Partekatu honen bidez:


Estrategias de acceso a datos

SE APLICA A: Azure Data Factory Azure Synapse Analytics

Sugerencia

Pruebe Data Factory en Microsoft Fabric, una solución de análisis todo en uno para empresas. Microsoft Fabric abarca todo, desde el movimiento de datos hasta la ciencia de datos, el análisis en tiempo real, la inteligencia empresarial y los informes. Obtenga información sobre cómo iniciar una nueva evaluación gratuita.

Uno de los principales objetivos de seguridad de una organización es proteger sus almacenes de datos del acceso aleatorio a través de Internet; puede ser un almacén de datos local o de nube o SaaS.

Normalmente, un almacén de datos en la nube controla el acceso mediante los mecanismos siguientes:

  • Vínculo privado de una red virtual a los orígenes de datos habilitados para el punto de conexión privado
  • Reglas de firewall que limitan la conectividad mediante una dirección IP
  • Mecanismos de autenticación que solicitan a los usuarios sus identidades
  • Mecanismos de autorización que limitan los usuarios a acciones y datos específicos

Sugerencia

Con la introducción del intervalo de direcciones IP estáticas, ahora puede permitir la lista de intervalos IP para la región del entorno de ejecución de integración de Azure determinada para asegurarse de que no tiene que permitir todas las direcciones IP de Azure en los almacenes de datos en la nube. De este modo, puede restringir las direcciones IP a las que se les permite el acceso a los almacenes de datos.

Nota:

Los intervalos de direcciones IP están bloqueados para Azure Integration Runtime y actualmente solo se usan para movimiento de datos, canalización y actividades externas. Azure Integration Runtime y los flujos de datos que habilitan la red virtual administrada ahora no usan estos intervalos IP.

Esto debería funcionar en muchos escenarios, y sabemos que es deseable una dirección IP estática única por cada tiempo de ejecución de integración, pero actualmente esto no sería posible mediante el uso de Azure Integration Runtime, que está sin servidor. Si es necesario, siempre puede configurar un entorno de ejecución de integración autohospedado y usar su dirección IP estática.

Estrategias de acceso a datos a través de Azure Data Factory

  • Private Link : puede crear una instancia de Azure Integration Runtime en la red virtual administrada de Azure Data Factory y aprovechará los puntos de conexión privados para conectarse de forma segura a los almacenes de datos compatibles. El tráfico entre la red virtual administrada y los orígenes de datos viaja por la red troncal de Microsoft y no se expone a la red pública.
  • Servicio de confianza : Azure Storage (BLOB, ADLS Gen2) admite la configuración del firewall que permite seleccionar servicios de la plataforma de Azure de confianza para acceder a la cuenta de almacenamiento de forma segura. Los servicios de confianza aplican la autenticación de identidad administrada, lo que garantiza que ninguna otra factoría de datos pueda conectarse a este almacenamiento, a menos que tenga la aprobación para hacerlo mediante su identidad administrada. Puede encontrar más información en este blog . Por lo tanto, es muy seguro y recomendado.
  • IP estática única: deberá configurar una instancia de entorno de ejecución de integración autohospedado para obtener una dirección IP estática para los conectores de Data Factory. Este mecanismo garantiza que puede bloquear el acceso desde todas las demás direcciones IP.
  • Intervalo de direcciones IP estáticas : puede usar las direcciones IP de Azure Integration Runtime para permitir que se muestren en el almacenamiento (por ejemplo, S3, Salesforce, etc.). Ciertamente, restringe las direcciones IP que se pueden conectar a los almacenes de datos, pero también se basa en las reglas de autenticación y autorización.
  • Etiqueta de servicio : una etiqueta de servicio representa un grupo de prefijos de direcciones IP de un servicio de Azure determinado (como Azure Data Factory). Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian, lo que minimiza la complejidad de las actualizaciones frecuentes en las reglas de seguridad de red. Resulta útil al filtrar el acceso a los datos de los almacenes de datos hospedados por IaaS en Virtual Network.
  • Permitir servicios de Azure: algunos servicios admiten permitir que todos los servicios de Azure se conecten a él en caso de que elija esta opción.

Para obtener más información sobre los mecanismos de seguridad de red admitidos en los almacenes de datos de Azure Integration Runtime y Integration Runtime autohospedado, consulte las dos tablas siguientes.

  • Azure Integration Runtime

    Almacenes de datos Mecanismo de seguridad de red compatible con almacenes de datos Private Link Servicio de confianza Rango de direcciones IP estáticas Etiquetas de servicio Permitir servicios de Azure
    Almacenes de datos PaaS de Azure Azure Cosmos DB - -
    Explorador de datos de Azure - - Sí* Sí* -
    Azure Data Lake Gen1 - - -
    Azure Database for MariaDB, MySQL y PostgreSQL - - -
    Azure Files - - .
    Azure Blob Storage y ADLS Gen2 Sí (solo autenticación MSI) - .
    Azure SQL DB, Azure Synapse Analytics), SQL Ml Sí (solo Azure SQL DB/DW) - -
    Azure Key Vault (para capturar secretos/cadena de conexión) - -
    Otros almacenes de datos de PaaS/SaaS AWS S3, SalesForce, Google Cloud Storage, etc. - - - -
    Snowflake - - -
    IaaS de Azure SQL Server, Oracle, etc. - - -
    IaaS local SQL Server, Oracle, etc. - - - -

    *Solo se aplica cuando Azure Data Explorer es la red virtual inyectada y se puede aplicar el intervalo IP en NSG/Firewall.

  • Entorno de ejecución de integración autohospedado (en Vnet/local)

    Almacenes de datos Mecanismo de seguridad de red compatible con almacenes de datos IP estática Servicios de confianza
    Almacenes de datos PaaS de Azure Azure Cosmos DB -
    Explorador de datos de Azure - -
    Azure Data Lake Gen1 -
    Azure Database for MariaDB, MySQL y PostgreSQL -
    Azure Files -
    Azure Blob Storage y ADLS Gen2 Sí (solo autenticación MSI)
    Azure SQL DB, Azure Synapse Analytics), SQL Ml -
    Azure Key Vault (para capturar secretos/cadena de conexión)
    Otros almacenes de datos de PaaS/SaaS AWS S3, SalesForce, Google Cloud Storage, etc. -
    Azure laaS SQL Server, Oracle, etc. -
    LaaS local SQL Server, Oracle, etc. -

Para más información, consulte los siguientes artículos: