The IP address ranges are blocked for Azure Integration Runtime and is currently only used for Data Movement, pipeline and external activities. Les dataflows et Azure Integration Runtime qui activent le réseau virtuel géré n’utilisent plus ces plages d’adresses IP.Dataflows and Azure Integration Runtime that enable Managed Virtual Network now do not use these IP ranges.

Cela devrait fonctionner dans de nombreux scénarios et nous savons bien qu’une adresse IP statique unique par runtime d’intégration serait souhaitable. Ce ne serait cependant pas actuellement possible à l’aide ’un runtime d’intégration Azure, qui opère sans serveur.This should work in many scenarios, and we do understand that a unique Static IP address per integration runtime would be desirable, but this wouldn't be possible using Azure Integration Runtime currently, which is serverless. Si nécessaire, vous pouvez toujours configurer un runtime d’intégration auto-hébergé et l’utiliser avec votre adresse IP statique.If necessary, you can always set up a Self-hosted Integration Runtime and use your Static IP with it.

Stratégies d’accès aux données via Azure Data FactoryData access strategies through Azure Data Factory

  • Azure Private Link  : vous pouvez créer un runtime d’intégration Azure au sein d’un réseau virtuel géré Azure Data Factory et il tirera parti des points de terminaison privés pour se connecter en toute sécurité aux magasins de données pris en charge.Private Link - You can create an Azure Integration Runtime within Azure Data Factory Managed Virtual Network and it will leverage private endpoints to securely connect to supported data stores. Le trafic entre le réseau virtuel géré et les sources de données transite par le réseau principal de Microsoft et n’est pas exposé au réseau public.Traffic between Managed Virtual Network and data sources travels the Microsoft backbone network and are not exposure to public network.
  • Service approuvé  : le Stockage Azure (BLOB, ADLS Gen2) prend en charge une configuration de pare-feu qui permet à certains services de plateforme Azure approuvés d’accéder au compte de stockage en toute sécurité .Trusted Service - Azure Storage (Blob, ADLS Gen2) supports firewall configuration that enables select trusted Azure platform services to access the storage account securely. Les services approuvés appliquent une authentification d’identité gérée, qui garantit qu’aucune autre fabrique de données ne peut se connecter à ce stockage, sauf si elle est autorisée à le faire à l’aide de son identité gérée.Trusted Services enforces Managed Identity authentication, which ensures no other data factory can connect to this storage unless approved to do so using it's managed identity. Pour plus d’informations, lisez ce blog .You can find more details in this blog. Cette solution est donc extrêmement sécurisée et recommandée.Hence, this is extremely secure and recommended.
  • Adresse IP statique unique : vous devez configurer un runtime d’intégration auto-hébergé pour obtenir une adresse IP statique pour les connecteurs Data Factory.Unique Static IP - You will need to set up a self-hosted integration runtime to get a Static IP for Data Factory connectors. Ce mécanisme garantit que vous pouvez bloquer l’accès à partir de toutes les autres adresses IP.This mechanism ensures you can block access from all other IP addresses.
  • Plage d’adresses IP statiques  : vous pouvez utiliser les adresses IP d’Azure Integration Runtime pour les autoriser par mise en liste verte dans votre stockage (par exemple, S3, Salesforce, etc.).Static IP range - You can use Azure Integration Runtime's IP addresses to allow list it in your storage (say S3, Salesforce, etc.). Cela restreint certainement les adresses IP qui peuvent se connecter aux magasins de données, mais dépend également des règles d’authentification/autorisation.It certainly restricts IP addresses that can connect to the data stores but also relies on Authentication/ Authorization rules.
  • Balise de service  : une balise de service représente un groupe de préfixes d’adresses IP d’un service Azure donné (comme Azure Data Factory).Service Tag - A service tag represents a group of IP address prefixes from a given Azure service (like Azure Data Factory). Microsoft gère les préfixes d’adresses englobés par l’étiquette de service et met à jour automatiquement l’étiquette de service quand les adresses changent, ce qui réduit la complexité des mises à jour fréquentes relatives aux règles de sécurité réseau.Microsoft manages the address prefixes encompassed by the service tag and automatically updates the service tag as addresses change, minimizing the complexity of frequent updates to network security rules. Cette solution est utile lors du filtrage de l’accès aux données sur des magasins de données hébergés par IaaS dans un réseau virtuel.It is useful when filtering data access on IaaS hosted data stores in Virtual Network.
  • Autoriser les services Azure : certains services vous permettent d’autoriser tous les services Azure à s’y connecter si vous choisissez cette option.Allow Azure Services - Some services lets you allow all Azure services to connect to it in case you choose this option.

Pour plus d’informations sur les mécanismes de sécurité réseau pris en charge sur les banques de données dans Azure Integration Runtime et le runtime d’intégration auto-hébergé, voir les deux tableaux ci-dessous.For more information about supported network security mechanisms on data stores in Azure Integration Runtime and Self-hosted Integration Runtime, see below two tables.

  • Azure Integration RuntimeAzure Integration Runtime

    Magasins de donnéesData Stores Mécanisme de sécurité réseau pris en charge sur les banques de donnéesSupported Network Security Mechanism on Data Stores Private LinkPrivate Link Service approuvéTrusted Service Plage d’adresses IP statiquesStatic IP range Étiquettes de serviceService Tags Autoriser les services AzureAllow Azure Services
    Magasins de données PaaS AzureAzure PaaS Data stores Azure Cosmos DBAzure Cosmos DB OuiYes - OuiYes - OuiYes
    Explorateur de données AzureAzure Data Explorer - - Oui*Yes* Oui*Yes* -
    Azure Data Lake Gen1Azure Data Lake Gen1 - - OuiYes - OuiYes
    Azure Database for MariaDB, MySQL et PostgreSQLAzure Database for MariaDB, MySQL, PostgreSQL - - OuiYes - OuiYes
    Stockage Fichier AzureAzure File Storage OuiYes - OuiYes - ..
    Stockage Azure (Blob, ADLS Gen2)Azure Storage (Blob, ADLS Gen2) OuiYes Oui (authentification MSI uniquement)Yes (MSI auth only) OuiYes - ..
    Azure SQL DB, Azure Synapse Analytics, SQL MlAzure SQL DB, Azure Synapse Analytics), SQL Ml Oui (uniquement Azure SQL DB/DW)Yes (only Azure SQL DB/DW) - OuiYes - OuiYes
    Azure Key Vault (pour l’extraction de secrets/chaîne de connexion)Azure Key Vault (for fetching secrets/ connection string) Ouiyes OuiYes OuiYes - -
    Autres magasins de données PaaS/SaaSOther PaaS/ SaaS Data stores AWS S3, SalesForce, Google Cloud Storage, etc.AWS S3, SalesForce, Google Cloud Storage, etc. - - OuiYes - -
    IaaS AzureAzure laaS SQL Server, Oracle, etc.SQL Server, Oracle, etc. - - OuiYes OuiYes -
    IaaS localeOn-premise laaS SQL Server, Oracle, etc.SQL Server, Oracle, etc. - - OuiYes - -

    *S’applique uniquement quand Data Explorer est injecté par un réseau virtuel et que la plage d’adresses IP peut être appliquée à un groupe de sécurité réseau/pare-feu.*Applicable only when Azure Data Explorer is virtual network injected, and IP range can be applied on NSG/ Firewall.

  • Runtime d’intégration auto-hébergé (dans un réseau virtuel/en local)Self-hosted Integration Runtime (in Vnet/on-premise)

    Magasins de donnéesData Stores Mécanisme de sécurité réseau pris en charge sur les banques de donnéesSupported Network Security Mechanism on Data Stores Adresse IP statiqueStatic IP Services approuvésTrusted Services
    Magasins de données PaaS AzureAzure PaaS Data stores Azure Cosmos DBAzure Cosmos DB OuiYes -
    Explorateur de données AzureAzure Data Explorer - -
    Azure Data Lake Gen1Azure Data Lake Gen1 OuiYes -
    Azure Database for MariaDB, MySQL et PostgreSQLAzure Database for MariaDB, MySQL, PostgreSQL OuiYes -
    Stockage Fichier AzureAzure File Storage OuiYes -
    Stockage Azure (Blog, ADLS Gen2)Azure Storage (Blog, ADLS Gen2) OuiYes Oui (authentification MSI uniquement)Yes (MSI auth only)
    Azure SQL DB, Azure Synapse Analytics, SQL MlAzure SQL DB, Azure Synapse Analytics), SQL Ml OuiYes -
    Azure Key Vault (pour l’extraction de secrets/chaîne de connexion)Azure Key Vault (for fetching secrets/ connection string) OuiYes OuiYes
    Autres magasins de données PaaS/SaaSOther PaaS/ SaaS Data stores AWS S3, SalesForce, Google Cloud Storage, etc.AWS S3, SalesForce, Google Cloud Storage, etc. OuiYes -
    IaaS AzureAzure laaS SQL Server, Oracle, etc.SQL Server, Oracle, etc. OuiYes -
    IaaS localeOn-premise laaS SQL Server, Oracle, etc.SQL Server, Oracle, etc. OuiYes -

Étapes suivantesNext steps

Pour plus d’informations, consultez les articles connexes suivants :For more information, see the following related articles: