Az adatátvitel biztonsági szempontjai az Azure Data Factoryben
A következőkre vonatkozik:
Azure Data Factory Azure Synapse Analytics
Tipp.
Próbálja ki a Data Factoryt a Microsoft Fabricben, amely egy teljes körű elemzési megoldás a nagyvállalatok számára. A Microsoft Fabric az adattovábbítástól az adatelemzésig, a valós idejű elemzésig, az üzleti intelligenciáig és a jelentéskészítésig mindent lefed. Ismerje meg, hogyan indíthat új próbaverziót ingyenesen!
Ez a cikk az Azure Data Factory adatáthelyezési szolgáltatásai által az adatok védelmének elősegítésére használt alapvető biztonsági infrastruktúrát ismerteti. A Data Factory felügyeleti erőforrásai az Azure biztonsági infrastruktúrájára épülnek, és az Azure által kínált összes lehetséges biztonsági intézkedést használják.
A Data Factory-megoldásokkal egy vagy több adatfolyamatot is létrehozhat. A folyamatok olyan tevékenységek logikus csoportosításai, amelyek együttesen vesznek részt egy feladat végrehajtásában. Ezek a folyamatok abban a régióban találhatók, ahol az adat-előállító létre lett hozva.
Annak ellenére, hogy a Data Factory csak néhány régióban érhető el, az adatáthelyezési szolgáltatás globálisan elérhető az adatmegfelelőség, a hatékonyság és a hálózati kimenő költségek csökkentése érdekében.
Az Azure Data Factory, beleértve az Azure Integration Runtime-ot és a saját üzemeltetésű integrációs modult, nem tárol ideiglenes adatokat, gyorsítótáradatokat vagy naplókat, kivéve a felhőalapú adattárak társított szolgáltatásának hitelesítő adatait, amelyek tanúsítványokkal vannak titkosítva. A Data Factoryvel adatvezérelt munkafolyamatokat hozhat létre az adatok támogatott adattárak közötti mozgatásának, valamint az adatok feldolgozásának más régiókban vagy helyszíni környezetben található számítási szolgáltatások használatával történő feldolgozásához. A munkafolyamatokat SDK-k és az Azure Monitor használatával is monitorozhatja és kezelheti.
A Data Factory a következő tanúsítványokkal rendelkezik:
| CSA STAR minősítés |
|---|
| ISO 20000-1:2011 |
| ISO 22301:2012 |
| ISO 27001:2013 |
| ISO 27017:2015 |
| ISO 27018:2014 |
| ISO 9001:2015 |
| SOC 1, 2, 3 |
| HIPAA BAA |
| HITRUST |
Ha érdekli az Azure-megfelelőség, és hogy az Azure hogyan biztosítja saját infrastruktúráját, látogasson el a Microsoft adatvédelmi központjába. Az Összes Azure Compliance-ajánlat legújabb listájáért tekintse meg a következőt https://aka.ms/AzureCompliance: .
Ebben a cikkben a következő két adatáthelyezési forgatókönyv biztonsági szempontjait tekintjük át:
- Felhőalapú forgatókönyv: Ebben a forgatókönyvben a forrás és a cél is nyilvánosan elérhető az interneten keresztül. Ezek közé tartoznak a felügyelt felhőalapú tárolási szolgáltatások, például az Azure Storage, az Azure Synapse Analytics, az Azure SQL Database, az Azure Data Lake Store, az Amazon S3, az Amazon Redshift, az SaaS-szolgáltatások, például a Salesforce, valamint az olyan webes protokollok, mint az FTP és az OData. A támogatott adatforrások teljes listáját megtalálhatja a támogatott adattárakban és -formátumokban.
- Hibrid forgatókönyv: Ebben a forgatókönyvben a forrás vagy a cél egy tűzfal mögött vagy egy helyszíni vállalati hálózaton belül található. Vagy az adattár magánhálózaton vagy virtuális hálózaton (leggyakrabban a forrásban) található, és nem nyilvánosan érhető el. A virtuális gépeken üzemeltetett adatbázis-kiszolgálók is ebbe a forgatókönyvbe tartoznak.
Megjegyzés:
We recommend that you use the Azure Az PowerShell module to interact with Azure. See Install Azure PowerShell to get started. To learn how to migrate to the Az PowerShell module, see Migrate Azure PowerShell from AzureRM to Az.
