Az SAP adatintegrációs biztonsága az Azure-ban
Ez a cikk az "SAP-adatok kiterjesztése és innovációja: Ajánlott eljárások" című cikksorozat része.
- SAP-adatforrások azonosítása
- Válassza ki a legjobb SAP-összekötőt
- Sap-adatok kinyerésének teljesítménye és hibaelhárítása
- Az SAP adatintegrációs biztonsága az Azure-ban
- SAP-adatintegráció általános architektúrája
Ez a cikk az SAP kiterjesztett forgatókönyveinek biztonsági rétegeit ismerteti, az egyes összetevők lebontását, valamint megfontolandó szempontokat és javaslatokat tartalmaz. Az Azure Data Factory felügyeleti erőforrásai az Azure biztonsági infrastruktúrájára épülnek, és azure-beli biztonsági intézkedéseket használnak.
Az adatbetöltési réteg a következőkből áll:
- SAP S/4HANA, SAP BW/4HANA vagy SAP HANA enterprise edition
- Azure Data Lake Storage Gen2
- Data Factory
- Saját üzemeltetésű integrációs modul (SHIR) virtuális gép (VM)
Az alábbi ábra egy példaarchitektúra az AZURE-beli SAP-adatintegrációs biztonságra. A példaarchitektúra használata kiindulási pontként.
Töltse le az architektúra Visio-fájlját.
Megfontolandó szempontok és javaslatok
A következő szakaszok az Azure-beli SAP-ra vonatkozó adatintegrációs biztonsági szempontokat és javaslatokat ismertetik.
SAP-biztonság
Az SAP biztonsági útmutatója részletes útmutatást nyújt az SAP-termékekhez.
A Data Lake Storage Gen2 biztonsága
A Data Lake Storage Gen2 biztonságával kapcsolatban tekintse meg az alábbi szempontokat.
Hozzáférés engedélyezése az Azure Storage-beli adatokhoz
Amikor hozzáfér a Tárfiókban lévő adatokhoz, az ügyfélalkalmazás HTTP/HTTPS-en keresztül küld kérést a Storage-nak. Alapértelmezés szerint a Storage minden erőforrása biztonságos, és a biztonságos erőforrásra irányuló minden kérést engedélyezni kell. A Storage számos lehetőséget kínál az adatokhoz való hozzáférés engedélyezésére. Javasoljuk, hogy a Microsoft Entra hitelesítő adataival engedélyezze az adatkéréseket az optimális biztonság és egyszerűség érdekében. További információ: A hozzáférési kulcsok védelme.
Azure role-based access control (RBAC)
Az RBAC használatával kezelheti egy biztonsági tag blob-, üzenetsor- és táblaerőforrásainak engedélyeit egy Storage-fiókban. Az Azure attribútumalapú hozzáférés-vezérlés (ABAC) használatával feltételeket adhat a bloberőforrások Azure-szerepkör-hozzárendeléseihez. További információ: Hozzáférés engedélyezése az Azure Blob Storage-hoz azure-szerepkör-hozzárendelési feltételek használatával.
A Blob Storage biztonsága
Fontolja meg a blobtárolókra vonatkozó biztonsági javaslatokat, például az adatvédelem, az identitás- és hozzáférés-kezelés, a hálózatkezelés, a naplózás és a monitorozás használatát. További információt a Blob Storage biztonsági ajánlásaiban talál.
Data Lake Storage Gen2 hozzáférés-vezérlés
A Data Lake Storage Gen2 a következő engedélyezési stratégiákat támogatja:
- RBAC
- Hozzáférés-vezérlési lista (ACL-ek)
- Biztonsági csoportok
- Közös kulcsú és közös hozzáférésű jogosultságkód (SAS) engedélyezése
A Data Lake Storage Gen2 kétféle ACL-et biztosít:
- Az access ACL-ek szabályozzák az objektumokhoz való hozzáférést. A fájlok és könyvtárak hozzáféréssel rendelkeznek az ACL-ekhez.
- Az alapértelmezett ACL-ek címtárhoz társított ACL-sablonok. Ezek határozzák meg az adott könyvtárban létrehozott gyermekelemek hozzáférési ACL-jeit. A fájlok nem rendelkeznek alapértelmezett ACL-sel.
Az ACL-bejegyzésben ne rendeljen közvetlenül egyéni felhasználókat vagy szolgáltatásnevekhez. Mindig a Microsoft Entra biztonsági csoportjait használja hozzárendelt tagként. Ez a gyakorlat lehetővé teszi felhasználók vagy szolgáltatásnevek hozzáadását és eltávolítását anélkül, hogy az ACL-eket a teljes címtárstruktúra újra alkalmazva lenne. Ehelyett hozzáadhat vagy eltávolíthat felhasználókat és szolgáltatásneveket a megfelelő Microsoft Entra biztonsági csoportból. További információ: Hozzáférés-vezérlési listák.
A Data Factory biztonsága
A Data Factory biztonságával kapcsolatban tekintse meg az alábbi szempontokat.
Adatáthelyezés
Két adatáthelyezési forgatókönyv létezik: egy felhőalapú és egy hibrid forgatókönyv. Az adatáthelyezés biztonságáról további információt a Data Factory adattovábbításának biztonsági szempontjai című témakörben talál.
Felhőalapú forgatókönyv esetén a forrás és a cél nyilvánosan elérhető az interneten keresztül. A forrás vagy cél lehet felügyelt felhőalapú tárolási szolgáltatások, például az Azure Storage, az Azure Synapse Analytics, az Azure SQL Database, a Data Lake Storage Gen2, az Amazon S3, az Amazon Redshift, a szolgáltatott szoftveres (SaaS) szolgáltatások, például a Salesforce vagy a webes protokollok, például a fájlátviteli protokoll (FTP) és az open data protocol (OData). A támogatott adatforrások teljes listáját megtalálhatja a támogatott adattárakban és formátumokban.
Hibrid forgatókönyv esetén a forrás vagy a cél egy tűzfal mögött vagy egy helyszíni vállalati hálózaton belül található. Vagy az adattár magánhálózaton vagy virtuális hálózaton található, és nem érhető el nyilvánosan. Ebben az esetben általában az adattár a forrás. A hibrid forgatókönyv magában foglalja a virtuális gépeken üzemeltetett adatbázis-kiszolgálókat is.
Data access strategies
A szervezet meg szeretné védeni az adattárakat, például a helyszíni vagy a felhőbeli/SaaS-adattárakat az interneten keresztüli jogosulatlan hozzáféréstől. A felhőbeli adattár hozzáférését az alábbiak használatával szabályozhatja:
- Privát kapcsolat egy virtuális hálózatról egy privát végpontot engedélyező adatforráshoz.
- Tűzfalszabályok, amelyek IP-cím használatával korlátozzák a kapcsolatot.
- Hitelesítési stratégiák, amelyek megkövetelik, hogy a felhasználók igazolják identitásukat.
- Engedélyezési stratégiák, amelyek meghatározott műveletekre és adatokra korlátozzák a felhasználókat.
További információ: Adathozzáférési stratégiák.
Hitelesítő adatok tárolása az Azure Key Vaultban
Az adattárakhoz és a számításokhoz tartozó hitelesítő adatokat a Key Vaultban tárolhatja. A Data Factory lekéri a hitelesítő adatokat egy olyan tevékenység futtatásakor, amely az adattárat vagy a számítást használja. További információ: Hitelesítő adatok tárolása a Key Vaultban és a Key Vault titkos kulcsainak használata a folyamattevékenységekben.
Hitelesítő adatok titkosítása
A Data Factoryben fontolja meg a helyszíni adattárak hitelesítő adatainak titkosítását. Az SHIR-vel rendelkező gépeken bármely helyszíni adattár hitelesítő adatait titkosíthatja és tárolhatja, például bizalmas adatokat tartalmazó társított szolgáltatásokat. További információ: Hitelesítő adatok titkosítása a Data Factory helyszíni adattáraiban.
Felügyelt identitás használata
Felügyelt identitás használata esetén nem kell hitelesítő adatokat kezelnie. A felügyelt identitás identitást biztosít a szolgáltatáspéldány számára, amikor a Microsoft Entra-hitelesítést támogató erőforrásokhoz csatlakozik. A támogatott felügyelt identitások két típusa létezik: a rendszer által hozzárendelt felügyelt identitások és a felhasználó által hozzárendelt felügyelt identitások. További információ: Data Factory felügyelt identitása.
Titkosítás ügyfél által felügyelt kulcsokkal
A biztonsági szabályzatoktól függően fontolja meg a Data Factory ügyfél által felügyelt kulcsokkal való titkosítását. További információ: Data Factory titkosítása ügyfél által felügyelt kulcsokkal.
Felügyelt virtuális hálózat használata
Amikor Azure-integrációs futtatókörnyezetet hoz létre egy Data Factory által felügyelt virtuális hálózaton belül, az integrációs modul ki lesz építve a felügyelt virtuális hálózattal. Magánvégpontok használatával biztonságosan csatlakozik a támogatott adattárakhoz. A private endpoint is a private IP address within a specific virtual network and subnet. A felügyelt virtuális hálózat csak a Data Factory régióval azonos régióban támogatott. További információ: Data Factory által felügyelt virtuális hálózat.
Az Azure Private Link használata
A Private Link használata esetén egy privát végponton keresztül csatlakozhat a szolgáltatásként nyújtott platformalapú (PaaS-) üzemelő példányokhoz az Azure-ban. A Private Linket támogató PaaS-üzemelő példányok listáját a Data Factory Private Link című témakörben találja.
SHIR virtuálisgép-kapcsolatok és biztonság
Tekintse meg az SHIR virtuálisgép-kapcsolatokra és -biztonságra vonatkozó alábbi szempontokat.
Helyszíni adattár hitelesítő adatai
Tárolhatja a helyszíni adattár hitelesítő adatait a Data Factoryben, vagy hivatkozhat a hitelesítő adatokra a Data Factory használatával a Key Vault futtatókörnyezetében. Ha hitelesítő adatokat tárol a Data Factoryben, mindig titkosítsa őket egy SHIR-en. További információ: Helyszíni adattár hitelesítő adatai.
SHIR beállítása a hálózati konfiguráció alapján
Hibrid adatáthelyezés esetén az alábbi táblázat összefoglalja a hálózati és az SHIR-konfigurációs javaslatokat a forrás- és célhelyek különböző kombinációi alapján.
| Forrás | Cél | Hálózati konfiguráció | Integrációs modul beállítása |
|---|---|---|---|
| Helyszíni | Virtuális hálózatokban üzembe helyezett virtuális gépek és felhőszolgáltatások | IPSec VPN (pont–hely vagy helyek közötti) | SHIR telepítése Azure-beli virtuális gépre a virtuális hálózaton |
| Helyszíni | Virtuális hálózatokban üzembe helyezett virtuális gépek és felhőszolgáltatások | Azure ExpressRoute (privát társviszony-létesítés) | SHIR telepítése Azure-beli virtuális gépre a virtuális hálózaton |
| Helyszíni | Nyilvános végpontot tartalmazó Azure-alapú szolgáltatások | ExpressRoute (Microsoft-társviszony-létesítés) | SHIR telepítése helyszíni vagy Azure-beli virtuális gépen |
ExpressRoute vagy IPSec VPN
Az alábbi képek bemutatják, hogyan helyezhet át adatokat egy helyszíni adatbázis és egy Azure-szolgáltatás között egy SHIR használatával az Azure Virtual Network, az ExpressRoute vagy az IPSec VPN használatával.
A tűzfalkonfigurációk és az IP-címek engedélyezési listájának beállításához tekintse meg a Data Factory adatáthelyezési biztonsági szempontjait.
Ez az ábra bemutatja, hogyan helyezhet át adatokat az ExpressRoute-beli privát társviszony-létesítéssel:
Ez a diagram bemutatja, hogyan helyezhet át adatokat IPSec VPN használatával:
A tűzfalon győződjön meg arról, hogy az SHIR-gép IP-címe engedélyezett és megfelelően van konfigurálva. A következő felhőalapú adattárakhoz engedélyeznie kell az SHIR-gép IP-címét. Alapértelmezés szerint előfordulhat, hogy ezen adattárak némelyike nem igényel engedélyezési listát.
- SQL Database
- Azure Synapse Analytics
- 2. generációs Data Lake Storage
- Azure Cosmos DB
- Amazon Redshift
További információkért tekintse meg a Data Factory adatáthelyezésének biztonsági szempontjait, valamint az SHIR létrehozását és konfigurálását.
Az Azure Databricks biztonsága
Tekintse meg az Azure Databricks biztonságával kapcsolatos alábbi szempontokat.
Az Azure Databricks azure-beli biztonsági alapkonfigurációja
Vegye figyelembe az Azure Databricks azure-beli biztonsági alapkonfigurációit. Ez a biztonsági alapkonfiguráció a Microsoft felhőbiztonsági benchmark 1.0-s verziójának útmutatását alkalmazza az Azure Databricksre. A Microsoft felhőbiztonsági referenciamutatója javaslatokat nyújt a felhőmegoldások Azure-beli védelmére.
Az Azure Synapse Analytics biztonsága
Az Azure Synapse Analytics többrétegű biztonsági architektúrát implementál az adatok végpontok közötti védelméhez. Öt rétegből áll:
Az adatvédelem azonosítja és osztályozza a bizalmas adatokat, és titkosítja az inaktív és mozgásban lévő adatokat. Az adatfelderítési és besorolási, szabályozási és titkosítási javaslatokért lásd: Adatvédelem.
A hozzáférés-vezérlés meghatározza a felhasználónak az adatokkal való interakcióhoz való jogát. Az Azure Synapse Analytics számos képességet támogat annak szabályozására, hogy ki férhet hozzá az adatokhoz. További információ: Hozzáférés-vezérlés.
A hitelesítés igazolja a felhasználók és alkalmazások identitását. Az Azure SQL-naplózás képes naplózni a hitelesítési tevékenységeket, és egy informatikai rendszergazda konfigurálhatja a jelentéseket és riasztásokat, amikor gyanús helyről próbálnak bejelentkezni. További információért lásd: Hitelesítés.
A hálózati biztonság elkülöníti a hálózati forgalmat privát végpontokkal és virtuális magánhálózatokkal. Az Azure Synapse Analytics védelmét számos hálózati biztonsági lehetőség biztosítja. További információ: Hálózatbiztonság.
A fenyegetésészlelés azonosítja a potenciális biztonsági fenyegetéseket, például a szokatlan hozzáférési helyeket, az SQL-injektálási támadásokat és a hitelesítési támadásokat. További információ: Fenyegetésészlelés.
Adatbemutató réteg
Gondolja át, hogyan használhat biztonsági képességeket a bemutatóréteg védelmére, beleértve a Power BI-t is. További információ: A Power BI biztonság ésa Power BI implementációjának tervezése: Biztonság.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: