استراتيجيات الوصول إلى البيانات

ينطبق على: Azure Data Factory Azure Synapse Analytics

تلميح

جرب Data Factory في Microsoft Fabric، وهو حل تحليلي متكامل للمؤسسات. يغطي Microsoft Fabric كل شيء بدءا من حركة البيانات إلى علم البيانات والتحليلات في الوقت الحقيقي والمعلومات المهنية وإعداد التقارير. تعرف على كيفية بدء إصدار تجريبي جديد مجانا!

حماية مخازن البيانات من الوصول العشوائي عبر الإنترنت هدف أمني حيوي للمؤسسة، ويمكن أن يكون مخزن بيانات في الموقع أو عبر السحابة/SaaS.

عادة ما يتحكم مخزن البيانات السحابي في الوصول باستخدام الآليات التالية:

• ارتباط خاص من شبكة ظاهرية إلى مصادر البيانات الممكنة لنقطة نهاية خاصة
• قواعد جدار الحماية التي تحد من الاتصال باستخدام عنوان IP
• آليات المصادقة التي تطلب من المستخدمين إثبات هويتهم
• آليات المصادقة التي تقيد المستخدمين بإجراءات وبيانات محددة

تلميح

من خلال عرض نطاق عناوين IP ثابتة، يمكنك الآن السماح بإدراج نطاقات عناوين IP لمنطقة وقت تشغيل تكامل Azure المحددة للتأكد من أنك لست مضطراً إلى السماح بجميع عناوين IP من Azure في مخازن البيانات السحابية. بهذه الطريقة، يمكنك تقييد عناوين IP المسموح لها بالوصول إلى مخازن البيانات.

إشعار

نطاقات عناوين الـ IP محظورة لوقت تشغيل تكامل Azure ولا تُستخدم حالياً إلا لحركة البيانات والبنية الأساسية لبرنامج ربط العمليات التجارية والأنشطة الخارجية. لا يستخدم تدفق البيانات ووقت تشغيل تكامل Azure الذي يمكِّن الشبكة الظاهرية المُدارة نطاقات IP المذكورة.

يجب أن يجدي هذا نفعاً من عدة سيناريوهات، ونفهم جيداً أننا نرغب في تخصيص عنوان IP ثابت فريد لكل وقت تشغيل تكامل، لكن لن يكون هذا ممكناً في ظل استخدام وقت تشغيل تكامل Azure بدون خادم حالياً. يمكنك دائماً إعداد وقت تشغيل التكامل المستضاف ذاتياً واستخدام IP ثابت له عند الضرورة.

إستراتيجيات الوصول إلى البيانات عبر Azure Data Factory

• ارتباط خاص - يمكنك إنشاء وقت تشغيل تكامل Azure داخل الشبكة الظاهرية المُدارة لـ Azure Data Factory وستستخدم نقاط النهاية الخاصة للاتصال بمتاجر البيانات المدعومة بشكل آمن. تنقل نسبة استخدام الشبكة بين الشبكة الظاهرية المدارة ومصادر البيانات شبكة Microsoft الأساسية ولا تتعرض لشبكة الاتصال العامة.
• خدمة موثوقة - يدعم تخزين Azure‏ (كائن ثنائي كبير الحجم وADLS Gen2) تكوين جدار الحماية الذي يتيح خدمات النظام الأساسي لـ Azure الموثوقة للوصول إلى حساب التخزين بشكل آمن. تفرض الخدمات الموثوقة مصادقة الهوية المُدارة، الأمر الذي يضمن عدم تمكن أي منشئ بيانات آخر من الاتصال بهذا التخزين ما لم تتم الموافقة على ذلك باستخدام الهوية المدارة. يمكنك العثور على مزيد من التفاصيل في هذه المدونة. وبالتالي، إنها آمنة للغاية ويوصى باستخدامها.
• IP ثابت فريد - ستحتاج إلى إعداد وقت تشغيل التكامل المستضاف ذاتياً للحصول على IP ثابت لموصلات منشئ البيانات. تضمن هذه الآلية إمكانية حظر الوصول من جميع عناوين IP الأخرى.
• نطاق IP ثابت - يمكنك استخدام عناوين IP الخاصة بوقت تشغيل تكامل Azure للسماح بإدراجها في التخزين (مثل S3 وSalesforce وما إلى ذلك). إنها بالتأكيد تقيّد عناوين الـ IP التي يمكنها الاتصال بمخازن البيانات لكنها تعتمد على المصادقة/قواعد المصادقة.
• علامة الخدمة - تمثل علامة الخدمة مجموعة من بادئات عناوين IP من خدمة Azure معينة (مثل Azure Data Factory). تقوم Microsoft بإدارة بادئات العناوين التي تشملها علامة الخدمة، كما تقوم بتحديث علامة الخدمة تلقائيًا مع تغيير العناوين، ما يقلل من تعقيد التحديثات المتكررة لقواعد أمان الشبكة. إنها مفيدة عند تصفية الوصول إلى البيانات على مخازن البيانات المستضافة في IaaS في الشبكة الظاهرية.
• السماح بخدمات Azure - تتيح لك بعض الخدمات السماح باتصال جميع خدمات Azure بها في حالة اختيار هذا الخيار.

لمزيد من المعلومات عن آليات أمان الشبكة المعتمدة في مخازن البيانات في وقت تشغيل تكامل Azure ووقت تشغيل التكامل المستضاف ذاتياً، راجع الجدولين أدناه.

• Microsoft Integration Runtime

  مخازن البيانات	آلية أمان الشبكة المعتمدة في مخازن البيانات	Private Link	خدمة موثوقة	نطاق IP ثابت	علامات الخدمة	السماح بخدمات Azure
  مخازن بيانات PaaS من Azure	Azure Cosmos DB	‏‏نعم‬	-	نعم	-	‏‏نعم‬
  	Azure Data Explorer ‏(Kusto)	-	-	‏‏نعم‬*	‏‏نعم‬*	-
  	Azure Data Lake Gen1	-	-	‏‏نعم‬	-	‏‏نعم‬
  	قاعدة بيانات Azure لـ MariaDB وMySQL وPostgreSQL	-	-	‏‏نعم‬	-	‏‏نعم‬
  	ملفات Azure	‏‏نعم‬	-	‏‏نعم‬	-	.
  	تخزين كائن ثنائي كبير الحجم من Azure وADLS Gen2	‏‏نعم‬	نعم (مصادقة MSI فقط)	‏‏نعم‬	-	.
  	Azure SQL DB وAzure Synapse Analytics) وSQL Ml	نعم (Azure SQL DB/DW فقط)	-	‏‏نعم‬	-	‏‏نعم‬
  	Azure Key Vault (لجلب البيانات السرية/سلسلة الاتصال)	yes	نعم	‏‏نعم‬	-	-
  مخازن بيانات PaaS/SaaS أخرى	AWS S3 وSalesForce والتخزين السحابي من Google وما إلى ذلك.	-	-	‏‏نعم‬	-	-
  	Snowflake	‏‏نعم‬	-	‏‏نعم‬	-	-
  Azure IaaS	خادم SQL وOracle وما إلى ذلك.	-	-	‏‏نعم‬	‏‏نعم‬	-
  خدمة تأجير البنية التحتية محلية	خادم SQL وOracle وما إلى ذلك.	-	-	‏‏نعم‬	-	-

  *قابل للتطبيق فقط عند إدخال Azure Data Explorer في الشبكة الظاهرية، ويمكن تطبيق نطاق IP على NSG/جدار الحماية.

• وقت تشغيل التكامل المستضاف ذاتياً (في Vnet/في الموقع)

  مخازن البيانات	آلية أمان الشبكة المعتمدة في مخازن البيانات	IP ثابت	خدمات موثوقة
  مخازن بيانات PaaS من Azure	Azure Cosmos DB	‏‏نعم‬	-
  	Azure Data Explorer ‏(Kusto)	-	-
  	Azure Data Lake Gen1	‏‏نعم‬	-
  	قاعدة بيانات Azure لـ MariaDB وMySQL وPostgreSQL	‏‏نعم‬	-
  	ملفات Azure	‏‏نعم‬	-
  	تخزين كائن ثنائي كبير الحجم من Azure وADLS Gen2	‏‏نعم‬	نعم (مصادقة MSI فقط)
  	Azure SQL DB وAzure Synapse Analytics) وSQL Ml	‏‏نعم‬	-
  	Azure Key Vault (لجلب البيانات السرية/سلسلة الاتصال)	‏‏نعم‬	‏‏نعم‬
  مخازن بيانات PaaS/SaaS أخرى	AWS S3 وSalesForce والتخزين السحابي من Google وما إلى ذلك.	‏‏نعم‬	-
  Azure laaS	خادم SQL وOracle وما إلى ذلك.	‏‏نعم‬	-
  laaS في الموقع	خادم SQL وOracle وما إلى ذلك.	‏‏نعم‬	-

المحتوى ذو الصلة

لمزيد من المعلومات، يُرجي الاطلاع على المقالات التالية ذات الصلة:

• مخازن البيانات المدعومة
• خدمات Azure Key Vault الموثوق بها
• تخزين Azure "خدمات Microsoft الموثوقة"
• الهوية المدارة لـ Data Factory