Adathozzáférési stratégiák

A KÖVETKEZŐKRE VONATKOZIK: Azure Data Factory Azure Synapse Analytics

A szervezetek alapvető biztonsági célja, hogy megvédjék adattáraikat az interneten keresztüli véletlenszerű hozzáféréstől, legyen szó helyszíni vagy felhőbeli/ SaaS-adattárakról.

A felhőbeli adattárak általában az alábbi mechanizmusok használatával vezérli a hozzáférést:

  • Private Link Virtual Network privát végpontra engedélyezett adatforrások között
  • Tűzfalszabályok, amelyek IP-cím alapján korlátozzák a kapcsolatot
  • Olyan hitelesítési mechanizmusok, amelyek megkövetelik, hogy a felhasználók igazolják identitásukat
  • Engedélyezési mechanizmusok, amelyek adott műveletekre és adatokra korlátozzák a felhasználókat

Tipp

A statikus IP-címtartomány bevezetésével mostantól engedélyezheti a lista IP-címtartományait az adott Azure-integrációs modul régiójában, hogy ne kelljen engedélyeznie az összes Azure IP-címet a felhőbeli adattárakban. Ily módon korlátozhatja az adattárakhoz való hozzáféréshez engedélyezett IP-címeket.

Megjegyzés

Az IP-címtartományok le vannak tiltva az Azure Integration Runtime esetében, és jelenleg csak adatátvitelhez, folyamathoz és külső tevékenységekhez használatosak. A felügyelt Virtual Network engedélyező adatfolyamok és Azure-Integration Runtime most már nem használják ezeket az IP-címtartományokat.

Ennek számos forgatókönyvben működnie kell, és tisztában vagyunk azzal, hogy integrációs modulonként egyedi statikus IP-cím lenne kívánatos, de ez jelenleg nem lehetséges az Azure Integration Runtime használatával, amely kiszolgáló nélküli. Szükség esetén bármikor beállíthat egy saját üzemeltetésű Integration Runtime, és használhatja vele a statikus IP-címet.

Adathozzáférési stratégiák Azure Data Factory

  • Private Link – Létrehozhat egy Azure-Integration Runtime Azure Data Factory Felügyelt Virtual Network belül, és privát végpontokat fog használni a támogatott adattárakhoz való biztonságos csatlakozáshoz. A felügyelt Virtual Network és az adatforrások közötti forgalom a Microsoft gerinchálózatán halad át, és nincs kitéve a nyilvános hálózatnak.
  • Megbízható szolgáltatás – Az Azure Storage (Blob, ADLS Gen2) támogatja a tűzfalkonfigurációt, amely lehetővé teszi a megbízható Azure-platformszolgáltatások kiválasztását a tárfiók biztonságos eléréséhez. A Megbízható szolgáltatások kikényszeríti a felügyelt identitás hitelesítését, ami biztosítja, hogy más adat-előállítók ne tudjanak csatlakozni ehhez a tárolóhoz, hacsak nem engedélyezik a felügyelt identitás használatával. További részleteket ebben a blogban talál. Ezért ez rendkívül biztonságos és ajánlott.
  • Egyedi statikus IP-cím – Be kell állítania egy saját üzemeltetésű integrációs modult a Data Factory-összekötők statikus IP-címének lekéréséhez. Ez a mechanizmus biztosítja, hogy minden más IP-címről letilthatja a hozzáférést.
  • Statikus IP-címtartomány – Az Azure Integration Runtime IP-címeinek használatával listázhatja azt a tárolóban (például S3, Salesforce stb.). Minden bizonnyal korlátozza azokat az IP-címeket, amelyek csatlakozhatnak az adattárakhoz, de hitelesítési/ engedélyezési szabályokra is támaszkodnak.
  • Szolgáltatáscímke – A szolgáltatáscímke egy adott Azure-szolgáltatás IP-címelőtagjainak egy csoportját jelöli (például Azure Data Factory). A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor, minimalizálva a hálózati biztonsági szabályok gyakori frissítéseinek összetettségét. Ez akkor hasznos, ha az IaaS által üzemeltetett adattárakra szűri az adathozzáférést Virtual Network.
  • Azure-szolgáltatások engedélyezése – Egyes szolgáltatások lehetővé teszik, hogy minden Azure-szolgáltatás csatlakozzon hozzá, ha ezt a lehetőséget választja.

Az Azure-Integration Runtime és a saját üzemeltetésű Integration Runtime található adattárak támogatott hálózati biztonsági mechanizmusairól az alábbi két táblázatban talál további információt.

  • Azure Integration Runtime

    Adattárak Támogatott hálózati biztonsági mechanizmus az adattárakban Private Link Megbízható szolgáltatás Statikus IP-címtartomány Szolgáltatáscímkék Az Azure-szolgáltatások engedélyezése
    Azure PaaS-adattárak Azure Cosmos DB Igen - Igen - Yes
    Azure Adatkezelő - - Igen* Igen* -
    1. generációs Azure Data Lake - - Igen - Yes
    Azure Database for MariaDB, MySQL, PostgreSQL - - Igen - Yes
    Azure Files Igen - Yes - .
    Azure Blob Storage és ADLS Gen2 Yes Igen (csak MSI-hitelesítéssel) Yes - .
    Azure SQL DB, Azure Synapse Analytics), SQL Ml Igen (csak Azure SQL DB/DW) - Igen - Yes
    Azure Key Vault (titkos kódok beolvasásához/ kapcsolati sztring) igen Igen Yes - -
    Egyéb PaaS-/ SaaS-adattárak AWS S3, SalesForce, Google Cloud Storage stb. - - Igen - -
    Snowflake Igen - Yes - -
    Azure IaaS SQL Server, Oracle stb. - - Igen Yes -
    Helyszíni IaaS SQL Server, Oracle stb. - - Yes - -

    *Csak akkor alkalmazható, ha az Azure Data Explorer virtuális hálózatba van injektálva, és az IP-címtartomány NSG-n/ tűzfalon alkalmazható.

  • Saját üzemeltetésű Integration Runtime (virtuális hálózatban/helyszínen)

    Adattárak Támogatott hálózati biztonsági mechanizmus az adattárakban Statikus IP-cím Megbízható szolgáltatások
    Azure PaaS-adattárak Azure Cosmos DB Igen -
    Azure Adatkezelő - -
    1. generációs Azure Data Lake Yes -
    Azure Database for MariaDB, MySQL, PostgreSQL Yes -
    Azure Files Yes -
    Azure Blob Storage és ADLS Gen2 Yes Igen (csak MSI-hitelesítéssel)
    Azure SQL DB, Azure Synapse Analytics), SQL Ml Yes -
    Azure Key Vault (titkos kódok/kapcsolati sztring beolvasásához) Igen Yes
    Egyéb PaaS-/ SaaS-adattárak AWS S3, SalesForce, Google Cloud Storage stb. Yes -
    Azure laaS SQL Server, Oracle stb. Yes -
    Helyszíni laaS SQL Server, Oracle stb. Igen -

Következő lépések

További információt a következő kapcsolódó cikkekben talál: