Data access strategies
A következőkre vonatkozik:
Azure Data Factory Azure Synapse Analytics
Tipp.
Próbálja ki a Data Factoryt a Microsoft Fabricben, amely egy teljes körű elemzési megoldás a nagyvállalatok számára. A Microsoft Fabric az adattovábbítástól az adatelemzésig, a valós idejű elemzésig, az üzleti intelligenciáig és a jelentéskészítésig mindent lefed. Ismerje meg, hogyan indíthat új próbaverziót ingyenesen!
A szervezet alapvető biztonsági célja, hogy megvédje az adattárait az interneten keresztüli véletlenszerű hozzáféréstől, legyen szó helyszíni vagy felhőbeli/ SaaS-adattárról.
A felhőbeli adattárak általában az alábbi mechanizmusok használatával vezérli a hozzáférést:
- Private Link from a Virtual Network to Private Endpoint enabled data sources
- Tűzfalszabályok, amelyek IP-cím alapján korlátozzák a kapcsolatot
- Hitelesítési mechanizmusok, amelyek megkövetelik, hogy a felhasználók igazolják identitásukat
- Engedélyezési mechanizmusok, amelyek meghatározott műveletekre és adatokra korlátozzák a felhasználókat
Tipp.
A statikus IP-címtartomány bevezetésével mostantól engedélyezheti az adott Azure-integrációs futtatókörnyezet ip-címtartományainak listáját, hogy ne kelljen engedélyeznie az összes Azure-beli IP-címet a felhőbeli adattárakban. Így korlátozhatja az adattárakhoz való hozzáféréshez engedélyezett IP-címeket.
Megjegyzés:
Az IP-címtartományok le vannak tiltva az Azure Integration Runtime esetében, és jelenleg csak adatáthelyezéshez, folyamathoz és külső tevékenységekhez használatosak. A felügyelt virtuális hálózatot engedélyező adatfolyamok és Azure Integration Runtime mostantól nem használják ezeket az IP-tartományokat.
Ennek számos esetben működnie kell, és tisztában vagyunk azzal, hogy az integrációs modulonkénti egyedi statikus IP-cím kívánatos lenne, de ez jelenleg nem lehetséges az Azure Integration Runtime használatával, amely kiszolgáló nélküli. Szükség esetén bármikor beállíthat egy saját üzemeltetésű integrációs modult, és használhatja vele a statikus IP-címet.
Adathozzáférési stratégiák az Azure Data Factoryn keresztül
- Private Link – Létrehozhat azure-integrációs modult az Azure Data Factory által felügyelt virtuális hálózaton belül, és privát végpontokat fog használni a támogatott adattárakhoz való biztonságos csatlakozáshoz. A felügyelt virtuális hálózat és az adatforrások közötti forgalom a Microsoft gerinchálózatán halad, és nincs kitéve a nyilvános hálózatnak.
- Megbízható szolgáltatás – Az Azure Storage (Blob, ADLS Gen2) támogatja a tűzfalkonfigurációt, amely lehetővé teszi a megbízható Azure-platformszolgáltatások kiválasztását a tárfiók biztonságos eléréséhez. A Megbízható szolgáltatások kikényszeríti a felügyelt identitás hitelesítését, ami biztosítja, hogy más adat-előállítók ne tudjanak csatlakozni ehhez a tárolóhoz, hacsak nem engedélyezik a felügyelt identitás használatával. További részleteket ebben a blogban talál. Ezért ez rendkívül biztonságos és ajánlott.
- Egyedi statikus IP-cím – Egy saját üzemeltetésű integrációs modult kell beállítania a Data Factory-összekötők statikus IP-címének lekéréséhez. Ez a mechanizmus biztosítja, hogy minden más IP-címről letiltsa a hozzáférést.
- Statikus IP-címtartomány – Az Azure Integration Runtime IP-címeinek használatával engedélyezheti a tárban való listázást (például S3, Salesforce stb.). Minden bizonnyal korlátozza az adattárakhoz csatlakozni képes IP-címeket, de a hitelesítési/ engedélyezési szabályokra is támaszkodik.
- Szolgáltatáscímke – A szolgáltatáscímke egy adott Azure-szolgáltatás ip-címelőtagjainak egy csoportját jelöli (például az Azure Data Factoryt). A Microsoft kezeli a szolgáltatáscímke által lefedett címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor, minimalizálva a hálózati biztonsági szabályok gyakori frissítéseinek összetettségét. Hasznos lehet az adathozzáférés szűrése az IaaS által üzemeltetett adattárakon a virtuális hálózaton.
- Az Azure Services engedélyezése – Egyes szolgáltatások lehetővé teszik, hogy minden Azure-szolgáltatás csatlakozzon hozzá, ha ezt a lehetőséget választja.
Az Azure Integration Runtime és a saját üzemeltetésű integrációs modul adattáraiban támogatott hálózati biztonsági mechanizmusokkal kapcsolatos további információkért tekintse meg az alábbi két táblázatot.
Azure Integration Runtime
Adattárak Támogatott hálózati biztonsági mechanizmus az adattárakban Private Link Megbízható szolgáltatás Statikus IP-címtartomány Szolgáltatáscímkék Az Azure Services engedélyezése Azure PaaS-adattárak Azure Cosmos DB Igen - Igen - Igen Azure Data Explorer - - Igen* Igen* - Azure Data Lake Gen1 - - Igen - Igen Azure Database for MariaDB, MySQL, PostgreSQL - - Igen - Igen Azure Files Igen - Igen - . Azure Blob Storage és ADLS Gen2 Igen Igen (csak MSI-hitelesítés) Igen - . Azure SQL DB, Azure Synapse Analytics), SQL Ml Igen (csak Azure SQL DB/DW) - Igen - Igen Azure Key Vault (titkos kulcsok beolvasásához/ kapcsolati sztring) igen Igen Igen - - Egyéb PaaS/SaaS-adattárak AWS S3, SalesForce, Google Cloud Storage stb. - - Igen - - Snowflake Igen - Igen - - Azure IaaS SQL Server, Oracle stb. - - Igen Igen - Helyszíni IaaS SQL Server, Oracle stb. - - Igen - - *Csak akkor alkalmazható, ha az Azure Data Explorer virtuális hálózatba van injektálva, és az IP-tartomány az NSG-n/ tűzfalon alkalmazható.
Saját üzemeltetésű integrációs modul (virtuális hálózatban/helyszíni környezetben)
Adattárak Támogatott hálózati biztonsági mechanizmus az adattárakban Statikus IP-cím Megbízható szolgáltatások Azure PaaS-adattárak Azure Cosmos DB Igen - Azure Data Explorer - - Azure Data Lake Gen1 Igen - Azure Database for MariaDB, MySQL, PostgreSQL Igen - Azure Files Igen - Azure Blob Storage és ADLS Gen2 Igen Igen (csak MSI-hitelesítés) Azure SQL DB, Azure Synapse Analytics), SQL Ml Igen - Azure Key Vault (titkos kulcsok beolvasásához/ kapcsolati sztring) Igen Igen Egyéb PaaS/SaaS-adattárak AWS S3, SalesForce, Google Cloud Storage stb. Igen - Azure laaS SQL Server, Oracle stb. Igen - Helyszíni laaS SQL Server, Oracle stb. Igen -
Kapcsolódó tartalom
További információt a következő kapcsolódó cikkekben talál: