Sdílet prostřednictvím

Strategie přístupu k datům

  • Článek

PLATÍ PRO: Azure Data Factory Azure Synapse Analytics

Tip

Vyzkoušejte si službu Data Factory v Microsoft Fabric, řešení pro analýzy typu all-in-one pro podniky. Microsoft Fabric zahrnuje všechno od přesunu dat až po datové vědy, analýzy v reálném čase, business intelligence a vytváření sestav. Přečtěte si, jak začít používat novou zkušební verzi zdarma.

Zásadním cílem zabezpečení organizace je chránit úložiště dat před náhodným přístupem přes internet, může se jednat o místní úložiště dat nebo cloudové úložiště dat SaaS.

Cloudové úložiště dat obvykle řídí přístup pomocí následujících mechanismů:

  • Private Link z virtuální sítě do zdrojů dat s povolenými privátními koncovými body
  • Pravidla brány firewall, která omezují připojení podle IP adresy
  • Mechanismy ověřování, které vyžadují, aby uživatelé prokázali svou identitu
  • Mechanismy autorizace, které omezují uživatele na konkrétní akce a data

Tip

Díky zavedení rozsahu statických IP adres teď můžete povolit rozsahy IP adres pro konkrétní oblast prostředí Azure Integration Runtime, abyste měli jistotu, že v cloudových úložištích dat nebudete muset povolit všechny IP adresy Azure. Tímto způsobem můžete omezit IP adresy, které mají povolený přístup k úložištům dat.

Poznámka:

Rozsahy IP adres jsou blokované pro Azure Integration Runtime a v současné době se používají jenom pro přesun dat, kanál a externí aktivity. Toky dat a prostředí Azure Integration Runtime, které umožňují spravovanou virtuální síť, teď tyto rozsahy IP adres nepoužívají.

To by mělo fungovat v mnoha scénářích a my chápeme, že by byla žádoucí jedinečná statická IP adresa na prostředí Integration Runtime, ale v současné době by to nebylo možné pomocí prostředí Azure Integration Runtime, což je bezserverová. V případě potřeby můžete vždy nastavit místní prostředí Integration Runtime a použít s ní statickou IP adresu.

Strategie přístupu k datům prostřednictvím služby Azure Data Factory

  • Private Link – Ve spravované virtuální síti Azure Data Factory můžete vytvořit prostředí Azure Integration Runtime a bude využívat privátní koncové body k zabezpečenému připojení k podporovaným úložištům dat. Provoz mezi spravovanou virtuální sítí a zdroji dat cestuje do páteřní sítě Microsoftu a není přístupný veřejné síti.
  • Důvěryhodná služba – Azure Storage (Blob, ADLS Gen2) podporuje konfiguraci brány firewall, která umožňuje vybrat důvěryhodné služby platformy Azure pro zabezpečený přístup k účtu úložiště. Důvěryhodné služby vynucují ověřování spravovaných identit, což zajišťuje, že se k tomuto úložišti nemůže připojit žádná jiná datová továrna, pokud to neschválili s použitím spravované identity. Další podrobnosti najdete v tomto blogu. Proto je to extrémně bezpečné a doporučené.
  • Jedinečná statická IP adresa – Budete muset nastavit místní prostředí Integration Runtime, abyste získali statickou IP adresu pro konektory služby Data Factory. Tento mechanismus zajišťuje blokování přístupu ze všech ostatních IP adres.
  • Rozsah statických IP adres – IP adresy prostředí Azure Integration Runtime můžete použít k jeho povolení v úložišti (například S3, Salesforce atd.). Určitě omezuje IP adresy, které se můžou připojit k úložišti dat, ale také závisí na ověřovacích a autorizačních pravidlech.
  • Značka služby – Značka služby představuje skupinu předpon IP adres z dané služby Azure (například Azure Data Factory). Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby jako změny adres a minimalizuje složitost častých aktualizací pravidel zabezpečení sítě. Je užitečné při filtrování přístupu k datům v úložištích dat hostovaných v IaaS ve virtuální síti.
  • Povolit služby Azure – Některé služby umožňují všem službám Azure připojit se k ní v případě, že zvolíte tuto možnost.

Další informace o podporovaných mechanismech zabezpečení sítě v úložištích dat v prostředí Azure Integration Runtime a prostředí Integration Runtime v místním prostředí najdete v následujících dvou tabulkách.

  • Azure Integration Runtime

    Úložiště dat Podporovaný mechanismus zabezpečení sítě v úložištích dat Private Link Důvěryhodná služba Rozsah statických IP adres Značky služeb Povolit služby Azure
    Úložiště dat Azure PaaS Azure Cosmos DB Ano - Ano - Yes
    Průzkumník dat Azure - - Ano* Ano* -
    Azure Data Lake Gen1 - - Ano - Yes
    Azure Database for MariaDB, MySQL, PostgreSQL - - Ano - Yes
    Soubory Azure Ano - Yes - .
    Azure Blob Storage a ADLS Gen2 Ano Ano (jenom ověřování MSI) Ano - .
    Azure SQL DB, Azure Synapse Analytics), SQL Ml Ano (pouze Azure SQL DB/DW) - Ano - Yes
    Azure Key Vault (pro načítání tajných kódů/ připojovací řetězec) ano Ano Yes - -
    Další úložiště dat PaaS/ SaaS AWS S3, SalesForce, Google Cloud Storage atd. - - Ano - -
    Snowflake Ano - Yes - -
    Azure IaaS SQL Server, Oracle atd. - - Ano Yes -
    Místní IaaS SQL Server, Oracle atd. - - Ano - -

    *Platí pouze v případě, že je Azure Data Explorer vložený do virtuální sítě a rozsah IP adres je možné použít na skupinu zabezpečení sítě nebo bránu firewall.

  • Místní prostředí Integration Runtime (v místní síti nebo virtuální síti)

    Úložiště dat Podporovaný mechanismus zabezpečení sítě v úložištích dat Statická IP adresa Důvěryhodné služby
    Úložiště dat Azure PaaS Azure Cosmos DB Ano -
    Průzkumník dat Azure - -
    Azure Data Lake Gen1 Ano -
    Azure Database for MariaDB, MySQL, PostgreSQL Ano -
    Soubory Azure Ano -
    Azure Blob Storage a ADLS Gen2 Ano Ano (jenom ověřování MSI)
    Azure SQL DB, Azure Synapse Analytics), SQL Ml Ano -
    Azure Key Vault (pro načítání tajných kódů/ připojovací řetězec) Ano Yes
    Další úložiště dat PaaS/ SaaS AWS S3, SalesForce, Google Cloud Storage atd. Ano -
    Azure laaS SQL Server, Oracle atd. Ano -
    Místní laaS SQL Server, Oracle atd. Ano -

Související obsah

Další informace najdete v následujících souvisejících článcích: