Estrategias de acceso a datos

SE APLICA A: Azure Data Factory Azure Synapse Analytics

Sugerencia

Pruebe Data Factory en Microsoft Fabric, una solución de análisis todo en uno para empresas. Microsoft Fabric abarca todo, desde el movimiento de datos hasta la ciencia de datos, el análisis en tiempo real, la inteligencia empresarial y los informes. Obtenga información sobre cómo iniciar una nueva evaluación gratuita.

Uno de los principales objetivos de seguridad de una organización es proteger sus almacenes de datos del acceso aleatorio a través de Internet; puede ser un almacén de datos local o de nube o SaaS.

Normalmente, un almacén de datos en la nube controla el acceso mediante los mecanismos siguientes:

• Vínculo privado de una red virtual a los orígenes de datos habilitados para el punto de conexión privado
• Reglas de firewall que limitan la conectividad mediante una dirección IP
• Mecanismos de autenticación que solicitan a los usuarios sus identidades
• Mecanismos de autorización que limitan los usuarios a acciones y datos específicos

Sugerencia

Con la introducción del intervalo de direcciones IP estáticas, ahora puede permitir la lista de intervalos IP para la región del entorno de ejecución de integración de Azure determinada para asegurarse de que no tiene que permitir todas las direcciones IP de Azure en los almacenes de datos en la nube. De este modo, puede restringir las direcciones IP a las que se les permite el acceso a los almacenes de datos.

Nota:

Los intervalos de direcciones IP están bloqueados para Azure Integration Runtime y actualmente solo se usan para el movimiento de datos, la canalización y las actividades externas. Los flujos de datos y Azure Integration Runtime que habilitan managed Virtual Network ahora no usan estos intervalos IP.

Esto debería funcionar en muchos escenarios, y sabemos que es deseable una dirección IP estática única por cada tiempo de ejecución de integración, pero actualmente esto no sería posible mediante el uso de Azure Integration Runtime, que está sin servidor. Si es necesario, siempre puede configurar un entorno de ejecución de integración autohospedado y usar su dirección IP estática.

Estrategias de acceso a datos a través de Azure Data Factory

• Private Link : puede crear una instancia de Azure Integration Runtime en Azure Data Factory Managed Virtual Network y aprovechar los puntos de conexión privados para conectarse de forma segura a los almacenes de datos admitidos. El tráfico entre Managed Virtual Network y los orígenes de datos viaja por la red troncal de Microsoft y no se expone a la red pública.
• Servicio de confianza: Azure Storage (Blob, ADLS Gen2) y Azure Key Vault admiten la configuración del firewall que permite seleccionar servicios de plataforma de Azure de confianza para acceder a ellos de forma segura. Los servicios de confianza aplican la autenticación de identidad administrada, lo que garantiza que ninguna otra factoría de datos pueda conectarse a este almacenamiento, a menos que tenga la aprobación para hacerlo mediante su identidad administrada.

Nota:

Los siguientes escenarios no están en la lista de servicios de confianza:

1. Uso de un entorno de ejecución de integración autohospedado o SSIS Integration Runtime
2. Uso de cualquiera de los siguientes tipos de actividad: > - Webhook > - Custom > - Azure Function
3. Uso de cualquiera de los siguientes conectores: > - AzureBatch > - AzureFunction > - AzureFile > - OData

• IP estática única : deberá configurar un entorno de ejecución de integración autohospedado para obtener una dirección IP estática para los conectores de Data Factory. Este mecanismo garantiza que puede bloquear el acceso desde todas las demás direcciones IP.
• Intervalo de direcciones IP estáticas: puede usar las direcciones IP de Azure Integration Runtime para permitir que se muestren en el almacenamiento (por ejemplo, S3, Salesforce, etc.). Ciertamente, restringe las direcciones IP que se pueden conectar a los almacenes de datos, pero también se basa en las reglas de autenticación y autorización.
• Etiqueta de servicio : una etiqueta de servicio representa un grupo de prefijos de direcciones IP de un servicio de Azure determinado (como Azure Data Factory). Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian, lo que minimiza la complejidad de las actualizaciones frecuentes en las reglas de seguridad de red. Resulta útil al filtrar el acceso a datos en almacenes de datos hospedados de IaaS en Virtual Network.
• Permitir servicios de Azure: algunos servicios admiten permitir que todos los servicios de Azure se conecten a él en caso de que elija esta opción.

Para obtener más información sobre los mecanismos de seguridad de red admitidos en los almacenes de datos de Azure Integration Runtime y Integration Runtime autohospedado, consulte las dos tablas siguientes.

• Azure Integration Runtime

  Almacenes de datos	Mecanismo de seguridad de red compatible con almacenes de datos	Enlace Privado	Servicio de confianza	Rango de direcciones IP estáticas	Etiquetas de servicio	Permitir servicios de Azure
  Almacenes de datos PaaS de Azure	Azure Cosmos DB (la base de datos de Azure Cosmos)	Sí	-	Sí	-	Sí
  	Explorador de datos de Azure	-	-	Sí*	Sí*	-
  	Azure Data Lake Gen1	-	-	Sí	-	Sí
  	Azure Database for MariaDB, MySQL y PostgreSQL	-	-	Sí	-	Sí
  	Azure Files	Sí	-	Sí	-	.
  	Azure Blob Storage y ADLS Gen2	Sí	Sí (solo autenticación MSI)	Sí	-	.
  	Azure SQL DB, Azure Synapse Analytics), SQL Ml	Sí (solo Azure SQL DB/DW)	-	Sí	-	Sí
  	Azure Key Vault (para capturar secretos/cadena de conexión)	sí	Sí	Sí	-	-
  Otros almacenes de datos de PaaS/SaaS	AWS S3, SalesForce, Google Cloud Storage, etc.	-	-	Sí	-	-
  	Copo de nieve	Sí	-	Sí	-	-
  IaaS de Azure	SQL Server, Oracle, etc.	-	-	Sí	Sí	-
  IaaS local	SQL Server, Oracle, etc.	-	-	Sí	-	-

  * Solo se aplica cuando Azure Data Explorer es la red virtual inyectada y se puede aplicar el intervalo IP en NSG/Firewall.

• Entorno de ejecución de integración autohospedado (en Vnet/local)

  Almacenes de datos	Mecanismo de seguridad de red compatible con almacenes de datos	IP estática	Servicios de confianza
  Almacenes de datos PaaS de Azure	Azure Cosmos DB (la base de datos de Azure Cosmos)	Sí	-
  	Explorador de datos de Azure	-	-
  	Azure Data Lake Gen1	Sí	-
  	Azure Database for MariaDB, MySQL y PostgreSQL	Sí	-
  	Azure Files	Sí	-
  	Azure Blob Storage y ADLS Gen2	Sí	-
  	Azure SQL DB, Azure Synapse Analytics), SQL Ml	Sí	-
  	Azure Key Vault (para capturar secretos/cadena de conexión)	Sí	-
  Otros almacenes de datos de PaaS/SaaS	AWS S3, SalesForce, Google Cloud Storage, etc.	Sí	-
  Azure laaS	SQL Server, Oracle, etc.	Sí	-
  IaaS en las instalaciones	SQL Server, Oracle, etc.	Sí	-

Contenido relacionado

Para más información, consulte los siguientes artículos:

• Almacenes de datos compatibles
• Servicios de confianza de Azure Key Vault
• Servicios de confianza de Microsoft Azure Storage
• Identidad administrada de Data Factory