Strategi akses data

  • Artikel

BERLAKU UNTUK:Azure Data Factory Azure Synapse Analytics

Tip

Cobalah Data Factory di Microsoft Fabric, solusi analitik all-in-one untuk perusahaan. Microsoft Fabric mencakup semuanya mulai dari pergerakan data hingga ilmu data, analitik real time, kecerdasan bisnis, dan pelaporan. Pelajari cara memulai uji coba baru secara gratis!

Tujuan keamanan organisasi yang penting adalah untuk melindungi penyimpanan data mereka dari akses acak melalui internet, dan mungkin juga menjadi penyimpanan data lokal atau Cloud/SaaS.

Biasanya penyimpanan data cloud mengontrol akses menggunakan mekanisme di bawah ini:

  • Link Privat dari Microsoft Azure Virtual Network ke sumber data dengan Private Endpoint aktif
  • Aturan firewall yang membatasi konektivitas berdasarkan alamat IP
  • Mekanisme autentikasi yang mengharuskan pengguna untuk membuktikan identitas mereka
  • Mekanisme otorisasi yang membatasi pengguna untuk tindakan dan data tertentu

Tip

Dengan pengenalan rentang alamat IP Statis, Anda sekarang dapat mengizinkan rentang IP daftar untuk wilayah runtime integrasi Azure tertentu untuk memastikan Anda tidak perlu mengizinkan semua alamat IP Azure di penyimpanan data cloud. Dengan cara ini, Anda dapat membatasi alamat IP yang diizinkan untuk mengakses penyimpanan data.

Catatan

Rentang alamat IP diblokir untuk Azure Integration Runtime dan saat ini hanya digunakan untuk Pergerakan Data, alur, dan aktivitas eksternal. Aliran data dan Azure Integration Runtime yang mengaktifkan Jaringan Virtual Terkelola sekarang tidak menggunakan rentang IP ini.

Ini harus bekerja dalam banyak skenario, dan kami memahami bahwa alamat IP Statis yang unik per runtime integrasi akan diinginkan, tetapi ini tidak akan mungkin menggunakan Azure Integration Runtime saat ini, yang tanpa server. Jika perlu, Anda selalu dapat mengatur Runtime Integrasi yang dihosting sendiri dan menggunakan IP Statis dengannya.

Strategi akses data melalui Azure Data Factory

  • Tautan Pribadi - Anda dapat membuat Azure Integration Runtime dalam Azure Data Factory Managed Virtual Network dan itu akan memanfaatkan titik akhir pribadi untuk terhubung dengan aman ke penyimpanan data yang didukung. Lalu lintas antara Jaringan Virtual Terkelola serta sumber data melakukan perjalanan jaringan backbone Microsoft dan tidak terpapar jaringan publik.
  • Layanan Tepercaya - Microsoft Azure Storage (Blob, ADLS Gen2) mendukung konfigurasi firewall yang mengaktifkan pemilihan layanan platform Azure tepercaya untuk mengakses akun penyimpanan dengan aman. Layanan Tepercaya memberlakukan autentikasi Identitas Terkelola, yang memastikan tidak ada data factory ablain yang dapat terhubung ke penyimpanan ini kecuali disetujui untuk melakukannya menggunakan identitas terkelola. Anda dapat menemukan detail lebih lanjut di blog ini. Oleh karena itu, ini sangat aman dan direkomendasikan.
  • IP Statis Unik - Anda harus mengatur runtime integrasi yang dihosting sendiri untuk mendapatkan IP Statis untuk konektor Data Factory. Mekanisme ini memastikan Anda dapat memblokir akses dari semua alamat IP lainnya.
  • Rentang IP statis - Anda dapat menggunakan alamat IP Azure Integration Runtime untuk memungkinkan daftar di penyimpanan (misalnya S3, Salesforce, dll.). Ini tentu membatasi alamat IP yang dapat terhubung ke penyimpanan data tetapi juga bergantung pada aturan Autentikasi/Otorisasi.
  • Tag Layanan - Tag layanan yang mewakili sekelompok awalan alamat IP dari layanan Azure tertentu (seperti Azure Data Factory). Microsoft mengelola awalan alamat yang di mencakup tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah, meminimalkan kompleksitas pembaruan yang sering diterapkan pada aturan keamanan jaringan. Hal ini berguna ketika memfilter akses data pada IaaS dihosting penyimpanan data di Virtual Network.
  • Izinkan Layanan Azure - Beberapa layanan memungkinkan Anda mengizinkan semua layanan Azure untuk menyambungkannya jika Anda memilih opsi ini.

Untuk informasi selengkapnya tentang mekanisme keamanan jaringan yang didukung pada penyimpanan data di Azure Integration Runtime dan Integration Runtime yang dihosting sendiri, lihat dua tabel di bawah.

  • Runtime Integrasi Azure

    Penyimpanan Data Mekanisme Keamanan Jaringan yang Didukung pada Penyimpanan Data Private Link Layanan Tepercaya Rentang IP statis Tag Layanan Izinkan Layanan Azure
    Penyimpanan Data Azure PaaS Azure Cosmos DB Ya - Ya - Ya
    Azure Data Explorer - - Ya* Ya* -
    Azure Data Lake Gen1 - - Ya - Ya
    Azure Database for MariaDB, MySQL, PostgreSQL - - Ya - Ya
    Azure Files Ya - Ya - .
    Penyimpanan Blob Azure dan ADLS Gen2 Ya Ya (hanya MSI auth) Ya - .
    Azure SQL DB, Azure Synapse Analytics), SQL Ml Ya (hanya Azure SQL DB/DW) - Ya - Ya
    Azure Key Vault (untuk mengambil string rahasia/koneksi) yes Ya Ya - -
    Penyimpanan Data PaaS/ SaaS Lainnya AWS S3, SalesForce, Google Cloud Storage, dll. - - Ya - -
    Snowflake Ya - Ya - -
    Azure IaaS SQL Server, Oracle, dll. - - Ya Ya -
    IaaS lokal SQL Server, Oracle, dll. - - Ya - -

    *Hanya berlaku ketika Azure Data Explorer disuntikkan jaringan virtual, dan rentang IP dapat diterapkan pada NSG/Firewall.

  • Microsoft Integration Runtime Dihosting Sendiri (di Vnet/lokal)

    Penyimpanan Data Mekanisme Keamanan Jaringan yang Didukung pada Penyimpanan Data IP Statis Layanan Tepercaya
    Penyimpanan Data Azure PaaS Azure Cosmos DB Ya -
    Azure Data Explorer - -
    Azure Data Lake Gen1 Ya -
    Azure Database for MariaDB, MySQL, PostgreSQL Ya -
    Azure Files Ya -
    Penyimpanan Blob Azure dan ADLS Gen2 Ya Ya (hanya MSI auth)
    Azure SQL DB, Azure Synapse Analytics), SQL Ml Ya -
    Azure Key Vault (untuk mengambil string rahasia/koneksi) Ya Ya
    Penyimpanan Data PaaS/ SaaS Lainnya AWS S3, SalesForce, Google Cloud Storage, dll. Ya -
    Azure laaS SQL Server, Oracle, dll. Ya -
    laaS Lokal SQL Server, Oracle, dll. Ya -

Konten terkait

Untuk informasi selengkapnya, baca artikel berikut: