Notas del producto sobre seguridad de Azure Synapse Analytics: seguridad de red
Nota
Este artículo forma parte de la serie de artículos de las notas del producto sobre seguridad de Azure Synapse Analytics. Para obtener información general de la serie, consulte Notas del producto sobre seguridad de Azure Synapse Analytics: introducción.
Para proteger Azure Synapse, hay una variedad de opciones de seguridad de red que se deben tener en cuenta.
Terminología de seguridad de red
En esta sección de apertura, se proporciona información general y definiciones de algunos de los términos clave de Azure Synapse relacionados con la seguridad de red. Tenga en cuenta estas definiciones al leer este artículo.
Área de trabajo de Synapse
Un área de trabajo de Synapse es una colección lógica protegible de todos los servicios que ofrece Azure Synapse. Incluye grupos de SQL dedicados (anteriormente, SQL DW), grupos de SQL sin servidor, grupos de Apache Spark, canalizaciones y otros servicios. Ciertas opciones de configuración de red, como las reglas de firewall de IP, la red virtual administrada y los inquilinos aprobados para la protección contra filtración de información, se configuran y protegen en el nivel de área de trabajo.
Puntos de conexión del área de trabajo de Synapse
Un punto de conexión es un punto de una conexión entrante para acceder a un servicio. Cada área de trabajo de Synapse tiene tres puntos de conexión distintos:
- Punto de conexión de SQL dedicado, para acceder a grupos de SQL dedicados.
- Punto de conexión de SQL sin servidor, para acceder a grupos de SQL sin servidor.
- Punto de conexión de desarrollo, para acceder a grupos de Apache Spark y recursos de canalización del área de trabajo.
Estos puntos de conexión se crean automáticamente cuando se crea el área de trabajo de Synapse.
Synapse Studio
Synapse Studio es un entorno de desarrollo de front-end web seguro para Azure Synapse. Admite varios roles, incluidos ingeniero de datos, científico de datos, desarrollador de datos, analista de datos y administrador de Synapse.
Utilice Synapse Studio para efectuar varias operaciones de administración y datos en Azure Synapse, como las siguientes:
- Conexión a grupos de SQL dedicados, grupos de SQL sin servidor y ejecución de scripts de SQL.
- Desarrollo y ejecución de cuadernos en grupos de Apache Spark.
- Desarrollo y ejecución de canalizaciones.
- Supervisión de grupos de SQL dedicados, grupos de SQL sin servidor, grupos de Apache Spark y trabajos de canalización.
- Administración de los permisos de RBAC de Synapse de los elementos de área de trabajo.
- Creación de conexiones de punto de conexión privado administrado con orígenes de datos y receptores.
Las conexiones a los puntos de conexión del área de trabajo se pueden realizar mediante Synapse Studio. Además, es posible crear puntos de conexión privados para asegurarse de que la comunicación con los puntos de conexión del área de trabajo sea privada.
Reglas de firewall y acceso a la red pública
De manera predeterminada, los puntos de conexión del área de trabajo son puntos de conexión públicos cuando se aprovisionan. Está habilitado el acceso a estos puntos de conexión del área de trabajo desde cualquier red pública, incluidas las redes que están fuera de la organización del cliente, sin necesidad de una conexión VPN ni una conexión de ExpressRoute a Azure.
Todos los servicios de Azure, incluidos los servicios de PaaS como Azure Synapse, están protegidos por la protección contra DDoS básica para mitigar los ataques malintencionados (supervisión activa del tráfico, detección siempre activa y mitigaciones automáticas de ataques).
Todo el tráfico a los puntos de conexión del área de trabajo, incluso mediante redes públicas, se cifra y protege en tránsito mediante el protocolo de Seguridad de la capa de transporte (TLS).
Para proteger los datos confidenciales, se recomienda deshabilitar completamente el acceso público a los puntos de conexión del área de trabajo. Al hacerlo, se garantiza que solo se pueda acceder a cualquier punto de conexión del área de trabajo mediante puntos de conexión privados.
La deshabilitación del acceso público para todas las áreas de trabajo de Synapse de una suscripción o un grupo de recursos se aplica mediante la asignación de una directiva de Azure. También es posible deshabilitar el acceso a la red pública por cada área de trabajo en función de la confidencialidad de los datos procesados por el área de trabajo.
Sin embargo, si es necesario habilitar el acceso público, se recomienda configurar las reglas de firewall de IP para permitir conexiones de entrada solo desde la lista especificada de direcciones IP públicas.
Considere la posibilidad de habilitar el acceso público cuando el entorno local no tenga acceso mediante VPN o ExpressRoute a Azure y se requiera acceso a los puntos de conexión del área de trabajo. En este caso, especifique una lista de direcciones IP públicas de los centros de datos y las puertas de enlace locales en las reglas de firewall de IP.
Puntos de conexión privados
Un punto de conexión privado de Azure es una interfaz de red virtual con una dirección IP privada que se crea en la propia subred de la instancia de Azure Virtual Network (red virtual) del cliente. Se puede crear un punto de conexión privado para cualquier servicio de Azure que admita puntos de conexión privados, como Azure Synapse, grupos de SQL dedicados (anteriormente, SQL DW), bases de datos de Azure SQL, Azure Storage o cualquier servicio de Azure con tecnología del servicio Azure Private Link.
Es posible crear puntos de conexión privados en la red virtual para los tres puntos de conexión del área de trabajo de Synapse individualmente. De este modo, se podrían crear tres puntos de conexión privados para los tres puntos de conexión de un área de trabajo de Synapse: uno para el grupo de SQL dedicado, otro para el grupo de SQL sin servidor y otro para el punto de conexión de desarrollo.
Los puntos de conexión privados tienen muchas ventajas de seguridad en comparación con los puntos de conexión públicos. Solo se puede acceder a los puntos de conexión privados de una red virtual de Azure desde:
- La misma red virtual que contiene al punto de conexión privado.
- Redes virtuales de Azure emparejadas de forma regional o global.
- Redes locales conectadas a Azure mediante VPN Gateway o ExpressRoute.
La principal ventaja de los puntos de conexión privados es que ya no es necesario exponer los puntos de conexión del área de trabajo a la red pública de Internet. A menor exposición, mejor.
En el diagrama siguiente, se muestran los puntos de conexión privados.
En el diagrama anterior, se muestran los siguientes puntos clave:
| Elemento | Descripción |
|---|---|
 |
Las estaciones de trabajo de la red virtual del cliente acceden a los puntos de conexión privados de Azure Synapse. |
 |
Emparejamiento entre la red virtual del cliente y otra red virtual. |
 |
La estación de trabajo de la red virtual emparejada accede los puntos de conexión privados de Azure Synapse. |
 |
La red local accede a los puntos de conexión privados de Azure Synapse mediante VPN o ExpressRoute. |
 |
Los puntos de conexión del área de trabajo se asignan a la red virtual del cliente mediante puntos de conexión privados con el servicio Azure Private Link. |
 |
El acceso público está deshabilitado en el área de trabajo de Synapse. |
En el diagrama siguiente, se asigna un punto de conexión privado a una instancia de un recurso de PaaS en lugar de a todo el servicio. En caso de que se produzca un incidente de seguridad dentro de la red, solo se expone la instancia del recurso asignado, lo que minimiza la exposición y la amenaza de pérdida y filtración de datos.
En el diagrama anterior, se muestran los siguientes puntos clave:
| Elemento | Descripción |
|---|---|
|
El punto de conexión privado de la red virtual del cliente se asigna a un único punto de conexión de grupo de SQL dedicado (anteriormente, SQL DW) en el área de trabajo A. |
|
Los otros puntos de conexión de grupo de SQL de las otras áreas de trabajo (B y C) no son accesibles mediante este punto de conexión privado, lo que minimiza la exposición. |
El punto de conexión privado funciona entre inquilinos y regiones de Microsoft Entra, por lo que es posible crear conexiones de punto de conexión privado a áreas de trabajo de Synapse entre inquilinos y regiones. En este caso, pasa por el flujo de trabajo de aprobación de conexión de punto de conexión privado. El propietario del recurso controla qué conexiones de punto de conexión privado se aprueban o deniegan. El propietario del recurso tiene el control total de quién puede conectarse a sus áreas de trabajo.
En el diagrama siguiente, se muestra un flujo de trabajo de aprobación de conexión de punto de conexión privado.
En el diagrama anterior, se muestran los siguientes puntos clave:
| Elemento | Descripción |
|---|---|
|
Un punto de conexión privado de la red virtual del cliente en el inquilino A accede al grupo de SQL dedicado (anteriormente, SQL DW) en el área de trabajo A del inquilino A. |
|
Un punto de conexión privado de la red virtual del cliente en el inquilino B accede al mismo grupo de SQL dedicado (anteriormente, SQL DW) en el área de trabajo A del inquilino A mediante un flujo de trabajo de aprobación de conexión. |
VNET administrada
La característica VNET administrada de Synapse proporciona un aislamiento de red totalmente administrado para el grupo de Apache Spark y los recursos de proceso de canalización entre áreas de trabajo de Synapse. Se puede configurar en el momento de la creación del área de trabajo. Además, también proporciona aislamiento de red para los clústeres de Spark dentro de la misma área de trabajo. Cada área de trabajo tiene su propia red virtual, totalmente administrada por Synapse. La VNET administrada no está visible para que los usuarios realicen modificaciones. Cualquier canalización o recurso de proceso del grupo de Apache Spark iniciado por Azure Synapse en una VNET administrada se aprovisiona dentro de su propia red virtual. De este modo, hay aislamiento de red completo de otras áreas de trabajo.
Esta configuración elimina la necesidad de crear y administrar redes virtuales y grupos de seguridad de red para los recursos de canalización y del grupo de Apache Spark, como se suele hacer mediante la inserción de red virtual.
Por lo tanto, los servicios multiinquilino de un área de trabajo de Synapse, como los grupos de SQL dedicados y los grupos de SQL sin servidor, no se aprovisionan dentro de la VNET administrada.
En el diagrama siguiente, se muestra el aislamiento de red entre dos VNET administradas de las áreas de trabajo A y B con sus recursos de canalización y del grupo de Apache Spark dentro de las VNET administradas.
Conexión de punto de conexión privado administrado
Una conexión de punto de conexión privado administrado permite conexiones a cualquier servicio de PaaS de Azure (que admita Private Link), de forma segura y sin problemas, sin necesidad de crear un punto de conexión privado para ese servicio desde la red virtual del cliente. Synapse crea y administra automáticamente el punto de conexión privado. Estas conexiones las usan los recursos de proceso que se aprovisionan dentro de la VNET administrada de Synapse, como los grupos de Apache Spark y los recursos de canalización, para conectarse a los servicios de PaaS de Azure de forma privada.
Por ejemplo, si desea conectarse a la cuenta de Azure Storage de forma privada desde la canalización, el enfoque habitual es crear un punto de conexión privado para la cuenta de almacenamiento y usar un entorno de ejecución de integración autohospedado para conectarse al punto de conexión privado de almacenamiento. Con las VNET administradas de Synapse, puede conectarse de forma privada a la cuenta de almacenamiento mediante un entorno de ejecución de integración autohospedado de Azure simplemente mediante la creación de una conexión de punto de conexión privado administrado directamente a esa cuenta de almacenamiento. Este enfoque elimina la necesidad de tener un entorno de ejecución de integración autohospedado para conectarse a los servicios de PaaS de Azure de forma privada.
Por lo tanto, los servicios multiinquilino de un área de trabajo de Synapse, como los grupos de SQL dedicados y los grupos de SQL sin servidor, no se aprovisionan dentro de la VNET administrada. Por lo tanto, no usan las conexiones de punto de conexión privado administrado creadas en el área de trabajo para su conectividad de salida.
En el diagrama siguiente, se muestra un punto de conexión privado administrado que se conecta a una cuenta de Azure Storage desde una VNET administrada en el área de trabajo A.
Seguridad avanzada de Spark
Una VNET administrada también proporciona algunas ventajas adicionales para los usuarios del grupo de Apache Spark. No es necesario preocuparse por configurar un espacio de direcciones de subred fijo como se haría en la inserción de red virtual. Azure Synapse se encarga de asignar automáticamente estos espacios de direcciones de forma dinámica para las cargas de trabajo.
Además, los grupos de Spark funcionan como un clúster de trabajo. Esto significa que cada usuario obtiene su propio clúster de Spark al interactuar con el área de trabajo. La creación de un grupo de Spark dentro del área de trabajo es información de metadatos de lo que se asignará al usuario al ejecutar cargas de trabajo de Spark. Esto significa que cada usuario tendrá su propio clúster de Spark en una subred dedicada dentro de la VNET administrada para ejecutar las cargas de trabajo. Las sesiones del grupo de Spark del mismo usuario se ejecutan en los mismos recursos de proceso. Al proporcionar esta funcionalidad, hay tres ventajas principales:
- Mayor seguridad debido al aislamiento de las cargas de trabajo en función del usuario.
- Reducción de vecinos ruidosos.
- Mayor rendimiento.
Protección contra la filtración de datos
Las áreas de trabajo de Synapse con VNET administrada tienen una característica de seguridad adicional llamada protección contra la filtración de datos. Protege todo el tráfico de salida que sale de Azure Synapse desde todos los servicios, incluidos los grupos de SQL dedicados, los grupos de SQL sin servidor, los grupos de Apache Spark y las canalizaciones. Se configura habilitando la protección contra la filtración de datos en el nivel de área de trabajo (al momento de la creación del área de trabajo) para restringir las conexiones de salida a una lista permitida de inquilinos de Microsoft Entra. De manera predeterminada, solo se agrega a la lista el inquilino principal del área de trabajo, aunque es posible agregar o modificar la lista de inquilinos de Microsoft Entra en cualquier momento después de crear el área de trabajo. La adición de inquilinos adicionales es una operación con privilegios elevados que requiere el rol con privilegios elevados Administrador de Synapse. Controla eficazmente la filtración de datos de Azure Synapse a otras organizaciones e inquilinos, sin necesidad de tener directivas de seguridad de red complicadas.
En el caso de las áreas de trabajo con la protección contra la filtración de datos habilitada, las canalizaciones de Synapse y los grupos de Apache Spark deben usar conexiones de punto de conexión privado administrado para todas sus conexiones salientes.
El grupo de SQL dedicado y el grupo de SQL sin servidor no usan puntos de conexión privados administrados para su conectividad saliente; sin embargo, cualquier conectividad de salida de los grupos de SQL solo se puede realizar a los destinos aprobados, que son los destinos de las conexiones de punto de conexión privado administrado.
Private Link Hubs para Synapse Studio
Synapse Private Link Hubs permite conectarse de forma segura a Synapse Studio desde la red virtual del cliente mediante Azure Private Link. Esta característica es útil para los clientes que desean acceder al área de trabajo de Synapse mediante Synapse Studio desde un entorno controlado y restringido, en el que el tráfico de Internet de salida está restringido a un conjunto limitado de servicios de Azure.
Esto se logra mediante la creación de un recurso de Private Link Hubs y un punto de conexión privado a este centro desde la red virtual. A continuación, este punto de conexión privado se usa para acceder a Studio mediante su nombre de dominio completo (FQDN), web.azuresynapse.net, con una dirección IP privada de la red virtual. El recurso de Private Link Hubs descarga el contenido estático de Synapse Studio a la estación de trabajo del usuario mediante Azure Private Link. Además, se deben crear puntos de conexión privados independientes para los puntos de conexión individuales del área de trabajo para asegurarse de que la comunicación con los puntos de conexión del área de trabajo sea privada.
En el diagrama siguiente, se muestran los centros de vínculos privados para Synapse Studio.
En el diagrama anterior, se muestran los siguientes puntos clave:
| Elemento | Descripción |
|---|---|
|
La estación de trabajo de una red virtual restringida del cliente accede a Synapse Studio mediante un explorador web. |
|
Se usa un punto de conexión privado creado para el recurso de Private Link Hubs para descargar el contenido estático de Studio mediante Azure Private Link. |
|
Los puntos de conexión privados creados para los puntos de conexión del área de trabajo de Synapse acceden a los recursos del área de trabajo de forma segura mediante Azure Private Link. |
|
Las reglas del grupo de seguridad de red de la red virtual restringida del cliente permiten el tráfico de salida mediante el puerto 443 a un conjunto limitado de servicios de Azure, como Azure Resource Manager, Azure Front Door y Microsoft Entra ID. |
|
Las reglas del grupo de seguridad de red de la red virtual restringida del cliente deniegan el resto del tráfico saliente desde la red virtual. |
|
El acceso público está deshabilitado en el área de trabajo de Synapse. |
Grupo de SQL dedicado (anteriormente SQL DW)
Antes de la oferta de Azure Synapse, se ofrecía un producto de almacenamiento de datos de Azure SQL llamado SQL DW. Ahora, se le ha cambiado el nombre a grupo de SQL dedicado (anteriormente, SQL DW).
El grupo de SQL dedicado (anteriormente, SQL DW) se crea dentro de un servidor lógico de Azure SQL. Se trata de una construcción lógica protegible que actúa como punto administrativo central para una colección de bases de datos, incluidos SQL DW y otras bases de datos de Azure SQL.
La mayoría de las características principales de seguridad de red que se han analizado en las secciones anteriores de este artículo para Azure Synapse también son aplicables al grupo de SQL dedicado (anteriormente, SQL DW). Incluyen:
- Reglas de firewall de IP
- Deshabilitación del acceso a la red pública
- Puntos de conexión privados
- Protección contra la filtración de datos mediante reglas de firewall de salida
Puesto que el grupo de SQL dedicado (anteriormente, SQL DW) es un servicio multiinquilino, no se aprovisiona dentro de una VNET administrada. Esto significa que algunas de las características, como VNET administrada y las conexiones de punto de conexión privado administrado, no son aplicables.
Matriz de características de seguridad de red
En la tabla comparativa siguiente, se proporciona información general de las características de seguridad de red admitidas en las ofertas de Azure Synapse:
| Característica | Azure Synapse: grupo de Apache Spark | Azure Synapse: grupo de SQL dedicado | Azure Synapse: grupo de SQL sin servidor | Grupo de SQL dedicado (anteriormente SQL DW) |
|---|---|---|---|---|
| Reglas de firewall de IP | Sí | Sí | Sí | Sí |
| Deshabilitación del acceso público | Sí | Sí | Sí | Sí |
| Puntos de conexión privados | Sí | Sí | Sí | Sí |
| Protección contra la filtración de datos | Sí | Sí | Sí | Sí |
| Protección del acceso mediante Synapse Studio | Sí | Sí | Sí | No |
| Acceso desde una red restringida mediante el centro de vínculos privados de Synapse | Sí | Sí | Sí | No |
| VNET administrada y aislamiento de red de nivel de área de trabajo | Sí | N/D | N/D | N/D |
| Conexiones de punto de conexión privado administrado para la conectividad de salida | Sí | N/D | N/D | N/D |
| Aislamiento de red de nivel de usuario | Sí | N/D | N/D | N/D |
Pasos siguientes
En el siguiente artículo de esta serie de artículos, obtendrá información sobre la protección contra amenazas.