استراتيجيات الوصول إلى البيانات

APPLIES TO: Azure Data Factory Azure Synapse Analytics

Tip

جرب Data Factory في Microsoft Fabric، وهو حل تحليلي متكامل للمؤسسات. Microsoft Fabric covers everything from data movement to data science, real-time analytics, business intelligence, and reporting. تعرف على كيفية بدء إصدار تجريبي جديد مجانا!

حماية مخازن البيانات من الوصول العشوائي عبر الإنترنت هدف أمني حيوي للمؤسسة، ويمكن أن يكون مخزن بيانات في الموقع أو عبر السحابة/SaaS.

عادة ما يتحكم مخزن البيانات السحابي في الوصول باستخدام الآليات التالية:

• ارتباط خاص من شبكة ظاهرية إلى مصادر البيانات الممكنة لنقطة نهاية خاصة
• قواعد جدار الحماية التي تحد من الاتصال باستخدام عنوان IP
• آليات المصادقة التي تطلب من المستخدمين إثبات هويتهم
• آليات المصادقة التي تقيد المستخدمين بإجراءات وبيانات محددة

Tip

مع إدخال نطاق عناوين IP الثابتة، يمكنك الآن السماح لنطاقات IP القائمة لمنطقة وقت تشغيل تكامل Azure المعينة للتأكد من عدم الحاجة إلى السماح بجميع عناوين IP Azure في مخازن البيانات السحابية. بهذه الطريقة، يمكنك تقييد عناوين IP المسموح لها بالوصول إلى مخازن البيانات.

Note

يتم حظر نطاقات عناوين IP لوقت تشغيل تكامل Azure ويتم استخدامها حاليا فقط لحركة البيانات والمسار والأنشطة الخارجية. لا تستخدم تدفقات البيانات ووقت تشغيل تكامل Azure التي تمكن الشبكة الظاهرية المدارة الآن نطاقات IP هذه.

يجب أن يجدي هذا نفعاً من عدة سيناريوهات، ونفهم جيداً أننا نرغب في تخصيص عنوان IP ثابت فريد لكل وقت تشغيل تكامل، لكن لن يكون هذا ممكناً في ظل استخدام وقت تشغيل تكامل Azure بدون خادم حالياً. يمكنك دائماً إعداد وقت تشغيل التكامل المستضاف ذاتياً واستخدام IP ثابت له عند الضرورة.

إستراتيجيات الوصول إلى البيانات عبر Azure Data Factory

• Private Link - You can create an Azure Integration Runtime within Azure Data Factory Managed Virtual Network and it leverages private endpoints to securely connect to supported data stores. تنتقل نسبة استخدام الشبكة بين الشبكة الظاهرية المدارة ومصادر البيانات إلى شبكة Microsoft الأساسية ولا تتعرض للشبكة العامة.
• Trusted Service - Azure Storage (Blob, ADLS Gen2) and Azure Key Vault support firewall configuration that enables select trusted Azure platform services to access them securely. تفرض الخدمات الموثوقة مصادقة الهوية المُدارة، الأمر الذي يضمن عدم تمكن أي منشئ بيانات آخر من الاتصال بهذا التخزين ما لم تتم الموافقة على ذلك باستخدام الهوية المدارة.

Note

السيناريوهات أدناه غير موجودة في قائمة الخدمات الموثوق بها:

1. استخدام وقت تشغيل تكامل مستضاف ذاتيا أو وقت تشغيل تكامل SSIS
2. استخدام أي من أنواع النشاط التالية: > - Webhook > - Custom > - Azure Function
3. استخدام أي من الموصلات التالية: > - AzureBatch > - AzureFunction > - AzureFile > - OData

• IP ثابت فريد - ستحتاج إلى إعداد وقت تشغيل تكامل مستضاف ذاتيا للحصول على IP ثابت لموصلات Data Factory. تضمن هذه الآلية إمكانية حظر الوصول من جميع عناوين IP الأخرى.
• نطاق IP ثابت - يمكنك استخدام عناوين IP الخاصة بوقت تشغيل تكامل Azure للسماح بالقائمة في التخزين الخاص بك (على سبيل المثال S3 وSalesforce وما إلى ذلك). إنها بالتأكيد تقيّد عناوين الـ IP التي يمكنها الاتصال بمخازن البيانات لكنها تعتمد على المصادقة/قواعد المصادقة.
• Service Tag - A service tag represents a group of IP address prefixes from a given Azure service (like Azure Data Factory). تقوم Microsoft بإدارة بادئات العناوين التي تشملها علامة الخدمة، كما تقوم بتحديث علامة الخدمة تلقائيًا مع تغيير العناوين، ما يقلل من تعقيد التحديثات المتكررة لقواعد أمان الشبكة. إنه مفيد عند تصفية الوصول إلى البيانات على مخازن البيانات المستضافة IaaS في الشبكة الظاهرية.
• السماح بخدمات Azure - تتيح لك بعض الخدمات السماح باتصال جميع خدمات Azure بها في حالة اختيار هذا الخيار.

لمزيد من المعلومات عن آليات أمان الشبكة المعتمدة في مخازن البيانات في وقت تشغيل تكامل Azure ووقت تشغيل التكامل المستضاف ذاتياً، راجع الجدولين أدناه.

• Microsoft Integration Runtime

  Data Stores	آلية أمان الشبكة المعتمدة في مخازن البيانات	Private Link	Trusted Service	نطاق IP ثابت	Service Tags	السماح بخدمات Azure
  مخازن بيانات PaaS من Azure	Azure Cosmos DB	Yes	-	Yes	-	Yes
  	Azure Data Explorer ‏(Kusto)	-	-	Yes*	Yes*	-
  	Azure Data Lake Gen1	-	-	Yes	-	Yes
  	قاعدة بيانات Azure لـ MariaDB وMySQL وPostgreSQL	-	-	Yes	-	Yes
  	Azure Files	Yes	-	Yes	-	.
  	تخزين كائن ثنائي كبير الحجم من Azure وADLS Gen2	Yes	نعم (مصادقة MSI فقط)	Yes	-	.
  	Azure SQL DB وAzure Synapse Analytics) وSQL Ml	نعم (Azure SQL DB/DW فقط)	-	Yes	-	Yes
  	Azure Key Vault (لجلب البيانات السرية/سلسلة الاتصال)	yes	Yes	Yes	-	-
  مخازن بيانات PaaS/SaaS أخرى	AWS S3 وSalesForce والتخزين السحابي من Google وما إلى ذلك.	-	-	Yes	-	-
  	Snowflake	Yes	-	Yes	-	-
  Azure IaaS	خادم SQL وOracle وما إلى ذلك.	-	-	Yes	Yes	-
  On-premises IaaS	خادم SQL وOracle وما إلى ذلك.	-	-	Yes	-	-

  * قابل للتطبيق فقط عند إدخال Azure Data Explorer في الشبكة الظاهرية، ويمكن تطبيق نطاق IP على NSG/جدار الحماية.

• وقت تشغيل التكامل المستضاف ذاتياً (في Vnet/في الموقع)

  Data Stores	آلية أمان الشبكة المعتمدة في مخازن البيانات	Static IP	Trusted Services
  مخازن بيانات PaaS من Azure	Azure Cosmos DB	Yes	-
  	Azure Data Explorer ‏(Kusto)	-	-
  	Azure Data Lake Gen1	Yes	-
  	قاعدة بيانات Azure لـ MariaDB وMySQL وPostgreSQL	Yes	-
  	Azure Files	Yes	-
  	تخزين كائن ثنائي كبير الحجم من Azure وADLS Gen2	Yes	-
  	Azure SQL DB وAzure Synapse Analytics) وSQL Ml	Yes	-
  	Azure Key Vault (لجلب البيانات السرية/سلسلة الاتصال)	Yes	-
  مخازن بيانات PaaS/SaaS أخرى	AWS S3 وSalesForce والتخزين السحابي من Google وما إلى ذلك.	Yes	-
  Azure laaS	خادم SQL وOracle وما إلى ذلك.	Yes	-
  On-premises laaS	خادم SQL وOracle وما إلى ذلك.	Yes	-

Related content

لمزيد من المعلومات، يُرجي الاطلاع على المقالات التالية ذات الصلة:

• مخازن البيانات المدعومة
• خدمات Azure Key Vault الموثوق بها
• تخزين Azure "خدمات Microsoft الموثوقة"
• الهوية المدارة لـ Data Factory