Adathozzáférési stratégiák

A KÖVETKEZŐKRE VONATKOZIK: Azure Data Factory Azure Synapse Analytics

A szervezetek egyik alapvető biztonsági célja, hogy megvédjék adattárukat az interneten keresztüli véletlenszerű hozzáféréstől, legyen az egy helyi vagy egy felhőalapú/SaaS-adattár.

A felhőalapú adattárak általában az alábbi mechanizmusokkal vezérlik a hozzáférést:

  • Private Link végpontról Virtual Network privát végponttal kompatibilis adatforrásokra
  • Tűzfalszabályok, amelyek az IP-cím alapján korlátozzák a kapcsolatot
  • Hitelesítési mechanizmusok, amelyek megkövetelik a felhasználóktól az identitásuk bizonyítását
  • Engedélyezési mechanizmusok, amelyek meghatározott műveletekre és adatokra korlátozzák a felhasználókat

Tipp

A statikus IP-címtartomány bevezetésével mostantól engedélyezheti az adott Azure integration runtime-régió IP-címtartományának listáját, így nem kell engedélyeznie az összes Azure IP-címet a felhőalapú adattáraiban. Így korlátozhatja az adattárak elérésére jogosult IP-címeket.

Megjegyzés

Az IP-címtartományok le vannak tiltva a Azure Integration Runtime és jelenleg csak adatátmozgatáshoz, folyamathoz és külső tevékenységekhez használatosak. A felügyelt Azure Integration Runtime engedélyező adatfolyamok és Virtual Network mostantól nem használják ezeket az IP-címtartományokat.

Ennek számos forgatókönyvben működnie kell, és tisztában vagyunk a helyzetével, hogy integrációs egységenként egy egyedi statikus IP-cím lenne kívánatos, de ez jelenleg nem lenne lehetséges a Azure Integration Runtime, amely kiszolgáló nélküli. Szükség esetén mindig beállíthatja a saját maga által üzemeltetett Integration Runtime és használhatja vele a statikus IP-címet.

Adatelérési stratégiák Azure Data Factory

  • Private Link – Létrehozhat egy Azure Integration Runtime felügyelt Azure Data Factory belül Virtual Network és privát végpontokat fog használni a támogatott adattárakhoz való biztonságos csatlakozáshoz. A felügyelt Virtual Network adatforrások közötti forgalom a Microsoft gerinchálózatát járja, és nem jár a nyilvános hálózattal.
  • Megbízható szolgáltatás – Az Azure Storage (Blob, ADLS Gen2) támogatja a tűzfalkonfigurációt, amely lehetővé teszi a kiválasztott megbízható Azure-platformszolgáltatások számára a tárfiók biztonságos hozzáférését. A Megbízható szolgáltatások kikényszeríteni a felügyelt identitásos hitelesítést, ami biztosítja, hogy más adat-előállító ne kapcsolódhat ehhez a tárolóhoz, hacsak erre nincs jóváhagyva a felügyelt identitásával. További részleteket ebben a blogban talál. Ezért ez rendkívül biztonságos és ajánlott.
  • Egyedi statikus IP-cím – Be kell állítania egy saját üzemeltetett integrációskörnyezetet, hogy statikus IP-címet kap a Data Factory összekötőkhöz. Ez a mechanizmus biztosítja, hogy minden más IP-címről blokkolni tudja a hozzáférést.
  • Statikus IP-címtartomány – A Azure Integration Runtime IP-címeinek használatával listába sorolhatja azt a tárolóban (például S3, Salesforce stb.). Ez kétségtelenül korlátozza az adattárakhoz csatlakozni képes IP-címeket, de hitelesítési/engedélyezési szabályokra is támaszkodik.
  • Szolgáltatáscímke – A szolgáltatáscímke egy adott Azure-szolgáltatásból származó IP-címelőtagok csoportját jelöli (például Azure Data Factory). A Microsoft kezeli a szolgáltatáscímke által felölelt címelőtagokat, és a címek változásával automatikusan frissíti a szolgáltatáscímkét, így minimalizálja a hálózati biztonsági szabályok gyakori frissítésének összetettségét. Ez akkor hasznos, ha az IaaS által üzemeltetett adattárak adatelérését szűri a Virtual Network.
  • Azure-szolgáltatások engedélyezése – Egyes szolgáltatások lehetővé teszik, hogy minden Azure-szolgáltatás kapcsolódhat hozzá, ha ezt a lehetőséget választja.

Az alábbi két táblázatban további információt Azure Integration Runtime és a saját Integration Runtime adattárai támogatott hálózati biztonsági mechanizmusairól.

  • Azure Integration Runtime

    Adattárak Az adattárak támogatott hálózati biztonsági mechanizmusa Private Link Megbízható szolgáltatás Statikus IP-címtartomány Szolgáltatáscímkék Azure-szolgáltatások engedélyezése
    Azure PaaS-adattárak Azure Cosmos DB Igen - Igen - Igen
    Azure Adatkezelő - - Igen* Igen* -
    1. generációs Azure Data Lake - - Igen - Igen
    Azure Database for MariaDB, MySQL, PostgreSQL - - Igen - Igen
    Azure Files Igen - Igen - .
    Azure Blob Storage és ADLS Gen2 Igen Igen (csak MSI-hitelesítés esetén) Igen - .
    Azure SQL DB, Azure Synapse Analytics), SQL ML Igen (csak az Azure SQL DB/DW) - Igen - Igen
    Azure Key Vault (titkos kulcsok/kapcsolati sztringek beolvasása) igen Igen Igen - -
    Egyéb PaaS-/SaaS-adattárak AWS S3, SalesForce, Google Cloud Storage stb. - - Igen - -
    Azure LaaS SQL Server, Oracle stb. - - Igen Igen -
    On-premise laaS SQL Server, Oracle stb. - - Igen - -

    **

  • Saját Integration Runtime (virtuális hálózatban/a webhelyen)

    Adattárak Az adattárak támogatott hálózati biztonsági mechanizmusa Statikus IP-cím Megbízható szolgáltatások
    Azure PaaS-adattárak Azure Cosmos DB Igen -
    Azure Adatkezelő - -
    1. generációs Azure Data Lake Igen -
    Azure Database for MariaDB, MySQL, PostgreSQL Igen -
    Azure Files Igen -
    Azure Blob Storage és ADLS Gen2 Igen Igen (csak MSI-hitelesítés esetén)
    Azure SQL DB, Azure Synapse Analytics), SQL ML Igen -
    Azure Key Vault (titkos kulcsok/kapcsolati sztring beolvasása) Igen Igen
    Egyéb PaaS-/SaaS-adattárak AWS S3, SalesForce, Google Cloud Storage stb. Igen -
    Azure LaaS SQL Server, Oracle stb. Igen -
    On-premise laaS SQL Server, Oracle stb. Igen -

Következő lépések

További információt a következő kapcsolódó cikkekben talál: