Dokument white paper o zabezpečení Azure Synapse Analytics: Úvod
Shrnutí: Azure Synapse Analytics je neomezená analytická platforma Microsoftu, která integruje podnikové datové sklady a zpracování velkých objemů dat do jednoho spravovaného prostředí bez nutnosti integrace systému. Azure Synapse poskytuje ucelené nástroje pro váš analytický životní cyklus:
- Kanály pro integraci dat
- Fond Apache Sparku pro zpracování velkých objemů dat
- Průzkumník dat pro analýzu protokolů a časových řad.
- Bezserverový fond SQL pro zkoumání dat přes Azure Data Lake
- Vyhrazený fond SQL (dříve SQL DW) pro podnikové datové sklady
- Hloubková integrace s Power BI, Azure Cosmos DB a Azure Machine Learning.
Zabezpečení dat Azure Synapse a ochrana osobních údajů nejsou vyjednána. Účelem tohoto dokumentu white paper je poskytnout komplexní přehled funkcí zabezpečení Azure Synapse, které jsou špičkové a podnikové úrovně. Dokument white paper obsahuje řadu článků, které pokrývají následující pět vrstev zabezpečení:
- Ochrana dat
- Řízení přístupu
- Ověřování
- Zabezpečení sítě
- Ochrana před hrozbami
Tato dokument white paper cílí na všechny zúčastněné strany zabezpečení podniku. Patří mezi ně správci zabezpečení, správa sítě, správci Azure, správci pracovních prostorů a správci databází.
Spisovatelé: Vengatesh Parasuraman, Fretz Nuson, Ron Dunn, Khendr'a Reid, John Hoang, Nithesh Krishnappa, Mykola Kovalenko, Brad Schacht, Pedro Martinez, Mark Pryce-Maher a Arshad Ali.
Technické hodnotící: Nandita Valsan, Rony Thomas, Abhishek Narain, Daniel Crawford a Tammy Richter Jones.
Platí pro: Azure Synapse Analytics, vyhrazený fond SQL (dříve SQL DW), bezserverový fond SQL a fond Apache Spark.
Důležité
Tento dokument white paper se nevztahuje na Azure SQL Database, Azure SQL Managed Instance, Azure Machine Learning ani Azure Databricks.
Úvod
Společnosti, které se zajímají o modernizaci cloudu, znepokojuje spousta věcí, mimo jiné časté titulky o únicích dat, malwarových útocích a injektáži škodlivého kódu. Zákazník představující velký podnik potřebuje poskytovatele cloudových služeb nebo řešení služeb schopné odpovědět na jeho obavy, protože si v této oblasti nemůže dovolit šlápnout vedle.
Mezi běžné otázky týkající se zabezpečení patří:
- Jak budu moct určovat, kdo uvidí jaká data?
- Jaké budu mít možnosti pro ověření identity uživatele?
- Jak budou naše data chráněná?
- Jakou technologii zabezpečení sítě budu moct používat k ochraně integrity, důvěrnosti a přístupu k sítím a datům?
- Které nástroje budou detekovat hrozby a upozorňují mě na ně?
Účelem této bílé knihy je poskytnout odpovědi na tyto běžné bezpečnostní otázky a mnoho dalších.
Architektura komponent
Azure Synapse je analytická služba PaaS (Platforma jako služba), která spojuje několik nezávislých komponent, jako jsou vyhrazené fondy SQL, bezserverové fondy SQL, fondy Apache Sparku a kanály integrace dat. Tyto komponenty jsou navržené tak, aby společně poskytovaly bezproblémové analytické prostředí.
Vyhrazené fondy SQL jsou zřízené clustery, které poskytují možnosti podnikových datových skladů pro úlohy SQL. Data se ingestují do spravovaného úložiště využívajícího Azure Storage, což je také služba PaaS. Výpočetní prostředky jsou izolované od úložiště, které zákazníkům umožňuje škálovat výpočetní prostředky nezávisle na jejich datech. Vyhrazené fondy SQL také poskytují možnost dotazovat se na datové soubory přímo přes účty Azure Storage spravované zákazníkem pomocí externích tabulek.
Bezserverové fondy SQL jsou clustery na vyžádání, které poskytují rozhraní SQL pro dotazování a analýzu dat přímo přes účty Azure Storage spravované zákazníkem. Vzhledem k tomu, že jsou bezserverové, neexistuje žádné spravované úložiště a výpočetní uzly se automaticky škálují v reakci na zatížení dotazů.
Apache Spark v Azure Synapse je jednou z implementací Open Source Apache Sparku v cloudu od Microsoftu. Instance Sparku se zřizují na vyžádání na základě konfigurací metadat definovaných ve fondech Sparku. Každý uživatel získá vlastní vyhrazenou instanci Sparku pro spouštění svých úloh. Datové soubory zpracovávané instancemi Sparku spravuje zákazník ve svých vlastních účtech Azure Storage.
Kanály jsou logické seskupení aktivit, které provádějí přesun dat a transformaci dat ve velkém měřítku. Tok dat je aktivita transformace v kanálu vyvinutém pomocí uživatelského rozhraní s nízkým kódem. Může provádět transformace dat ve velkém měřítku. Toky dat na pozadí používají clustery Apache Sparku Azure Synapse k automatickému vygenerování kódu. Kanály a toky dat jsou výpočetní služby a nemají k nim přidružené žádné spravované úložiště.
Kanály používají prostředí Integration Runtime (IR) jako škálovatelnou výpočetní infrastrukturu pro provádění aktivit přesunu a odesílání dat. Aktivity přesunu dat běží v prostředí IR, zatímco aktivity odesílání běží na různých dalších výpočetních modulech, včetně Azure SQL Database, Azure HDInsight, Azure Databricks, clusterů Apache Sparku azure Synapse a dalších. Azure Synapse podporuje dva typy prostředí IR: Azure Integration Runtime a místní prostředí Integration Runtime. Prostředí Azure IR poskytuje plně spravovanou, škálovatelnou a výpočetní infrastrukturu na vyžádání. Místní prostředí IR je nainstalované a nakonfigurované zákazníkem ve vlastní síti, a to buď v místních počítačích, nebo v cloudových virtuálních počítačích Azure.
Zákazníci se můžou rozhodnout přidružit svůj pracovní prostor Synapse k virtuální síti spravovaného pracovního prostoru. Pokud jsou přidružené k virtuální síti spravovaného pracovního prostoru, nasadí se do virtuální sítě spravovaného pracovního prostoru clustery Azure IRS a Apache Spark clustery, které používají kanály, toky dat a fondy Apache Sparku. Toto nastavení zajišťuje izolaci sítě mezi pracovními prostory pro kanály a úlohy Apache Sparku.
Následující diagram znázorňuje různé komponenty Azure Synapse.
Izolace komponent
Každá jednotlivá komponenta Azure Synapse znázorněná v diagramu poskytuje vlastní funkce zabezpečení. Funkce zabezpečení poskytují ochranu dat, řízení přístupu, ověřování, zabezpečení sítě a ochranu před hrozbami pro zabezpečení výpočetních prostředků a přidružených dat, která se zpracovávají. Kromě toho služba Azure Storage, která je službou PaaS, poskytuje další zabezpečení vlastního zabezpečení, které nastavuje a spravuje zákazník ve svých vlastních účtech úložiště. Tato úroveň limitů izolace komponent a minimalizuje riziko ohrožení zabezpečení v některé z jejích komponent.
Vrstvy zabezpečení
Azure Synapse implementuje vícevrstvý architekturu zabezpečení pro komplexní ochranu vašich dat. Existuje pět vrstev:
- Ochrana dat pro identifikaci a klasifikaci citlivých dat a šifrování neaktivních uložených dat a přenášených dat.
- Řízení přístupu k určení práva uživatele na interakci s daty
- Ověřování pro prokázání identity uživatelů a aplikací
- Zabezpečení sítě pro izolaci síťového provozu pomocí privátních koncových bodů a virtuálních privátních sítí
- Ochrana před hrozbami za účelem identifikace potenciálních bezpečnostních hrozeb, jako jsou neobvyklá umístění přístupu, útoky prostřednictvím injektáže SQL, útoky na ověřování a další.
Další kroky
V dalším článku této série white paper se dozvíte o ochraně dat.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro