Az adatátvitel biztonsági szempontjai az Azure Data Factoryben
A KÖVETKEZŐKRE VONATKOZIK:
Azure Data Factory Azure Synapse Analytics
Ez a cikk azokat az alapvető biztonsági infrastruktúrát ismerteti, amelyeket Azure Data Factory adattovábbítási szolgáltatások az adatok védelmének elősegítésére használnak. A Data Factory felügyeleti erőforrásai az Azure biztonsági infrastruktúrájára épülnek, és az Azure által kínált összes lehetséges biztonsági intézkedést használják.
A Data Factory-megoldásokkal egy vagy több adatfolyamatot is létrehozhat. A folyamatok olyan tevékenységek logikus csoportosításai, amelyek együttesen vesznek részt egy feladat végrehajtásában. Ezek a folyamatok abban a régióban találhatók, ahol az adat-előállító létre lett hozva.
Bár a Data Factory csak néhány régióban érhető el, az adatáthelyezési szolgáltatás globálisan elérhető az adatmegfelelőség, a hatékonyság és a hálózati kimenő forgalom költségeinek csökkentése érdekében.
Azure Data Factory beleértve az Azure Integration Runtime és a saját üzemeltetésű Integration Runtime nem tárol ideiglenes adatokat, gyorsítótárazási adatokat vagy naplókat, kivéve a felhőalapú adattárak társított szolgáltatásbeli hitelesítő adatait, amelyek tanúsítványokkal vannak titkosítva. A Data Factoryvel adatvezérelt munkafolyamatokat hozhat létre az adatok támogatott adattárak közötti áthelyezésének vezénylésére, valamint az adatok feldolgozására más régiókban vagy helyszíni környezetben található számítási szolgáltatásokkal . A munkafolyamatokat SDK-k és az Azure Monitor használatával is monitorozhatja és kezelheti.
A Data Factory a következő tanúsítványokkal rendelkezik:
| CSA STAR tanúsítvány |
|---|
| ISO 20000-1:2011 |
| ISO 22301:2012 |
| ISO 27001:2013 |
| ISO 27017:2015 |
| ISO 27018:2014 |
| ISO 9001:2015 |
| SOC 1, 2, 3 |
| HIPAA BAA |
| HITRUST |
Ha érdekli az Azure-megfelelőség, és hogy az Azure hogyan biztosítja a saját infrastruktúráját, látogasson el a Microsoft Adatvédelmi központba. Az Összes Azure-megfelelőségi ajánlat legújabb listájáért tekintse meg a következőt: . https://aka.ms/AzureCompliance
Ebben a cikkben a következő két adatáthelyezési forgatókönyv biztonsági szempontjait tekintjük át:
- Felhőbeli forgatókönyv: Ebben a forgatókönyvben a forrás és a cél is nyilvánosan elérhető az interneten keresztül. Ilyenek például a felügyelt felhőtárhely-szolgáltatások, például az Azure Storage, a Azure Synapse Analytics, a Azure SQL Database, az Azure Data Lake Store, az Amazon S3, az Amazon Redshift, az SaaS-szolgáltatások, például a Salesforce, valamint az olyan webes protokollok, mint az FTP és az OData. A támogatott adatforrások teljes listájának megkeresése a támogatott adattárakban és formátumokban.
- Hibrid forgatókönyv: Ebben a forgatókönyvben a forrás vagy a cél tűzfal mögött vagy egy helyszíni vállalati hálózaton belül van. Vagy az adattár privát hálózatban vagy virtuális hálózaton (leggyakrabban a forrásban) található, és nem érhető el nyilvánosan. A virtuális gépeken üzemeltetett adatbázis-kiszolgálók is ebbe a forgatókönyvbe tartoznak.
Megjegyzés
Ez a cikk az Azure Az PowerShell-modult használja, amely az Azure-ral való interakcióhoz ajánlott PowerShell-modul. Az Az PowerShell-modul használatának megkezdéséhez lásd az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.
Felhőbeli forgatókönyvek
Az adattár hitelesítő adatainak védelme
- A titkosított hitelesítő adatokat egy Azure Data Factory felügyelt tárolóban tárolja. A Data Factory a Microsoft által kezelt tanúsítványokkal titkosítja az adattár hitelesítő adatait. Ezeket a tanúsítványokat kétévente rotáljuk (beleértve a tanúsítványok megújítását és a hitelesítő adatok áttelepítését). Az Azure Storage biztonságáról további információt az Azure Storage biztonsági áttekintésében talál.
- A hitelesítő adatokat az Azure Key Vault tárolja. Az adattár hitelesítő adatait az Azure Key Vault is tárolhatja. A Data Factory lekéri a hitelesítő adatokat egy tevékenység végrehajtása során. További információ: Hitelesítő adat tárolása az Azure Key Vaultban.
Adattitkosítás átvitel közben
Ha a felhőbeli adattár támogatja a HTTPS-t vagy a TLS-t, a Data Factory adatátviteli szolgáltatásai és a felhőbeli adattárak közötti adatátvitel biztonságos https- vagy TLS-csatornán keresztül történik.
Megjegyzés
A Azure SQL Database és a Azure Synapse Analyticshez való minden kapcsolat titkosítást (SSL/TLS) igényel, amíg az adatok az adatbázisba vagy onnan érkező adatokba kerülnek át. Amikor JSON használatával hoz létre egy folyamatot, adja hozzá a titkosítási tulajdonságot, és állítsa true (igaz) értékre a kapcsolati sztring. Az Azure Storage esetében a HTTPS-t használhatja a kapcsolati sztring.
Megjegyzés
Ha engedélyezni szeretné az átvitel közbeni titkosítást, miközben adatokat helyez át az Oracle-ből, kövesse az alábbi lehetőségek egyikét:
- Az Oracle-kiszolgálón lépjen az Oracle Advanced Security (OAS) lapra, és konfigurálja a triple-DES Encryption (3DES) és az Advanced Encryption Standard (AES) protokollt támogató titkosítási beállításokat, további részleteket itt talál. Az ADF automatikusan egyezteti a titkosítási módszert, hogy az OAS-ben konfigurált módszert használja az Oracle-kapcsolat létrehozásakor.
- Az ADF-ben hozzáadhatja az EncryptionMethod=1 paramétert a kapcsolati sztring (a társított szolgáltatásban). Ez az SSL/TLS titkosítási módszert fogja használni. Ennek használatához le kell tiltania a nem SSL titkosítási beállításokat az OAS-ben az Oracle-kiszolgáló oldalán a titkosítási ütközések elkerülése érdekében.
Megjegyzés
A használt TLS-verzió az 1.2.
Adat-titkosítás inaktív állapotban
Egyes adattárak támogatják az inaktív adatok titkosítását. Javasoljuk, hogy engedélyezze az adattitkosítási mechanizmust ezekhez az adattárakhoz.
Azure Synapse Analytics
transzparens adattitkosítás (TDE) az Azure Synapse Analyticsben az inaktív adatok valós idejű titkosításával és visszafejtésével segít megvédeni a kártékony tevékenységek veszélyét. Ez a viselkedés átlátható az ügyfél számára. További információ: Adatbázis védelme az Azure Synapse Analyticsben.
Azure SQL Database
Azure SQL Database támogatja a transzparens adattitkosítást (TDE), amely az adatok valós idejű titkosításával és visszafejtésével segít megvédeni a kártékony tevékenységek veszélyét anélkül, hogy módosítania kellene az alkalmazást. Ez a viselkedés átlátható az ügyfél számára. További információ: Transzparens adattitkosítás SQL Database és Data Warehouse.
Azure Data Lake Store
Az Azure Data Lake Store a fiókban tárolt adatok titkosítását is biztosítja. Ha engedélyezve van, a Data Lake Store a lekérés előtt automatikusan titkosítja az adatokat, mielőtt megőrzené és visszafejtené azokat, így átláthatóvá válik az adatokhoz hozzáférő ügyfél számára. További információ: Biztonság az Azure Data Lake Store-ban.
Azure Blob Storage és Azure Table Storage
Az Azure Blob Storage és az Azure Table Storage támogatja a Storage Service Encryptiont (SSE), amely automatikusan titkosítja az adatokat, mielőtt a tárolóban marad, és visszafejti a lekérés előtt. További információ: Azure Storage Service Encryption for Data at Rest.
Amazon S3
Az Amazon S3 támogatja az inaktív adatok ügyfél- és kiszolgálói titkosítását is. További információ: Adatvédelem titkosítással.
Amazon Redshift
Az Amazon Redshift támogatja az inaktív adatok fürttitkosítását. További információ: Amazon Redshift Database Encryption.
Salesforce
A Salesforce támogatja a Shield Platform Encryptiont, amely lehetővé teszi az összes fájl, melléklet és egyéni mező titkosítását. További információ: A webkiszolgáló OAuth-hitelesítésének Flow ismertetése.
Hibrid forgatókönyvek
A hibrid forgatókönyvekhez a helyi integrációs modult helyszíni hálózatban, virtuális hálózaton (Azure) vagy virtuális magánfelhőben (Amazon) kell telepíteni. A helyi integrációs modulnak képesnek kell lennie a helyi adattárak elérésére. A saját üzemeltetésű integrációs modullal kapcsolatos további információkért tekintse meg a saját üzemeltetésű integrációs modul létrehozását és konfigurálását ismertető cikket.
A parancscsatorna lehetővé teszi a Data Factory adatátviteli szolgáltatásai és a helyi integrációs modul közötti kommunikációt. A kommunikáció a tevékenységgel kapcsolatos információkat tartalmaz. Az adatcsatorna a helyszíni adattárak és a felhőbeli adattárak közötti adatátvitelre szolgál.
Helyszíni adattár hitelesítő adatai
A hitelesítő adatok tárolhatók a data factoryban, vagy a data factory hivatkozhat gombra az Azure Key Vault futásideje alatt. Ha a hitelesítő adatokat az adat-előállítóban tárolja, azokat a rendszer mindig titkosítva tárolja a saját üzemeltetésű integrációs modulban.
A hitelesítő adatok helyi tárolása. Ha közvetlenül a Set-AzDataFactoryV2LinkedService parancsmagot használja a JSON-ban beágyazott kapcsolati sztringekkel és hitelesítő adatokkal, a társított szolgáltatás titkosítva lesz, és a saját üzemeltetésű integrációs modulban lesz tárolva. Ebben az esetben a hitelesítő adatok a rendkívül biztonságos Azure háttérszolgáltatáson keresztül jutnak el a saját üzemeltetésű integrációs gépre, ahol végül titkosítva és tárolva lesznek. A saját üzemeltetésű integrációs modul Windows DPAPI használatával titkosítja a bizalmas adatokat és a hitelesítő adatokat.
A hitelesítő adatokat az Azure Key Vault tárolja. Az adattár hitelesítő adatait az Azure Key Vault is tárolhatja. A Data Factory lekéri a hitelesítő adatokat egy tevékenység végrehajtása során. További információ: Hitelesítő adat tárolása az Azure Key Vaultban.
A hitelesítő adatok helyi tárolása anélkül, hogy a hitelesítő adatokat az Azure-háttérrendszeren keresztül a saját üzemeltetésű integrációs modulba irányítanák. Ha anélkül szeretné helyileg titkosítani és tárolni a hitelesítő adatokat a saját üzemeltetésű integrációs modulban, hogy át kellene helyeznie a hitelesítő adatokat az adat-előállító háttérrendszerén, kövesse az Azure Data Factory-ban található helyszíni adattárak hitelesítő adatainak titkosítása című témakör lépéseit. Ezt a lehetőséget minden összekötő támogatja. A saját üzemeltetésű integrációs modul Windows DPAPI használatával titkosítja a bizalmas adatokat és a hitelesítő adatokat.
A New-AzDataFactoryV2LinkedServiceEncryptedCredential parancsmaggal titkosíthatja a társított szolgáltatás hitelesítő adatait és bizalmas adatait a társított szolgáltatásban. Ezután a visszaadott JSON használatával (a kapcsolati sztring EncryptedCredential elemével) létrehozhat egy társított szolgáltatást a Set-AzDataFactoryV2LinkedService parancsmaggal.
A társított szolgáltatás saját üzemeltetésű integrációs modulon történő titkosításához használt portok
Alapértelmezés szerint, ha az intranetről történő távelérés engedélyezve van, a PowerShell a 8060-as portot használja a gépen a saját üzemeltetésű integrációs modullal a biztonságos kommunikációhoz. Szükség esetén ez a port módosítható a Gépház lapon található Integration Runtime Configuration Manager:
Titkosítás az átvitel során
Minden adatátvitel biztonságos https- és TLS-kapcsolaton keresztül történik TCP-en keresztül, hogy megakadályozza a közbeékelt támadásokat az Azure-szolgáltatásokkal való kommunikáció során.
IpSec VPN-t vagy Azure ExpressRoute-ot is használhat a helyszíni hálózat és az Azure közötti kommunikációs csatorna további védelmére.
Az Azure Virtual Network a hálózat logikai ábrázolása a felhőben. Helyszíni hálózatot csatlakoztathat a virtuális hálózathoz AZ IPSec VPN (helyek közötti) vagy az ExpressRoute (privát társviszony-létesítés) beállításával.
Az alábbi táblázat összefoglalja a hálózati és saját üzemeltetésű integrációs modul konfigurációs javaslatait a hibrid adatáthelyezés forrás- és célhelyeinek különböző kombinációi alapján.
| Forrás | Cél | Hálózati konfiguráció | Integrációs modul telepítése |
|---|---|---|---|
| Helyszíni | Virtuális hálózatokon üzembe helyezett virtuális gépek és felhőszolgáltatások | IPSec VPN (pont–hely vagy helyek közötti) | A saját üzemeltetésű integrációs modult a virtuális hálózat egy Azure-beli virtuális gépére kell telepíteni. |
| Helyszíni | Virtuális hálózatokon üzembe helyezett virtuális gépek és felhőszolgáltatások | ExpressRoute (privát társviszony-létesítés) | A saját üzemeltetésű integrációs modult a virtuális hálózat egy Azure-beli virtuális gépére kell telepíteni. |
| Helyszíni | Nyilvános végpontot tartalmazó Azure-alapú szolgáltatások | ExpressRoute (Microsoft társviszony-létesítés) | A saját üzemeltetésű integrációs modul telepíthető a helyszínen vagy egy Azure-beli virtuális gépen. |
Az alábbi képek a helyi integrációs modul használatát mutatják be adatok helyszíni adatbázis és Azure-szolgáltatások közötti áthelyezéséhez ExpressRoute és IPSec VPN használatával (az Azure Virtual Network használatával):
Express Route
IPSec VPN
Tűzfal-konfigurációk és az IP-címek engedélyezési listájának beállítása
Megjegyzés
Előfordulhat, hogy a megfelelő adatforrások által megkövetelt portokat kell kezelnie, vagy be kell állítania a tartományok engedélyezési listáját a vállalati tűzfal szintjén. Ez a tábla csak az Azure SQL Database, a Azure Synapse Analytics és az Azure Data Lake Store szolgáltatást használja példaként.
Megjegyzés
A Azure Data Factory keresztüli adathozzáférési stratégiákról ebben a cikkben talál további információt.
Helyszíni/privát hálózatok tűzfalkövetelményei
Egy vállalatnál a vállalati tűzfal a szervezet központi útválasztóján fut. Windows tűzfal démonként fut azon a helyi gépen, amelyen a helyi integrációs modul telepítve van.
Az alábbi táblázat a vállalati tűzfalak kimenő port- és tartománykövetelményeit tartalmazza:
| Tartománynevek | Kimenő portok | Description |
|---|---|---|
*.servicebus.windows.net |
443 | A saját üzemeltetésű integrációs modulnak szüksége van az interaktív tartalomkészítéshez. |
{datafactory}.{region}.datafactory.azure.netvagy *.frontend.clouddatahub.net |
443 | A Data Factory szolgáltatáshoz való csatlakozáshoz a saját üzemeltetésű integrációs modul szükséges. Új létrehozott Data Factory esetén keresse meg a teljes tartománynevet a saját üzemeltetésű Integration Runtime kulcsból, amelynek formátuma {datafactory}.{ region}.datafactory.azure.net. Ha a régi Data Factory esetében nem látja a teljes tartománynevet a saját üzemeltetésű integrációs kulcsban, használja helyette a *.frontend.clouddatahub.net parancsot. |
download.microsoft.com |
443 | A frissítések letöltéséhez a saját üzemeltetésű integrációs modul szükséges. Ha letiltotta az automatikus frissítést, kihagyhatja a tartomány konfigurálását. |
*.core.windows.net |
443 | A saját üzemeltetésű integrációs modul használja az Azure Storage-fiókhoz való csatlakozáshoz az előkészített másolási funkció használatakor. |
*.database.windows.net |
1433 | Csak akkor kötelező, ha Azure SQL Database vagy Azure Synapse Analytics szolgáltatásból másol vagy másol, máskülönben nem kötelező. A szakaszos másolás funkcióval az adatokat az 1433-os port megnyitása nélkül másolhatja SQL Database vagy Azure Synapse Analyticsbe. |
*.azuredatalakestore.netlogin.microsoftonline.com/<tenant>/oauth2/token |
443 | Csak akkor szükséges, ha az Azure Data Lake Store-ból vagy az Azure Data Lake Store-ba másol, máskülönben nem kötelező. |
Megjegyzés
Előfordulhat, hogy a megfelelő adatforrások által megkövetelt portokat kell kezelnie, vagy be kell állítania a tartományok engedélyezési listáját a vállalati tűzfal szintjén. Ez a tábla csak az Azure SQL Database, a Azure Synapse Analytics és az Azure Data Lake Store szolgáltatást használja példaként.
Az alábbi táblázat Windows tűzfal bejövő portkövetelményeiről nyújt tájékoztatást:
| Bejövő portok | Description |
|---|---|
| 8060 (TCP) | A PowerShell titkosítási parancsmagja által az Azure Data Factory-ben található helyszíni adattárak hitelesítő adatainak titkosítása című szakaszban leírtak szerint szükséges, valamint a hitelesítő adatok kezelője által a helyszíni adattárak hitelesítő adatainak biztonságos beállításához a saját üzemeltetésű integrációs modulban. |
IP-konfigurációk és engedélyezési lista beállítása az adattárakban
Egyes felhőbeli adattárakhoz engedélyeznie kell az adattárat elérő gép IP-címét is. Győződjön meg arról, hogy a saját üzemeltetésű integrációs modult futtató gép IP-címe megfelelően engedélyezve van vagy konfigurálva van a tűzfalon.
A következő felhőalapú adattárakhoz engedélyeznie kell a saját üzemeltetésű integrációs modult futtató gép IP-címét. Ezen adattárak némelyike alapértelmezés szerint nem feltétlenül igényel engedélyezési listát.
Gyakori kérdések
Megosztható a saját üzemeltetésű integrációs modul különböző adat-előállítók között?
Igen. További részleteket itt talál.
Mik a saját üzemeltetésű integrációs modul működéséhez szükséges portkövetelmények?
A saját üzemeltetésű integrációs modul HTTP-alapú kapcsolatokat hoz létre az internet eléréséhez. A kapcsolat létrehozásához meg kell nyitni a 443-at a helyi integrációs modul számára. Nyissa meg a 8060-es bejövő portot csak a gép szintjén (a vállalati tűzfal szintjén nem) a hitelesítőadat-kezelő alkalmazáshoz. Ha Azure SQL Database vagy Azure Synapse Analyticset használja forrásként vagy célként, az 1433-as portot is meg kell nyitnia. További információkért tekintse meg a tűzfal konfigurációit és az IP-címek beállításának engedélyezését ismertető szakaszt .
Következő lépések
A másolási tevékenység teljesítményével kapcsolatos Azure Data Factory a másolási tevékenység teljesítményével és finomhangolásával kapcsolatos útmutatóban talál további információt.