Előző

Következő

Az adatbetöltés biztonsági szempontjainak ismertetése

Befejeződött

Az adatintegráció megköveteli az inaktív és az átvitel alatt álló adatok biztonságos kezelését. Az adatintegrációs megoldás létrehozása előtt a tervezési fázisnak figyelembe kell vennie a biztonsági követelményeket. Ez kezdetben lefedi a forrásrendszereket, és azt, hogy az adatok hogyan kerülnek be a forrásrendszerekbe. Szükség van azonban egy holisztikus megközelítésre, amely a közvetítő adattárak biztonságát is magában foglalja a következő területeken:

Network

A hálózati biztonság beállításával kapcsolatban számos probléma merül fel. Előfordulhat, hogy a szervezet Azure Rendszergazda istratorával kell együttműködnie ezen területek némelyikének kezeléséhez.

Azure-erőforrások védelme virtuális hálózatok használatával

A virtuális hálózatok biztonságos kommunikációt teszik lehetővé az Azure-szolgáltatások vagy a helyszíni hálózaton található kiszolgálók között. A virtuális hálózatok vagy virtuális hálózatok a magánhálózatok konfigurálásának alapvető építőelemei. Lehetővé teszi az Azure-erőforrások, az interneten található szolgáltatások és a helyszíni hálózatok kiszolgálói közötti biztonságos kommunikációt. Az Azure Data Factory adatokat betölthet egy helyszíni kiszolgálóról vagy egy Azure-ban üzemeltetett virtuális gépről. Ennek érdekében egy saját üzemeltetésű integrációs modul üzembe helyezhető egy virtuális hálózaton belüli kiszolgálón. A hozzáférés korlátozásához konfiguráljon egy hálózati biztonsági csoportot (NSG), hogy csak rendszergazdai hozzáférést engedélyezzen. Az Azure-SSIS integrációs modul használatakor lehetősége van csatlakozni egy virtuális hálózathoz. A beállítás elfogadásával az Azure Data Factory hálózati erőforrásokat hozhat létre, például egy hálózati biztonsági csoportot az Azure Data Factory automatikusan hoz létre, a 3389-es port pedig alapértelmezés szerint minden forgalom számára nyitva áll. Zárolja ezt a műveletet, hogy csak a rendszergazdák rendelkezzenek hozzáféréssel.

Szolgáltatások használata a behatolások észleléséhez és megelőzéséhez

Az ismert IP-címekkel folytatott kommunikációt megtagadhatja úgy, hogy engedélyezi az elosztott szolgáltatásmegtagadási (DDoS) védelmi szabványt azon virtuális hálózatokon, amelyeken az integrációs futtatókörnyezet üzemel. Emellett az Azure Security Center integrált fenyegetésfelderítésével megtagadhatja az ismert rosszindulatú vagy nem használt internetes IP-címekkel folytatott kommunikációt. A fenyegetésintelligencia-alapú Azure Firewall a hálózati hozzáférés szabályozására használható. Ha a behatolás észlelésére és/vagy a hasznos adatok vizsgálatán alapuló megelőzésre van szükség, átirányíthatja a forgalmat egy tűzfalkészülékre az Azure ExpressRoute kényszerítő bújtatásával vagy egy ezt a képességet támogató hálózati virtuális berendezésre

A biztonsági szabályok kezelésének egyszerűsítése hálózati szolgáltatáscímkék használatával

A virtuális hálózatok szolgáltatáscímkékkel konfigurálhatók. A szolgáltatáscímkék lehetővé teszik az IP-címelőtagok egy adott Azure-szolgáltatásból való csoportosítását rendszergazdai célokból. A szolgáltatáscímkék használatával hálózati biztonsági szabályokat hozhat létre a hálózati biztonsági csoportokban a szolgáltatáscímkék alapján a rendszergazdai többletterhelés csökkentése érdekében. A szolgáltatáscímke nevének (például DataFactoryManagement) a szabály megfelelő forrás- vagy célmezőjében való megadásával engedélyezheti vagy letilthatja a megfelelő szolgáltatás bejövő forgalmát.

Identitás- és hozzáférés-vezérlés

Az adatokhoz való hozzáférés kezelése fontos szempont. Íme néhány terület, amiről tudni kell.

Rendszergazda istrative fiókok

Az Azure Data Factory működéséhez és kezeléséhez használt felügyeleti fiókoknak dedikált, ismert fiókokat kell használniuk, amelyeket rendszeresen figyelnek és kezelnek annak érdekében, hogy ne sérüljenek. Data Factory-példányok létrehozásához az Azure-ba történő bejelentkezéshez használt felhasználói fióknak a közreműködő vagy tulajdonos szerepkör tagjának, vagy az Azure-előfizetés rendszergazdájának kell lennie. Magas biztonsági környezetek esetén fontolja meg dedikált gépek használatát az ADF felügyeleti feladataihoz való rendszergazdai hozzáféréshez

Egyszeri bejelentkezés használata az Active Directoryval

A Microsoft Entra ID-ban regisztrálhat szolgáltatásneveket a jogkivonat-kezelés előnyeinek kihasználásához, hogy az Azure Data Factory szolgáltatás egyszerűsítse a hitelesítést az Azure-erőforrások között. Az adat-előállítók az adott adat-előállítót képviselő Azure-erőforrások felügyelt identitásával társíthatók. Ezt a felügyelt identitást használhatja az Azure SQL Database-hitelesítéshez. A kijelölt gyár ezzel az identitással férhet hozzá és másolhat adatokat az adatbázisból vagy az adatbázisba.

Adatvédelem

Előfordulhat, hogy a következő területeken különleges szempontokat kell figyelembe vennie bizonyos típusú adatokkal, például orvosi adatokkal vagy pénzügyi adatokkal kapcsolatban.

Szerepköralapú hozzáférés-vezérlés (RBAC) használata az erőforrásokhoz való hozzáférés szabályozásához

Az adatforrásokon az RBAC használatával szabályozhatja az adatokhoz való hozzáférést az Azure Data Factory szolgáltatásnévhez.

Bizalmas adatok

A bizalmas adatok használatakor számos szempontot figyelembe kell vennie, többek között a következőket:

• Bizalmas adatokat tartalmazó adattárak listájának karbantartása
• A bizalmas információkat tároló vagy feldolgozó rendszerek elkülönítése
• Bizalmas adatok jogosulatlan átvitelének figyelése és letiltása
• Az átvitt bizalmas adatok titkosítása
• Bizalmas adatok titkosítása inaktív állapotban

Naplózás és figyelés

Ugyanolyan fontos annak megértése is, hogy ki fér hozzá az adataihoz, és a biztonsági szempontoknak a következő területeket kell magukban foglalniuk.

Központi biztonsági naplókezelés konfigurálása

Az Azure Monitor használatával központosíthatja az Azure Data Factory által létrehozott betöltési naplók tárolását, és lekérdezheti őket a Log Analytics használatával. Emellett állítson be egy stratégiát a naplók hosszú távú tárolására az Azure Storage-fiókokban, hogy az adatokkal alapterveket hozzon létre az ADF-betöltési tevékenységekhez

Virtuális hálózatok, alhálózatok és hálózati adapterek konfigurációjának és hálózati csomagforgalmának monitorozása és naplózása

Engedélyezze a hálózati biztonsági csoport (NSG) folyamatnaplóit az integrációs modul üzembe helyezését védő NSG-hez, és küldjön naplókat egy Azure Storage-fiókba a forgalom naplózásához. NSG-folyamatnaplókat is küldhet egy Log Analytics-munkaterületre, és a Traffic Analytics használatával betekintést nyerhet az Azure-felhő forgalmi folyamatába.

Naplózás engedélyezése

Az Azure Data Factory diagnosztikai beállításaival diagnosztikai naplókat konfigurálhat a folyamatfuttatási adatok nyomon követésére, amelyeket 45 napig őriz meg. A diagnosztikai naplókat az Azure Storage-fiókokba mentheti későbbi elemzés céljából.

Riasztások engedélyezése tevékenységekhez

Az Azure Data Factory diagnosztikai beállítása, amely naplókat küld a Log Analyticsnek, olyan előre meghatározott feltételekhez konfigurálható riasztásokkal rendelkezhet, amelyek riasztásokat küldhetnek a rendszergazdáknak a tevékenységekre

Standard naplózási és monitorozási szabvány követése a szervezeten belül

Ellenőrizze a szervezet naplózási és monitorozási szabványait, és igazodjon a szabványhoz, beleértve a következőket:

• Naplózás naplózása
• Biztonsági naplók
• Kártevőirtó naplózás
• Naplómegőrzési szabályzatok

Folytatás