Megosztás a következőn keresztül:

Az Azure Synapse Analytics biztonsági tanulmánya: Bevezetés

  • Cikk

Összefoglalás: Az Azure Synapse Analytics egy Microsoft korlátlan elemzési platform, amely a nagyvállalati adatraktározást és a big data-feldolgozást egyetlen felügyelt környezetbe integrálja, rendszerintegráció nélkül. Az Azure Synapse analitikus életciklusának végpontok közötti eszközeit a következőkkel biztosítja:

Az Azure Synapse adatbiztonsága és adatvédelme nem tárgyalható. A tanulmány célja, hogy átfogó áttekintést nyújtson az Azure Synapse nagyvállalati szintű és iparágvezető biztonsági funkcióiról. A tanulmány a következő öt biztonsági réteget lefedő cikksorozatból áll:

  • Adatvédelem
  • Hozzáférés-vezérlés
  • Hitelesítés
  • Hálózati biztonság
  • Fenyegetések elleni védelem

Ez a tanulmány az összes vállalati biztonsági érdekeltet célozza meg. Ezek közé tartoznak a biztonsági rendszergazdák, a hálózati rendszergazdák, az Azure-rendszergazdák, a munkaterület-rendszergazdák és az adatbázis-rendszergazdák.

Írók: Vengatesh Parasuraman, Fretz Nuson, Ron Dunn, Khendr'a Reid, John Hoang, Nithesh Krishnappa, Mykola Kovalenko, Brad Schacht, Pedro Martinez, Mark Pryce-Maher és Arshad Ali.

Műszaki véleményezők: Nandita Valsan, Rony Thomas, Abhishek Narain, Daniel Crawford és Tammy Richter Jones.

A következőkre vonatkozik: Azure Synapse Analytics, dedikált SQL-készlet (korábban SQL DW), kiszolgáló nélküli SQL-készlet és Apache Spark-készlet.

Fontos

Ez a tanulmány nem vonatkozik az Azure SQL Database-re, az Azure SQL Managed Instancere, az Azure Machine Learningre vagy az Azure Databricksre.

Bevezetés

Az adatsértések, a kártevő-fertőzések és a rosszindulatú kódinjektálás gyakori főcímei a felhő modernizálását kereső vállalatok biztonsági problémáinak széles listában szerepelnek. A nagyvállalati ügyfélnek olyan felhőszolgáltatóra vagy szolgáltatásmegoldásra van szüksége, amely meg tudja kezelni az aggályait, mivel nem engedheti meg magának, hogy tévedjen.

Néhány gyakori biztonsági kérdés:

  • Hogyan szabályozhatom, hogy ki lát milyen adatokat?
  • Milyen lehetőségek vannak a felhasználó identitásának ellenőrzésére?
  • Hogyan védik az adataimat?
  • Milyen hálózati biztonsági technológiát használhatok a hálózataim és adataim integritásának, titkosságának és hozzáférésének védelmére?
  • Mik azok az eszközök, amelyek észlelik és értesítik a fenyegetéseket?

Ennek a fehér könyvnek a célja, hogy válaszokat adjon ezekre a gyakori biztonsági kérdésekre és sok másra.

Összetevőarchitektúra

Az Azure Synapse egy szolgáltatásként nyújtott platformalapú (PaaS) elemzési szolgáltatás, amely több független összetevőt, például dedikált SQL-készleteket, kiszolgáló nélküli SQL-készleteket, Apache Spark-készleteket és adatintegrációs folyamatokat tartalmaz. Ezeket az összetevőket úgy tervezték, hogy együttműködve zökkenőmentes elemzési platformélményt nyújtsanak.

A dedikált SQL-készletek olyan kiépített fürtök, amelyek nagyvállalati adattárházi képességeket biztosítanak az SQL-számítási feladatokhoz. Az adatok az Azure Storage által üzemeltetett felügyelt tárolóba kerülnek, amely egyben PaaS-szolgáltatás is. A számítás elkülönítve van a tárolótól, így az ügyfelek az adataiktól függetlenül méretezhetik a számításokat. A dedikált SQL-készletek lehetővé teszik az adatfájlok közvetlen lekérdezését is az ügyfél által felügyelt Azure Storage-fiókokon keresztül külső táblák használatával.

A kiszolgáló nélküli SQL-készletek igény szerinti fürtök, amelyek sql-felületet biztosítanak az adatok közvetlenül az ügyfél által felügyelt Azure Storage-fiókokon keresztül történő lekérdezéséhez és elemzéséhez. Mivel kiszolgáló nélküliek, nincs felügyelt tároló, és a számítási csomópontok automatikusan méretezhetők a lekérdezési számítási feladatra válaszul.

Az Azure Synapse-ben futó Apache Spark a Microsoft egyik nyílt forráskódú Apache Spark-implementációja a felhőben. A Spark-példányok igény szerint vannak kiépítve a Spark-készletekben meghatározott metaadat-konfigurációk alapján. Minden felhasználó saját dedikált Spark-példányt kap a feladatai futtatásához. A Spark-példányok által feldolgozott adatfájlokat az ügyfél saját Azure Storage-fiókjaiban kezeli.

A folyamatok olyan tevékenységek logikai csoportosítását képezik, amelyek nagy léptékben végeznek adatáthelyezést és adatátalakítást. Az adatfolyam egy folyamat átalakítási tevékenysége, amelyet alacsony kódszámú felhasználói felülettel fejlesztettek ki. Nagy léptékű adatátalakításokat hajthat végre. A háttérben az adatfolyamok az Azure Synapse Apache Spark-fürtjeinek használatával hajtják végre az automatikusan létrehozott kódot. A folyamatok és adatfolyamok csak számítási szolgáltatások, és nincs hozzájuk társítva felügyelt tároló.

A folyamatok az integrációs modult (INTEGRÁCIÓ) használják skálázható számítási infrastruktúraként az adatáthelyezési és -küldési tevékenységek végrehajtásához. Az adatáthelyezési tevékenységek az integrációs modulon futnak, míg a küldési tevékenységek számos más számítási motoron futnak, beleértve az Azure SQL Database-t, az Azure HDInsightot, az Azure Databrickset, az Azure Synapse Apache Spark-fürtöit és másokat. Az Azure Synapse kétféle integrációs modult támogat: az Azure Integration Runtime-t és a saját üzemeltetésű integrációs modult. Az Azure IR teljes mértékben felügyelt, méretezhető és igény szerinti számítási infrastruktúrát biztosít. A saját üzemeltetésű integrációs modult az ügyfél a saját hálózatában telepíti és konfigurálja, akár helyszíni gépeken, akár Azure-beli felhőbeli virtuális gépeken.

Az ügyfelek dönthetnek úgy, hogy a Synapse-munkaterületüket egy felügyelt munkaterületi virtuális hálózathoz társítják. Felügyelt munkaterületi virtuális hálózathoz társítva a folyamatok, adatfolyamok és Apache Spark-készletek által használt Azure IRs- és Apache Spark-fürtök a felügyelt munkaterület virtuális hálózatán belül lesznek üzembe helyezve. Ez a beállítás biztosítja a hálózati elkülönítést a folyamatok munkaterületei és az Apache Spark számítási feladatai között.

Az alábbi ábra az Azure Synapse különböző összetevőit mutatja be.

Dedikált SQL-készleteket, kiszolgáló nélküli SQL-készleteket, Apache Spark-készleteket és folyamatokat bemutató Azure Synapse-összetevők diagramja.

Összetevők elkülönítése

A diagramon látható Azure Synapse minden egyes összetevője saját biztonsági funkciókat biztosít. A biztonsági funkciók védelmet, hozzáférés-vezérlést, hitelesítést, hálózati biztonságot és fenyegetésvédelmet biztosítanak a számítási és a kapcsolódó feldolgozott adatok védelméhez. Emellett az Azure Storage PaaS-szolgáltatásként további biztonságot nyújt, amelyet az ügyfél saját tárfiókjaiban állít be és kezel. Ez az összetevőelkülönítési korlát, és minimálisra csökkenti az expozíciót, ha bármelyik összetevőjében biztonsági rés áll fenn.

Biztonsági rétegek

Az Azure Synapse többrétegű biztonsági architektúrát implementál az adatok végpontok közötti védelméhez. Öt rétegből áll:

  • Adatvédelem a bizalmas adatok azonosításához és besorolásához, valamint az inaktív és mozgásban lévő adatok titkosításához.
  • Hozzáférés-vezérlés annak meghatározásához, hogy a felhasználó jogosult-e az adatokkal való interakcióra.
  • Hitelesítés a felhasználók és alkalmazások identitásának igazolásához.
  • Hálózati biztonság a hálózati forgalom privát végpontokkal és virtuális magánhálózatokkal való elkülönítéséhez.
  • Veszélyforrások elleni védelem a potenciális biztonsági fenyegetések, például a szokatlan hozzáférési helyek, az SQL-injektálási támadások, a hitelesítési támadások stb. azonosításához.

A képen az Azure Synapse biztonsági architektúrájának öt rétege látható: adatvédelem, hozzáférés-vezérlés, hitelesítés, hálózati biztonság és fenyegetésvédelem.

Következő lépések

Ebben a tanulmánysorozatban a következő cikkben megismerheti az adatvédelemmel kapcsolatos tudnivalókat.