Felhőforgatókönyvek
Adattár hitelesítő adatainak védelme
- Titkosított hitelesítő adatokat tárol egy felügyelt Azure Data Factory-tárolóban. A Data Factory a Microsoft által felügyelt tanúsítványokkal történő titkosítással segíti az adattár hitelesítő adatainak védelmét. Ezeket a tanúsítványokat kétévente rotáljuk (amely magában foglalja a tanúsítványok megújítását és a hitelesítő adatok áttelepítését). Az Azure Storage biztonságáról további információt az Azure Storage biztonsági áttekintésében talál.
- Hitelesítő adatok tárolása az Azure Key Vaultban. Az adattár hitelesítő adatait az Azure Key Vaultban is tárolhatja. A Data Factory lekéri a hitelesítő adatokat egy tevékenység végrehajtása során. További információ: Hitelesítő adat tárolása az Azure Key Vaultban.
A titkos alkalmazáskulcsok tárolásának központosítása az Azure Key Vaultban lehetővé teszi azok elosztásának irányítását. A Key Vault nagymértékben csökkenti a veszélyét annak, hogy a titkos kulcsok véletlenül kiszivárogjanak. A kapcsolati sztring az alkalmazás kódjában való tárolása helyett biztonságosan tárolhatja a Key Vaultban. Az alkalmazások URI-k használatával biztonságosan hozzáférhetnek a szükséges információkhoz. Ezek az URI-k lehetővé teszik, hogy az alkalmazások lekérjenek egy titkos kód bizonyos verzióit. A Key Vaultban tárolt titkos adatok védelméhez nincs szükség egyéni kód írására.
Adattitkosítás átvitel közben
Ha a felhőbeli adattár támogatja a HTTPS-t vagy a TLS-t, a Data Factory adatáthelyezési szolgáltatásai és a felhőbeli adattárak közötti összes adatátvitel biztonságos https- vagy TLS-csatornán keresztül történik.
Megjegyzés:
Az Azure SQL Database-hez és az Azure Synapse Analyticshez való minden kapcsolat titkosítást igényel (SSL/TLS), miközben az adatok az adatbázisba és az adatbázisból való átvitel alatt áll. Amikor JSON használatával hoz létre egy folyamatot, adja hozzá a titkosítási tulajdonságot, és állítsa igazra a kapcsolati sztring. Az Azure Storage esetében a HTTPS-t használhatja a kapcsolati sztring.
Megjegyzés:
Ha engedélyezni szeretné az átvitel közbeni titkosítást, miközben adatokat helyez át az Oracle-ből, kövesse az alábbi lehetőségek egyikét:
- Az Oracle-kiszolgálón nyissa meg az Oracle Advanced Securityt (OAS), és konfigurálja a titkosítási beállításokat, amelyek támogatják a Triple-DES Encryption (3DES) és az Advanced Encryption Standard (AES) protokollt, a részleteket itt találja. Az ADF automatikusan egyezteti a titkosítási módszert, hogy az OAS-ben konfigurált módszert használja az Oracle-kapcsolat létrehozásakor.
- Az ADF-ben hozzáadhatja a EncryptionMethod=1-et a kapcsolati sztring (a társított szolgáltatásban). Ez ssl/TLS protokollt használ titkosítási módszerként. Ennek használatához le kell tiltania az OAS nem SSL-titkosítási beállításait az Oracle-kiszolgáló oldalán, hogy elkerülje a titkosítási ütközést.
Megjegyzés:
A használt TLS-verzió az 1.2.
Adattitkosítás inaktív állapotban
Egyes adattárak támogatják az inaktív adatok titkosítását. Javasoljuk, hogy engedélyezze az adattárak adattitkosítási mechanizmusát.
Azure Synapse Analytics
Transzparens adattitkosítás (TDE) az Azure Synapse Analyticsben a inaktív adatok valós idejű titkosításával és visszafejtésével segít megvédeni a rosszindulatú tevékenységek veszélyét. Ez a viselkedés transzparens az ügyfél számára. További információ: Adatbázis védelme az Azure Synapse Analyticsben.
Azure SQL Database
Az Azure SQL Database támogatja a transzparens adattitkosítást (TDE), amely az adatok valós idejű titkosításával és visszafejtésével, az alkalmazás módosítása nélkül segít megvédeni a rosszindulatú tevékenységek veszélyét. Ez a viselkedés transzparens az ügyfél számára. További információ: Transzparens adattitkosítás az SQL Database-hez és az Adattárházhoz.
Azure Data Lake Store
Az Azure Data Lake Store a fiókban tárolt adatok titkosítását is biztosítja. Ha engedélyezve van, a Data Lake Store a lekérés előtt automatikusan titkosítja az adatokat, mielőtt megőrzené és visszafejtené azokat, így átláthatóvá válik az adatokhoz hozzáférő ügyfél számára. További információ: Biztonság az Azure Data Lake Store-ban.
Azure Blob Storage és Azure Table Storage
Az Azure Blob Storage és az Azure Table Storage támogatja a Storage Service Encryption (S Standard kiadás) szolgáltatást, amely automatikusan titkosítja az adatokat, mielőtt a lekérés előtt a tárolóban marad, és visszafejtené azokat. További információk: Azure Storage Service Encryption inaktív adatokhoz.
Amazon S3
Az Amazon S3 támogatja az inaktív adatok ügyfél- és kiszolgálói titkosítását is. További információ: Adatok védelme titkosítással.
Amazon Redshift
Az Amazon Redshift támogatja az inaktív adatok fürttitkosítását. További információ: Amazon Redshift Database Encryption.
Salesforce
A Salesforce támogatja a Shield platformtitkosítást, amely lehetővé teszi az összes fájl, melléklet és egyéni mező titkosítását. További információ: A webkiszolgáló OAuth-hitelesítési folyamatának ismertetése.
Hibrid forgatókönyvek
A hibrid forgatókönyvekhez saját üzemeltetésű integrációs futtatókörnyezetet kell telepíteni egy helyszíni hálózaton, egy virtuális hálózaton (Azure) vagy egy virtuális magánfelhőn (Amazonon). A helyi integrációs modulnak képesnek kell lennie a helyi adattárak elérésére. A saját üzemeltetésű integrációs modullal kapcsolatos további információkért tekintse meg a saját üzemeltetésű integrációs modul létrehozását és konfigurálását ismertető cikket.
A parancscsatorna lehetővé teszi a Data Factory adatáthelyezési szolgáltatásai és a saját üzemeltetésű integrációs modul közötti kommunikációt. A kommunikáció a tevékenységgel kapcsolatos információkat tartalmaz. Az adatcsatornát a helyszíni adattárak és a felhőbeli adattárak közötti adatátvitelhez használják.
Helyszíni adattár hitelesítő adatai
A hitelesítő adatok tárolhatók a Data Factoryben, vagy a data factory hivatkozhat gombra az Azure Key Vault futásideje alatt. Ha a hitelesítő adatokat a Data Factoryben tárolja, az mindig titkosítva lesz a saját üzemeltetésű integrációs modulban.
A hitelesítő adatok tárolása helyileg. Ha közvetlenül a Set-AzDataFactoryV2LinkedService parancsmagot használja a JSON-ban beágyazott kapcsolati sztring és hitelesítő adatokkal, a társított szolgáltatás titkosítva lesz, és a rendszer a saját üzemeltetésű integrációs modulban tárolja. Ebben az esetben a hitelesítő adatok a rendkívül biztonságos Azure háttérszolgáltatáson keresztül jutnak el a saját üzemeltetésű integrációs gépre, ahol végül titkosítják és tárolják. A saját üzemeltetésű integrációs modul a Windows DPAPI használatával titkosítja a bizalmas adatokat és a hitelesítő adatokat.
Hitelesítő adatok tárolása az Azure Key Vaultban. Az adattár hitelesítő adatait az Azure Key Vaultban is tárolhatja. A Data Factory lekéri a hitelesítő adatokat egy tevékenység végrehajtása során. További információ: Hitelesítő adat tárolása az Azure Key Vaultban.
A hitelesítő adatokat helyileg tárolhatja anélkül, hogy a hitelesítő adatokat az Azure háttérrendszerén keresztül a saját üzemeltetésű integrációs modulba irányítanák. Ha a hitelesítő adatokat helyileg szeretné titkosítani és tárolni a saját üzemeltetésű integrációs modulban anélkül, hogy a hitelesítő adatokat a Data Factory háttérrendszerén keresztül kellene futtatnia, kövesse az Azure Data Factory helyszíni adattárainak hitelesítő adatainak titkosítása című témakörben leírt lépéseket. Ezt a lehetőséget minden összekötő támogatja. A saját üzemeltetésű integrációs modul a Windows DPAPI használatával titkosítja a bizalmas adatokat és a hitelesítő adatokat.
A New-AzDataFactoryV2LinkedServiceEncryptedCredential parancsmaggal titkosíthatja a társított szolgáltatás hitelesítő adatait és bizalmas adatait a társított szolgáltatásban. Ezután a visszaadott JSON használatával (az kapcsolati sztring EncryptedCredential elemével) létrehozhat egy társított szolgáltatást a Set-AzDataFactoryV2LinkedService parancsmaggal.
A társított szolgáltatás saját üzemeltetésű integrációs futtatókörnyezetben történő titkosításához használt portok
Alapértelmezés szerint, ha az intranetről való távelérés engedélyezve van, a PowerShell a 8060-as portot használja a gépen a saját üzemeltetésű integrációs futtatókörnyezettel a biztonságos kommunikációhoz. Szükség esetén ez a port a Gépház lapon található Integration Runtime Configuration Managerről módosítható:
Titkosítás az átvitel során
Minden adatátvitel biztonságos HTTPS-csatornán és TLS-en keresztül történik TCP-en keresztül, hogy megakadályozza a középen belüli támadásokat az Azure-szolgáltatásokkal való kommunikáció során.
IpSec VPN-et vagy Azure ExpressRoute-ot is használhat a helyszíni hálózat és az Azure közötti kommunikációs csatorna további védelméhez.
Az Azure Virtual Network a hálózat logikai ábrázolása a felhőben. Helyszíni hálózatot csatlakoztathat a virtuális hálózathoz IPSec VPN (helyek közötti) vagy ExpressRoute (privát társviszony-létesítés) beállításával.
Az alábbi táblázat összefoglalja a hálózati és a saját üzemeltetésű integrációs modul konfigurációs javaslatait a hibrid adatáthelyezés forrás- és célhelyeinek különböző kombinációi alapján.
| Source | Destination | Network configuration | Integrációs modul telepítése |
|---|---|---|---|
| Helyszíni | Virtuális hálózatokban üzembe helyezett virtuális gépek és felhőszolgáltatások | IPSec VPN (pont–hely vagy helyek közötti) | A saját üzemeltetésű integrációs modult telepíteni kell egy Azure-beli virtuális gépre a virtuális hálózaton. |
| Helyszíni | Virtuális hálózatokban üzembe helyezett virtuális gépek és felhőszolgáltatások | ExpressRoute (privát társviszony-létesítés) | A saját üzemeltetésű integrációs modult telepíteni kell egy Azure-beli virtuális gépre a virtuális hálózaton. |
| Helyszíni | Nyilvános végpontot tartalmazó Azure-alapú szolgáltatások | ExpressRoute (Microsoft-társviszony-létesítés) | A saját üzemeltetésű integrációs modul telepíthető a helyszínen vagy egy Azure-beli virtuális gépen. |
Az alábbi képeken a helyi integrációs modul használata látható a helyszíni adatbázis és az Azure-szolgáltatások közötti adatáthelyezéshez az ExpressRoute és az IPSec VPN használatával (az Azure Virtual Network használatával):
Express Route
IPSec VPN
Tűzfalkonfigurációk és az IP-címek listázásának engedélyezése
Megjegyzés:
Előfordulhat, hogy kezelnie kell a portokat, vagy be kell állítania a tartományok engedélyezési listáját a vállalati tűzfal szintjén, a megfelelő adatforrások által megkövetelt módon. Ez a tábla csak az Azure SQL Database-t, az Azure Synapse Analyticset és az Azure Data Lake Store-t használja példákként.
Megjegyzés:
Az Azure Data Factoryn keresztüli adathozzáférési stratégiákkal kapcsolatos részletekért tekintse meg ezt a cikket.
Helyszíni/privát hálózatok tűzfalkövetelményei
Vállalati környezetben a vállalati tűzfal a szervezet központi útválasztóján fut. A Windows tűzfal démonként fut azon a helyi gépen, amelyen a helyi integrációs modul telepítve van.
Az alábbi táblázat a vállalati tűzfalak kimenő port- és tartománykövetelményeit tartalmazza:
| Tartománynevek | Kimenő portok | Leírás |
|---|---|---|
*.servicebus.windows.net |
443 | Az interaktív szerkesztéshez a saját üzemeltetésű integrációs modul szükséges. |
{datafactory}.{region}.datafactory.azure.netor *.frontend.clouddatahub.net |
443 | A Data Factory szolgáltatáshoz való csatlakozáshoz a saját üzemeltetésű integrációs modul szükséges. Az új létrehozott Data Factory esetében keresse meg a teljes tartománynevet a saját üzemeltetésű integrációs modul kulcsából, amely formátuma {datafactory}. {region}.datafactory.azure.net. Régi Data Factory esetén, ha nem látja a teljes tartománynevet a saját üzemeltetésű integrációs kulcsban, használja helyette a *.frontend.clouddatahub.net. |
download.microsoft.com |
443 | A frissítések letöltéséhez a saját üzemeltetésű integrációs modul szükséges. Ha letiltotta az automatikus frissítést, kihagyhatja a tartomány konfigurálását. |
*.core.windows.net |
443 | A saját üzemeltetésű integrációs modul használja az Azure Storage-fiókhoz való csatlakozáshoz a szakaszos másolási funkció használatakor. |
*.database.windows.net |
1433 | Csak akkor szükséges, ha az Azure SQL Database-ből vagy az Azure Synapse Analyticsből vagy az Azure Synapse Analyticsbe másol, máskülönben nem kötelező. A szakaszos másolási funkcióval adatokat másolhat az SQL Database-be vagy az Azure Synapse Analyticsbe az 1433-os port megnyitása nélkül. |
*.azuredatalakestore.netlogin.microsoftonline.com/<tenant>/oauth2/token |
443 | Csak akkor szükséges, ha az Azure Data Lake Store-ból vagy az Azure Data Lake Store-ba másol, máskülönben nem kötelező. |
Megjegyzés:
Előfordulhat, hogy kezelnie kell a portokat, vagy be kell állítania a tartományok engedélyezési listáját a vállalati tűzfal szintjén, a megfelelő adatforrások által megkövetelt módon. Ez a tábla csak az Azure SQL Database-t, az Azure Synapse Analyticset és az Azure Data Lake Store-t használja példákként.
Az alábbi táblázat a Windows tűzfal bejövő portkövetelményét tartalmazza:
| Bejövő portok | Leírás |
|---|---|
| 8060 (TCP) | Ezt a PowerShell titkosítási parancsmagja írja elő az Azure Data Factory helyszíni adattárai hitelesítő adatainak titkosítása című cikkben leírtak szerint, valamint a hitelesítőadat-kezelő alkalmazásnak a helyszíni adattárak hitelesítő adatainak biztonságos beállításához a saját üzemeltetésű integrációs modulban. |
IP-konfigurációk és listabeállítás engedélyezése az adattárakban
A felhőben található egyes adattárak esetében engedélyeznie kell az áruházhoz hozzáférő gép IP-címét is. Győződjön meg arról, hogy a saját üzemeltetésű integrációs futtatókörnyezeti gép IP-címe engedélyezett vagy konfigurálva van a tűzfalon.
A következő felhőalapú adattárakhoz engedélyeznie kell a saját üzemeltetésű integrációs futtatókörnyezeti gép IP-címét. Előfordulhat, hogy ezen adattárak némelyike alapértelmezés szerint nem igényel engedélyezési listát.
Gyakori kérdések
Megosztható a saját üzemeltetésű integrációs modul különböző adat-előállítók között?
Igen. További részleteket itt talál.
Milyen portkövetelmények szükségesek a saját üzemeltetésű integrációs modul működéséhez?
A saját üzemeltetésű integrációs modul HTTP-alapú kapcsolatokat tesz elérhetővé az internethez. A kapcsolat létrehozásához meg kell nyitni a 443-at a saját üzemeltetésű integrációs modulhoz. Nyissa meg a 8060-es bejövő portot csak a gép szintjén (a vállalati tűzfal szintjén nem) a hitelesítőadat-kezelő alkalmazáshoz. Ha az Azure SQL Database-t vagy az Azure Synapse Analyticset használja forrásként vagy célként, akkor az 1433-as portot is meg kell nyitnia. További információ: Tűzfalkonfigurációk és az IP-címek listájának beállításának engedélyezése.
Kapcsolódó tartalom
Az Azure Data Factory másolási tevékenység teljesítményével kapcsolatos információkért tekintse meg a másolási tevékenység teljesítményét és a hangolási útmutatót.