Stratégies d’accès aux données

S’APPLIQUE À : Azure Data Factory Azure Synapse Analytics

Conseil

Essayez Data Factory dans Microsoft Fabric, une solution d’analyse tout-en-un pour les entreprises. Microsoft Fabric couvre tous les aspects, du déplacement des données à la science des données, en passant par l’analyse en temps réel, l’aide à la décision et la création de rapports. Découvrez comment démarrer un nouvel essai gratuitement !

Un objectif de sécurité vital d’une organisation est de protéger ses magasins de données contre tout accès aléatoire à partir d’Internet, qu’il s’agisse de magasins de données SaaS locaux ou cloud.

En général, un magasin de données cloud contrôle l’accès à l’aide des mécanismes ci-dessous :

• Liaison privée d’un réseau virtuel à des sources de données avec point de terminaison privé
• Règles de pare-feu qui limitent la connectivité par adresse IP.
• Mécanismes d’authentification qui obligent les utilisateurs à prouver leur identité.
• Mécanismes d’autorisation qui restreignent les utilisateurs à certaines actions et données.

Conseil

Avec l’introduction de la plage d’adresses IP statiques, vous pouvez désormais autoriser les plages d’adresses IP pour la région spécifique du runtime d’intégration Azure pour vous assurer que vous n’avez pas besoin d’autoriser toutes les adresses IP Azure dans vos magasins de données cloud. De cette façon, vous pouvez limiter les adresses IP qui sont autorisées à accéder aux magasins de données.

Remarque

Les plages d'adresses IP sont bloquées pour l'utilisation dans Azure Integration Runtime et sont actuellement utilisées uniquement pour le mouvement de données, le pipeline et les activités externes. Les dataflows et le runtime d’intégration Azure qui activent le réseau virtuel managé n’utilisent désormais pas ces plages d’adresses IP.

Cela devrait fonctionner dans de nombreux scénarios et nous savons bien qu’une adresse IP statique unique par runtime d’intégration serait souhaitable. Ce ne serait cependant pas actuellement possible à l’aide ’un runtime d’intégration Azure, qui opère sans serveur. Si nécessaire, vous pouvez toujours configurer un runtime d’intégration auto-hébergé et l’utiliser avec votre adresse IP statique.

Stratégies d’accès aux données via Azure Data Factory

• Private Link : vous pouvez créer un runtime d’intégration Azure dans un réseau virtuel managé Azure Data Factory et tirer parti des points de terminaison privés pour se connecter en toute sécurité aux magasins de données pris en charge. Le trafic entre le réseau virtuel managé et les sources de données voyage le réseau principal Microsoft et n’est pas exposé au réseau public.
• Service approuvé - Stockage Azure (Blob, ADLS Gen2) et Azure Key Vault prennent en charge la configuration du pare-feu qui permet de sélectionner des services de plateforme Azure approuvés pour y accéder en toute sécurité. Les services approuvés appliquent une authentification d’identité gérée, qui garantit qu’aucune autre fabrique de données ne peut se connecter à ce stockage, sauf si elle est autorisée à le faire à l’aide de son identité gérée.

Remarque

Les scénarios ci-dessous ne figurent pas dans la liste des services approuvés :

1. Utilisation d’un runtime d’intégration auto-hébergé ou d’un runtime d’intégration SSIS
2. Utilisation de l'un des types d'activités suivants : > - Webhook > - Activité personnalisée > - Fonction Azure
3. Utilisation de l’un des connecteurs suivants : > - AzureBatch > - AzureFunction > - AzureFile > - OData

• Adresse IP statique unique : vous devez configurer un runtime d’intégration auto-hébergé pour obtenir une adresse IP statique pour les connecteurs Data Factory. Ce mécanisme garantit que vous pouvez bloquer l’accès à partir de toutes les autres adresses IP.
• Plage d’adresses IP statiques : vous pouvez utiliser les adresses IP d’Azure Integration Runtime pour les inscrire dans votre stockage (par exemple, S3, Salesforce, etc.). Cela restreint certainement les adresses IP qui peuvent se connecter aux magasins de données, mais dépend également des règles d’authentification/autorisation.
• Balise de service : une balise de service représente un groupe de préfixes d’adresses IP d’un service Azure donné (comme Azure Data Factory). Microsoft gère les préfixes d’adresses englobés par l’étiquette de service et met à jour automatiquement l’étiquette de service quand les adresses changent, ce qui réduit la complexité des mises à jour fréquentes relatives aux règles de sécurité réseau. Il est utile lors du filtrage de l’accès aux données sur des magasins de données hébergés IaaS dans un réseau virtuel.
• Autoriser les services Azure : certains services vous permettent d’autoriser tous les services Azure à s’y connecter si vous choisissez cette option.

Pour plus d’informations sur les mécanismes de sécurité réseau pris en charge sur les banques de données dans Azure Integration Runtime et le runtime d’intégration auto-hébergé, voir les deux tableaux ci-dessous.

• Runtime d’intégration Azure

  Magasins de données	Mécanisme de sécurité réseau pris en charge sur les banques de données	Lien privé	Service de confiance	Plage d’adresses IP statiques	Étiquettes de service	Autoriser les services Azure
  Magasins de données PaaS Azure	Base de données Azure Cosmos DB	Oui	-	Oui	-	Oui
  	Explorateur de données Azure	-	-	Oui*	Oui*	-
  	Azure Data Lake Gen1	-	-	Oui	-	Oui
  	Azure Database for MariaDB, MySQL et PostgreSQL	-	-	Oui	-	Oui
  	Azure Files	Oui	-	Oui	-	.
  	Stockage Blob Azure et ADLS Gen2	Oui	Oui (authentification MSI uniquement)	Oui	-	.
  	Azure SQL DB, Azure Synapse Analytics, SQL ML	Oui (uniquement Azure SQL DB/DW)	-	Oui	-	Oui
  	Azure Key Vault (pour l’extraction des secrets/de la chaîne de connexion)	Oui	Oui	Oui	-	-
  Autres magasins de données PaaS/SaaS	AWS S3, SalesForce, Google Cloud Storage, etc.	-	-	Oui	-	-
  	Flocon de neige	Oui	-	Oui	-	-
  Azure IaaS	SQL Server, Oracle, et cetera.	-	-	Oui	Oui	-
  IaaS sur site	SQL Server, Oracle, et cetera.	-	-	Oui	-	-

  * S’applique uniquement quand Azure Data Explorer est injecté par un réseau virtuel et que la plage d’adresses IP peut être appliquée à un groupe de sécurité réseau/pare-feu.

• Runtime d’intégration auto-hébergé (dans un réseau virtuel/en local)

  Magasins de données	Mécanisme de sécurité réseau pris en charge sur les banques de données	Adresse IP statique	Services de confiance
  Magasins de données PaaS Azure	Base de données Azure Cosmos DB	Oui	-
  	Explorateur de données Azure	-	-
  	Azure Data Lake Gen1	Oui	-
  	Azure Database for MariaDB, MySQL et PostgreSQL	Oui	-
  	Azure Files	Oui	-
  	Stockage Blob Azure et ADLS Gen2	Oui	-
  	Azure SQL DB, Azure Synapse Analytics, SQL ML	Oui	-
  	Azure Key Vault (pour l’extraction des secrets/de la chaîne de connexion)	Oui	-
  Autres magasins de données PaaS/SaaS	AWS S3, SalesForce, Google Cloud Storage, etc.	Oui	-
  IaaS Azure	SQL Server, Oracle, et cetera.	Oui	-
  LaaS sur site	SQL Server, Oracle, et cetera.	Oui	-

Contenu connexe

Pour plus d’informations, consultez les articles connexes suivants :

• Magasins de données pris en charge
• Services approuvés par Azure Key Vault
• Services Microsoft de confiance pour Azure Storage
• Identité managée pour Data Factory