Безопасность интеграции данных для SAP в Azure
Эта статья является частью серии статей о расширении и инновациях SAP: рекомендации.
- Определение источников данных SAP
- Выберите лучший соединитель SAP
- Производительность и устранение неполадок для извлечения данных SAP
- Безопасность интеграции данных для SAP в Azure
- Универсальная архитектура интеграции данных SAP
В этой статье описываются уровни безопасности для сценариев расширения SAP, приводятся сведения о разбивке каждого компонента, а также рекомендации и рекомендации. Фабрика данных Azure ресурсы управления основаны на инфраструктуре безопасности Azure и используют меры безопасности Azure.
Слой приема данных состоит из следующих элементов:
- SAP S/4HANA, SAP BW/4HANA или SAP HANA enterprise edition
- Azure Data Lake Storage 2-го поколения
- Фабрика данных
- Локальная виртуальная машина среды выполнения интеграции (SHIR)
На следующей схеме приведен пример архитектуры безопасности интеграции данных SAP в Azure. Используйте пример архитектуры в качестве отправной точки.
Скачайте файл Visio для этой архитектуры.
Рекомендации и рекомендации
В следующих разделах описаны вопросы и рекомендации по безопасности интеграции данных для SAP в Azure.
Безопасность SAP
Руководство по безопасности SAP содержит подробные рекомендации по продуктам SAP.
безопасность Data Lake Storage 2-го поколения
Ознакомьтесь со следующими рекомендациями по обеспечению безопасности Data Lake Storage 2-го поколения.
Авторизация доступа к данным в службе хранилища Azure
При доступе к данным в учетной записи служба хранилища клиентское приложение выполняет запрос по протоколу HTTP/HTTPS для служба хранилища. По умолчанию каждый ресурс в служба хранилища является безопасным, и каждый запрос к защищенному ресурсу должен быть авторизован. служба хранилища предлагает множество вариантов авторизации доступа к данным. Мы рекомендуем использовать учетные данные Microsoft Entra для авторизации запросов к данным для оптимальной безопасности и простоты. Дополнительные сведения см. в разделе "Защита ключей доступа".
Управление доступом на основе ролей в Azure (RBAC)
Используйте RBAC для управления разрешениями субъекта безопасности для больших двоичных объектов, очередей и таблиц в учетной записи служба хранилища. Вы также можете использовать управление доступом на основе атрибутов Azure (ABAC) для добавления условий в назначения ролей Azure для ресурсов BLOB-объектов. Дополнительные сведения см. в статье "Авторизация доступа к Хранилище BLOB-объектов Azure с помощью условий назначения ролей Azure".
Безопасность хранилища BLOB-объектов
Рассмотрите рекомендации по безопасности для хранилища BLOB-объектов, таких как защита данных, управление удостоверениями и доступом, сеть, ведение журнала и мониторинг. Дополнительные сведения см. в рекомендациях по безопасности для хранилища BLOB-объектов.
управление доступом Data Lake Storage 2-го поколения
Data Lake Storage 2-го поколения поддерживает следующие стратегии авторизации:
- RBAC
- Списки управления доступом (ACL)
- Группы безопасности
- Авторизация подписанного URL-адреса и подписанного URL-адреса (SAS)
В Data Lake Storage 2-го поколения есть два типа списков управления доступом:
- Доступ к списку управления доступом к объекту. Файлы и каталоги имеют доступ к спискам управления доступом.
- Списки управления доступом по умолчанию — это шаблоны списков управления доступом, связанные с каталогом. Они определяют списки управления доступом для всех дочерних элементов, созданных в этом каталоге. Файлы не имеют списки управления доступом по умолчанию.
В записи ACL не назначайте отдельных пользователей или субъектов-служб напрямую. Всегда используйте группы безопасности Microsoft Entra в качестве назначенного субъекта. Эта практика позволяет добавлять и удалять пользователей или субъектов-служб без повторного использования списков управления доступом к всей структуре каталогов. Вместо этого можно добавить или удалить пользователей и субъектов-служб из соответствующей группы безопасности Microsoft Entra. Дополнительные сведения см. в списках управления доступом.
Безопасность фабрики данных
Ознакомьтесь со следующими рекомендациями по обеспечению безопасности фабрики данных.
Перемещение данных
Существует два сценария перемещения данных: облачный сценарий и гибридный сценарий. Сведения о безопасности перемещения данных см . в рекомендациях по обеспечению безопасности перемещения данных в фабрике данных.
В облачном сценарии источник и место назначения общедоступны через Интернет. Источником или назначением могут быть управляемы облачные службы хранилища, такие как служба хранилища Azure, Azure Synapse Analytics, База данных SQL Azure, Data Lake Storage 2-го поколения, Amazon S3, Amazon Redshift, службы программного обеспечения как услуга (SaaS), такие как Salesforce или веб-протоколы, такие как протоколы передачи файлов (FTP) и открытый протокол данных (OData). Полный список поддерживаемых источников данных можно найти в поддерживаемых хранилищах данных и форматах.
В гибридном сценарии источник или место назначения находится за брандмауэром или внутри локальной корпоративной сети. Или хранилище данных находится в частной сети или виртуальной сети и не является общедоступным. В этом случае хранилище данных обычно является источником. Гибридный сценарий также включает серверы баз данных, размещенные на виртуальных машинах.
Стратегии получения доступа к данным
Ваша организация хочет защитить свои хранилища данных, например локальные или облачные или облачные хранилища данных SaaS, от несанкционированного доступа через Интернет. Вы можете управлять доступом в облачном хранилище данных с помощью:
- Приватный канал из виртуальной сети в источник данных с поддержкой частной конечной точки.
- Правила брандмауэра, ограничивающие подключение с помощью IP-адреса.
- Стратегии проверки подлинности, требующие подтверждения удостоверения пользователями.
- Стратегии авторизации, ограничивающие пользователей определенными действиями и данными.
Дополнительные сведения см. в стратегиях доступа к данным.
Хранение учетных данных в Azure Key Vault
Вы можете хранить учетные данные для хранилищ данных и вычислений в Key Vault. Фабрика данных получает учетные данные при выполнении действия, использующего хранилище данных или вычислительные ресурсы. Дополнительные сведения см. в разделе Хранилища учетных данных в Key Vault и использовании секретов Key Vault в действиях конвейера.
Шифрование учетных данных
В фабрике данных рекомендуется шифровать учетные данные для локальных хранилищ данных. На компьютере с SHIR можно шифровать и хранить учетные данные для любого из локальных хранилищ данных, таких как связанные службы с конфиденциальной информацией. Дополнительные сведения см. в разделе "Шифрование учетных данных" для локальных хранилищ данных в фабрике данных.
Использование управляемого удостоверения
При использовании управляемого удостоверения вам не нужно управлять учетными данными. Управляемое удостоверение предоставляет удостоверение для экземпляра службы при подключении к ресурсам, поддерживающим проверку подлинности Microsoft Entra. Существует два типа поддерживаемых управляемых удостоверений: назначаемые системой управляемые удостоверения и назначаемые пользователем управляемые удостоверения. Дополнительные сведения см. в разделе "Управляемое удостоверение" для фабрики данных.
Шифрование с помощью ключей, управляемых клиентом
В зависимости от политик безопасности рекомендуется шифровать фабрику данных с помощью ключей, управляемых клиентом. Дополнительные сведения см. в разделе "Шифрование фабрики данных" с помощью ключей, управляемых клиентом.
Использование управляемой виртуальной сети
При создании среды выполнения интеграции Azure в виртуальной сети, управляемой фабрикой данных, среда выполнения интеграции подготавливается с помощью управляемой виртуальной сети. Он использует частные конечные точки для безопасного подключения к поддерживаемым хранилищам данных. Частная конечная точка — это частный IP-адрес в определенной виртуальной сети и подсети. Управляемая виртуальная сеть поддерживается только в том же регионе, что и регион фабрики данных. Дополнительные сведения см. в разделе "Управляемая виртуальная сеть фабрики данных".
Использование Приватного канала Azure
При использовании Приватный канал вы можете подключаться к развертываниям paaS платформы как службы в Azure через частную конечную точку. Список развертываний PaaS, поддерживающих Приватный канал, см. в разделе Приватный канал фабрики данных.
Подключения и безопасность виртуальных машин SHIR
Ознакомьтесь со следующими рекомендациями по подключению и безопасности виртуальных машин SHIR.
Учетные данные локального хранилища данных
Вы можете хранить учетные данные локального хранилища данных в фабрике данных или ссылаться на учетные данные с помощью фабрики данных во время выполнения из Key Vault. Если вы храните учетные данные в фабрике данных, всегда шифруйте их в SHIR. Дополнительные сведения см. в разделе "Локальные учетные данные хранилища данных".
Настройка SHIR на основе конфигурации сети
Для перемещения гибридных данных в следующей таблице приведены рекомендации по конфигурации сети и SHIR на основе различных сочетаний расположений источника и назначения.
| Источник | Назначение | Сетевая конфигурация | Настройка среды выполнения интеграции |
|---|---|---|---|
| Локально | Виртуальные машины и облачные службы, развернутые в виртуальных сетях | VPN-подключение IPSec (типа "точка — сеть" или "сеть — сеть") | Установка SHIR на виртуальной машине Azure в виртуальной сети |
| Локально | Виртуальные машины и облачные службы, развернутые в виртуальных сетях | Azure ExpressRoute (частный пиринг) | Установка SHIR на виртуальной машине Azure в виртуальной сети |
| Локально | Службы на базе Azure, у которых есть общедоступная конечная точка | ExpressRoute (с пирингом Майкрософт) | Установка SHIR локальной или на виртуальной машине Azure |
VPN ExpressRoute или IPSec
На следующих изображениях показано, как использовать SHIR для перемещения данных между локальной базой данных и службой Azure с помощью Azure виртуальная сеть и ExpressRoute или VPN IPSec.
Сведения о конфигурациях брандмауэра и настройке списка разрешений для IP-адресов см. в рекомендациях по обеспечению безопасности для перемещения данных в фабрике данных.
На этой схеме показано, как перемещать данные с помощью частного пиринга ExpressRoute:
На этой схеме показано, как перемещать данные с помощью VPN IPSec:
В брандмауэре убедитесь, что IP-адрес компьютера SHIR разрешен и настроен соответствующим образом. Для следующих облачных хранилищ данных требуется разрешить IP-адрес компьютера SHIR. По умолчанию некоторые из этих хранилищ данных могут не требовать списка разрешений.
- База данных SQL
- Azure Synapse Analytics
- Data Lake Storage 2-го поколения
- Azure Cosmos DB
- Amazon Redshift
Дополнительные сведения см. в разделе "Вопросы безопасности" для перемещения данных в фабрике данных и создании и настройке SHIR.
Безопасность Azure Databricks
Ознакомьтесь со следующими рекомендациями по обеспечению безопасности Azure Databricks.
Базовая конфигурация системы безопасности Azure для Azure Databricks
Рассмотрим базовые показатели безопасности Azure для Azure Databricks. Этот базовый план безопасности применяет рекомендации от microsoft cloud security benchmark версии 1.0 к Azure Databricks. Microsoft Cloud Security Benchmark предоставляет рекомендации по защите облачных решений в Azure.
Безопасность Azure Synapse Analytics
Azure Synapse Analytics реализует многоуровневую архитектуру безопасности для комплексной защиты данных. Существует пять уровней:
Защита данных идентифицирует конфиденциальные данные и классифицирует конфиденциальные данные и шифрует неактивных данных и в движении. Рекомендации по обнаружению и классификации данных, управлению и шифрованию см. в разделе "Защита данных".
Управление доступом определяет право пользователя взаимодействовать с данными. Azure Synapse Analytics поддерживает широкий спектр возможностей для управления доступом к данным. Дополнительные сведения см. в статье об управлении доступом.
Проверка подлинности подтверждает удостоверение пользователей и приложений. Аудит SQL Azure может регистрировать действия проверки подлинности, а ИТ-администратор может настраивать отчеты и оповещения при попытке входа из подозрительного расположения. Дополнительные сведения см. в разделе Authenticate to the Speech API (Аутентификация в API речи).
Безопасность сети изолирует сетевой трафик с частными конечными точками и виртуальными частными сетями. Существует множество параметров безопасности сети для защиты Azure Synapse Analytics. Дополнительные сведения см. в разделе "Безопасность сети".
Обнаружение угроз идентифицирует потенциальные угрозы безопасности, такие как необычные расположения доступа, атаки внедрения SQL и атаки проверки подлинности. Дополнительные сведения см. в разделе "Обнаружение угроз".
Уровень представления данных
Рассмотрим, как использовать возможности безопасности для защиты уровня презентации, включая Power BI. Дополнительные сведения см. в разделе "Безопасность Power BI" и планирование реализации Power BI: безопасность.
Следующие шаги
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по