Condividi tramite


Strategie di accesso ai dati

SI APPLICA A: Azure Data Factory Azure Synapse Analytics

Suggerimento

Provare Data Factory in Microsoft Fabric, una soluzione di analisi all-in-one per le aziende. Microsoft Fabric copre tutto, dallo spostamento dati al data science, all'analisi in tempo reale, alla business intelligence e alla creazione di report. Vedere le informazioni su come iniziare una nuova prova gratuita!

Un obiettivo di sicurezza fondamentale di un'organizzazione è proteggere i propri archivi dati da accessi casuali tramite Internet, potrebbe trattarsi di un archivio dati locale o Cloud/SaaS.

In genere, un archivio dati cloud controlla l'accesso mediante i meccanismi seguenti:

  • collegamento privato da un Rete virtuale a origini dati abilitate per l'endpoint privato
  • Regole del firewall che limitano la connettività in base all'indirizzo IP.
  • Meccanismi di autenticazione che richiedono all'utente di dimostrare la propria identità.
  • Meccanismi di autorizzazione che limitano l'accesso degli utenti ad azioni e dati specifici

Suggerimento

Con l'introduzione di un intervallo di indirizzi IP statici, è ora possibile specificare un elenco di indirizzi IP consentiti per una determinata area Azure Integration Runtime, in modo da non dover consentire tutti gli indirizzi IP di Azure nei propri archivi dati cloud, ma limitarne l'accesso solo agli indirizzi IP autorizzati.

Nota

Gli intervalli di indirizzi IP sono bloccati per Il runtime di integrazione di Azure ed è attualmente usato solo per lo spostamento dei dati, la pipeline e le attività esterne. I flussi di dati e il runtime di integrazione di Azure che abilitano i Rete virtuale gestiti non usano ora questi intervalli IP.

In questo modo dovrebbe essere coperta la maggior parte degli scenari e, sebbene sia preferibile avere un unico indirizzo IP statico per il runtime di integrazione, attualmente non sarebbe possibile poiché Azure Integration Runtime è serverless. Se necessario, è sempre possibile configurare un runtime di integrazione self-hosted e usare l'indirizzo IP statico.

Strategie di accesso ai dati tramite Azure Data Factory

  • collegamento privato: è possibile creare un runtime di integrazione di Azure all'interno dell'Rete virtuale gestito di Azure Data Factory e sfruttare gli endpoint privati per connettersi in modo sicuro agli archivi dati supportati. Il traffico tra l'Rete virtuale gestito e le origini dati sposta la rete backbone Microsoft e non è esposto alla rete pubblica.
  • Servizio attendibile: Archiviazione di Azure (BLOB, ADLS Gen2) supporta la configurazione del firewall, che consente di selezionare servizi della piattaforma Azure attendibili per accedere in modo sicuro all'account di archiviazione. Trusted Services applica l'autenticazione dell'identità gestita, che garantisce che nessun'altra data factory possa connettersi a questa risorsa di archiviazione, a meno che non sia approvata per farlo usando l'identità gestita. Per informazioni più dettagliate, vedere questo blog. Questa strategia, quindi, è estremamente sicura ed è consigliata.
  • IP statico univoco: è necessario configurare un runtime di integrazione self-hosted per ottenere un indirizzo IP statico per i connettori di Data Factory. Questo meccanismo offre la possibilità di bloccare l'accesso da qualsiasi altro indirizzo IP.
  • Intervallo IP statico: è possibile usare gli indirizzi IP di Azure Integration Runtime per aggiungerli come elenco di IP consentiti nella risorsa di archiviazione (ad esempio, S3, Salesforce e così via). Questa strategia non solo limita il numero di indirizzi IP che possono connettersi agli archivi dati, ma si basa anche sulle regole di autenticazione/autorizzazione.
  • Tag di servizio: un tag di servizio rappresenta un gruppo di prefissi di indirizzi IP di un determinato servizio di Azure, ad esempio Azure Data Factory. Microsoft gestisce i prefissi di indirizzo inclusi nel tag del servizio e aggiorna automaticamente il tag in base alla modifica degli indirizzi, riducendo la complessità degli aggiornamenti frequenti alle regole di sicurezza di rete. È utile quando si filtra l'accesso ai dati negli archivi dati ospitati IaaS in Rete virtuale.
  • Consenti Servizi di Azure: alcuni servizi offrono la possibilità di autorizzare tutti i servizi di Azure a connettersi (scegliendo questa opzione).

Per ulteriori informazioni sui meccanismi di sicurezza di rete supportati negli archivi dati in Azure Integration Runtime e Integration Runtime indipendenti, vedere sotto due tabelle.

  • Azure Integration Runtime

    Archivi dati Meccanismo di sicurezza di rete supportato negli archivi dati Collegamento privato Servizio attendibile Intervallo IP statico Tag di servizio Consenti Servizi di Azure
    Archivi dati Azure PaaS Azure Cosmos DB - -
    Esplora dati di Azure - - Sì* Sì* -
    Azure Data Lake Gen1 - - -
    Database di Azure per MariaDB, MySQL, PostgreSQL - - -
    File di Azure - - .
    Archiviazione BLOB di Azure e ADLS Gen2 Sì (solo autenticazione MSI) - .
    Database SQL di Azure, Azure Synapse Analitica), SQL Ml Sì (solo database SQL di Azure/DW) - -
    Azure Key Vault (per il recupero di segreti/stringa di connessione) yes - -
    Altri archivi dati PaaS/SaaS AWS S3, SalesForce, Google Cloud Storage, ecc. - - - -
    Snowflake - - -
    Azure IaaS SQL Server, Oracle, ecc. - - -
    IaaS locale SQL Server, Oracle, ecc. - - - -

    *Applicabile solo se Esplora dati di Azure è inserito in una rete virtuale ed è possibile applicare l'intervallo di indirizzi IP al gruppo di sicurezza di rete/firewall.

  • Runtime di integrazione self-hosted (in rete virtuale/locale)

    Archivi dati Meccanismo di sicurezza di rete supportato negli archivi dati Indirizzo IP statico Servizi attendibili
    Archivi dati Azure PaaS Azure Cosmos DB -
    Esplora dati di Azure - -
    Azure Data Lake Gen1 -
    Database di Azure per MariaDB, MySQL, PostgreSQL -
    File di Azure -
    Archiviazione BLOB di Azure e ADLS Gen2 Sì (solo autenticazione MSI)
    Database SQL di Azure, Azure Synapse Analitica), SQL Ml -
    Azure Key Vault (per il recupero di segreti/stringa di connessione)
    Altri archivi dati PaaS/SaaS AWS S3, SalesForce, Google Cloud Storage, ecc. -
    laaS Azure SQL Server, Oracle, ecc. -
    laaS locale SQL Server, Oracle, ecc. -

Per altre informazioni, vedere gli articoli correlati seguenti: