Veri erişim stratejileriData access strategies

Uygulama hedefi: Azure SYNAPSE Analytics 'i Azure Data Factory

Kuruluşun önemli bir güvenlik amacı, veri depolarını Internet üzerinden rastgele erişimden korumak, şirket içi veya bulut/SaaS veri deposu olabilir.A vital security goal of an organization is to protect their data stores from random access over the internet, may it be an on-premise or a Cloud/ SaaS data store.

Genellikle bir bulut veri deposu aşağıdaki mekanizmalardan yararlanarak erişimi denetler:Typically a cloud data store controls access using the below mechanisms:

  • Bir sanal ağdan özel uç nokta etkin veri kaynaklarına özel bağlantıPrivate Link from a Virtual Network to Private Endpoint enabled data sources
  • Bağlantıyı IP adresine göre sınırlayan güvenlik duvarı kurallarıFirewall rules that limit connectivity by IP address
  • Kullanıcıların kimliklerini kanıtlamasını gerektiren kimlik doğrulama mekanizmalarıAuthentication mechanisms that require users to prove their identity
  • Kullanıcıları belirli eylemlerle ve verilerle kısıtlayan Yetkilendirme mekanizmalarıAuthorization mechanisms that restrict users to specific actions and data

İpucu

STATIK IP adres aralığının kullanıma sunulmasıylabirlikte, bulut veri depolarındaki tüm Azure IP adreslerine izin vermek zorunda olmadığınızdan emin olmak Için belirli Azure tümleştirme çalışma zamanı BÖLGESI için IP aralıkları listesine izin verebilirsiniz.With the introduction of Static IP address range, you can now allow list IP ranges for the particular Azure integration runtime region to ensure you don’t have to allow all Azure IP addresses in your cloud data stores. Bu şekilde, veri depolarına erişmelerine izin verilen IP adreslerini kısıtlayabilirsiniz.This way, you can restrict the IP addresses that are permitted to access the data stores.

Not

IP adresi aralıkları Azure Integration Runtime için engellenir ve şu anda yalnızca veri taşıma, işlem hattı ve dış etkinlikler için kullanılır.The IP address ranges are blocked for Azure Integration Runtime and is currently only used for Data Movement, pipeline and external activities. Yönetilen sanal ağı etkinleştiren veri akışları ve Azure Integration Runtime artık bu IP aralıklarını kullanmaz.Dataflows and Azure Integration Runtime that enable Managed Virtual Network now do not use these IP ranges.

Bu pek çok senaryoda çalışmalıdır ve tümleştirme çalışma zamanı başına benzersiz bir statik IP adresi istenmekte olduğunu anladık, ancak bu, sunucusuz olan Azure Integration Runtime Şu anda mümkün olmayabilir.This should work in many scenarios, and we do understand that a unique Static IP address per integration runtime would be desirable, but this wouldn't be possible using Azure Integration Runtime currently, which is serverless. Gerekirse, her zaman kendi kendine barındırılan bir Integration Runtime ayarlayabilir ve statik IP 'nizi bununla birlikte kullanabilirsiniz.If necessary, you can always set up a Self-hosted Integration Runtime and use your Static IP with it.

Azure Data Factory aracılığıyla veri erişimi stratejileriData access strategies through Azure Data Factory

  • Özel bağlantı -Azure Data Factory yönetilen sanal ağ içinde bir Azure Integration Runtime oluşturabilirsiniz ve desteklenen veri depolarına güvenli bir şekilde bağlanmak için özel uç noktalardan yararlanabilir.Private Link - You can create an Azure Integration Runtime within Azure Data Factory Managed Virtual Network and it will leverage private endpoints to securely connect to supported data stores. Yönetilen sanal ağ ve veri kaynakları arasındaki trafik, Microsoft omurga ağını dolaşır ve genel ağa maruz değildir.Traffic between Managed Virtual Network and data sources travels the Microsoft backbone network and are not exposure to public network.
  • Güvenilen hizmet -Azure depolama (Blob, ADLS 2.), güvenilen Azure platform hizmetlerinin depolama hesabına güvenli bir şekilde erişmesini sağlayan güvenlik duvarı yapılandırmasını destekler.Trusted Service - Azure Storage (Blob, ADLS Gen2) supports firewall configuration that enables select trusted Azure platform services to access the storage account securely. Güvenilen hizmetler yönetilen kimlik kimlik doğrulamasını zorlar ve bu, yönetilen kimliği kullanarak böyle bir veri fabrikasının bu depolamaya bağlanamamasını sağlar.Trusted Services enforces Managed Identity authentication, which ensures no other data factory can connect to this storage unless approved to do so using it's managed identity. Bu blogda daha fazla ayrıntı bulabilirsiniz.You can find more details in this blog. Bu nedenle, bu son derece güvenlidir ve önerilir.Hence, this is extremely secure and recommended.
  • Benzersiz STATIK IP -Data Factory bağlayıcıları IÇIN statik IP almak üzere şirket içinde barındırılan bir tümleştirme çalışma zamanı ayarlamanız gerekir.Unique Static IP - You will need to set up a self-hosted integration runtime to get a Static IP for Data Factory connectors. Bu mekanizma, diğer tüm IP adreslerinden erişimi engellemenize de engel olur.This mechanism ensures you can block access from all other IP addresses.
  • STATIK IP aralığı -Azure INTEGRATION RUNTIME kendi IP adreslerini, depolama ortamınızda listelemek için kullanabilirsiniz (S3, Salesforce, vb.).Static IP range - You can use Azure Integration Runtime's IP addresses to allow list it in your storage (say S3, Salesforce, etc.). Veri depolarına bağlanabilecek, ancak kimlik doğrulama/yetkilendirme kurallarına de dayanan IP adreslerini kesinlikle kısıtlar.It certainly restricts IP addresses that can connect to the data stores but also relies on Authentication/ Authorization rules.
  • Hizmet etiketi -hizmet etiketi, belirli bir Azure hizmetinden (Azure Data Factory gibi) bir IP adresi ön eki grubunu temsil eder.Service Tag - A service tag represents a group of IP address prefixes from a given Azure service (like Azure Data Factory). Microsoft, hizmet etiketi ile çevrelenmiş adres öneklerini yönetir ve adres değişikliği olarak hizmet etiketini otomatik olarak güncelleştirir ve ağ güvenlik kuralları için sık sık güncelleştirmelerin karmaşıklığını en aza indirir.Microsoft manages the address prefixes encompassed by the service tag and automatically updates the service tag as addresses change, minimizing the complexity of frequent updates to network security rules. Sanal ağdaki IaaS barındırılan veri depolarında veri erişimi filtrelendiğinde faydalıdır.It is useful when filtering data access on IaaS hosted data stores in Virtual Network.
  • Azure hizmetlerine Izin ver -bazı hizmetler, bu seçeneği tercih etmeniz durumunda tüm Azure hizmetlerinin bağlanmasına izin vermenizi sağlar.Allow Azure Services - Some services lets you allow all Azure services to connect to it in case you choose this option.

Azure Integration Runtime ve şirket içinde barındırılan Integration Runtime veri depolarında desteklenen ağ güvenlik mekanizmaları hakkında daha fazla bilgi için, iki tablonun altına bakın.For more information about supported network security mechanisms on data stores in Azure Integration Runtime and Self-hosted Integration Runtime, see below two tables.

  • Azure Integration RuntimeAzure Integration Runtime

    Veri DepolarıData Stores Veri depolarında desteklenen ağ güvenlik mekanizmasıSupported Network Security Mechanism on Data Stores Özel BağlantıPrivate Link Güvenilen hizmetTrusted Service Statik IP aralığıStatic IP range Hizmet EtiketleriService Tags Azure hizmetlerine izin verAllow Azure Services
    Azure PaaS veri depolarıAzure PaaS Data stores Azure Cosmos DBAzure Cosmos DB EvetYes - YesYes - YesYes
    Azure Veri GezginiAzure Data Explorer - - Evet*Yes* Evet*Yes* -
    Azure Data Lake Gen1Azure Data Lake Gen1 - - YesYes - YesYes
    MariaDB, MySQL, PostgreSQL için Azure veritabanıAzure Database for MariaDB, MySQL, PostgreSQL - - YesYes - YesYes
    Azure Dosya DepolamaAzure File Storage YesYes - YesYes - ..
    Azure depolama (blob, ADLS 2.)Azure Storage (Blob, ADLS Gen2) YesYes Evet (yalnızca MSI kimlik doğrulaması)Yes (MSI auth only) YesYes - ..
    Azure SQL DB, Azure SYNAPSE Analytics), SQL mlAzure SQL DB, Azure Synapse Analytics), SQL Ml Evet (yalnızca Azure SQL DB/DW)Yes (only Azure SQL DB/DW) - YesYes - YesYes
    Azure Key Vault (gizli dizileri/bağlantı dizesi getiriliyor)Azure Key Vault (for fetching secrets/ connection string) evetyes YesYes YesYes - -
    Diğer PaaS/SaaS veri depolarıOther PaaS/ SaaS Data stores AWS S3, SalesForce, Google bulut depolama, vb.AWS S3, SalesForce, Google Cloud Storage, etc. - - YesYes - -
    Azure laaSAzure laaS SQL Server, Oracle, vb.SQL Server, Oracle, etc. - - YesYes YesYes -
    Şirket içi laaSOn-premise laaS SQL Server, Oracle, vb.SQL Server, Oracle, etc. - - YesYes - -

    *Yalnızca Azure Veri Gezgini, sanal ağ eklendiğinde ve IP aralığı NSG/güvenlik duvarında uygulanabildiğinde geçerlidir.*Applicable only when Azure Data Explorer is virtual network injected, and IP range can be applied on NSG/ Firewall.

  • Şirket içinde barındırılan Integration Runtime (VNet/şirket içi)Self-hosted Integration Runtime (in Vnet/on-premise)

    Veri depolarıData Stores Veri depolarında desteklenen ağ güvenlik mekanizmasıSupported Network Security Mechanism on Data Stores Statik IPStatic IP Güvenilen hizmetlerTrusted Services
    Azure PaaS veri depolarıAzure PaaS Data stores Azure Cosmos DBAzure Cosmos DB EvetYes -
    Azure Veri GezginiAzure Data Explorer - -
    Azure Data Lake Gen1Azure Data Lake Gen1 YesYes -
    MariaDB, MySQL, PostgreSQL için Azure veritabanıAzure Database for MariaDB, MySQL, PostgreSQL YesYes -
    Azure Dosya DepolamaAzure File Storage YesYes -
    Azure depolama (blog, ADLS 2.)Azure Storage (Blog, ADLS Gen2) YesYes Evet (yalnızca MSI kimlik doğrulaması)Yes (MSI auth only)
    Azure SQL DB, Azure SYNAPSE Analytics), SQL mlAzure SQL DB, Azure Synapse Analytics), SQL Ml YesYes -
    Azure Key Vault (gizli dizileri/bağlantı dizesi getiriliyor)Azure Key Vault (for fetching secrets/ connection string) YesYes YesYes
    Diğer PaaS/SaaS veri depolarıOther PaaS/ SaaS Data stores AWS S3, SalesForce, Google bulut depolama, vb.AWS S3, SalesForce, Google Cloud Storage, etc. YesYes -
    Azure laaSAzure laaS SQL Server, Oracle, vb.SQL Server, Oracle, etc. YesYes -
    Şirket içi laaSOn-premise laaS SQL Server, Oracle, vb.SQL Server, Oracle, etc. EvetYes -

Sonraki adımlarNext steps

Daha fazla bilgi için aşağıdaki ilgili makalelere bakın:For more information, see the following related articles: