Бөлісу құралы:


Стратегии получения доступа к данным

ОБЛАСТЬ ПРИМЕНЕНИЯ: Фабрика данных Azure Azure Synapse Analytics

Совет

Попробуйте использовать фабрику данных в Microsoft Fabric, решение для аналитики с одним интерфейсом для предприятий. Microsoft Fabric охватывает все, от перемещения данных до обработки и анализа данных в режиме реального времени, бизнес-аналитики и отчетности. Узнайте, как бесплатно запустить новую пробную версию !

Важнейшей целью обеспечения безопасности организаций является защита хранилищ данных от случайного доступа через Интернет, являются ли они локальными или облачными хранилищами данных SaaS.

Как правило, облачное хранилище данных управляет доступом с помощью следующих механизмов:

  • Приватный канал из виртуальной сети в источники данных с поддержкой частных конечных точек
  • правил брандмауэра, которые ограничивают подключения по IP-адресу;
  • механизмов проверки подлинности, требующих подтверждения удостоверений пользователей;
  • механизмов авторизации, позволяющих предоставить пользователям доступ только к определенным действиям и данным.

Совет

С появлением диапазона статических IP-адресов можно разрешать определенные диапазоны IP-адресов для конкретного региона среды выполнения интеграции Azure. Это избавляет от необходимости разрешать все IP-адреса Azure в облачных хранилищах данных. Таким образом, можно ограничить IP-адреса, которым разрешен доступ к хранилищам данных.

Примечание.

Диапазоны IP-адресов заблокированы для Azure Integration Runtime и сейчас используются только для перемещения данных, конвейера и внешних действий. Потоки данных и Azure Integration Runtime, которые позволяют управляемой виртуальной сети, сейчас не используют эти диапазоны IP-адресов.

Это должно работать во многих сценариях, и мы понимаем, что для каждой среды выполнения интеграции желательно использовать уникальный статический IP-адрес, но сейчас это невозможно при использовании Azure Integration Runtime, так как она является бессерверной. При необходимости вы всегда можете настроить локальную среду выполнения интеграции и использовать ее со статическим IP-адресом.

Стратегии доступа к данным с помощью Фабрики данных Azure

  • Приватный канал. Вы можете создать Azure Integration Runtime в виртуальной сети, управляемой фабрикой данных Azure, и использовать частные конечные точки для безопасного подключения к поддерживаемым хранилищам данных. Трафик между управляемой виртуальной сетью и источниками данных перемещается в магистральную сеть Майкрософт и не доступен общедоступной сети.
  • Доверенная служба — служба хранилища Azure (большие двоичные объекты, ADLS 2-го поколения) позволяет выбрать доверенные службы платформы Azure для безопасного доступа к учетной записи хранения. Доверенные службы обеспечивают проверку подлинности с помощью управляемых удостоверений. Это гарантирует, что другие фабрики данных не смогут подключаться к этому хранилищу, если они не разрешено делать это с использованием управляемого удостоверения. Дополнительные сведения см. в этом блоге. Этот метод вполне безопасен и рекомендуется.
  • Уникальный статический IP — вам потребуется настроить локальную среду выполнения интеграции, чтобы получить статический IP-адрес для соединителей фабрики данных. Этот механизм позволяет блокировать доступ со всех других IP-адресов.
  • Диапазон статических IP-адресов — вы можете использовать IP-адреса Azure Integration Runtime, чтобы разрешить список адресов в своем хранилище (например, S3, Salesforce и т. д.). Он, безусловно, ограничит IP-адреса, которые могут подключаться к хранилищам данных, но также полагается на правила проверки подлинности и авторизации.
  • Тег службы — тег службы представляет группу префиксов IP-адресов из определенной службы Azure (например, Фабрики данных Azure). Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов, сводя к минимуму сложность частых обновлений правил сетевой безопасности. Это полезно при фильтрации доступа к данным в хранилищах данных, размещенных в IaaS в виртуальной сети.
  • Разрешение служб Azure — некоторые службы позволяют разрешить подключение всем службам Azure в случае выбора этого параметра.

Дополнительные сведения о поддерживаемых механизмах безопасности сети для хранилищ данных Azure Integration Runtime и локальных сред выполнения интеграции см. в двух таблицах ниже.

  • Azure Integration Runtime

    Хранилища данных Поддерживаемый механизм сетевой безопасности в хранилищах данных Приватный канал Доверенная служба Диапазон статических IP-адресов Теги служб Разрешить службы Azure
    Хранилища данных PaaS Azure Azure Cosmos DB Да - Да - Да
    Azure Data Explorer - - Да* Да* -
    Azure Data Lake 1-го поколения - - Да - Да
    База данных Azure для MariaDB, MySQL и PostgreSQL - - Да - Да
    Файлы Azure Да - Да - .
    Хранилище BLOB-объектов Azure и Azure Data Lake Storage 2-го поколения Да Да (только проверка подлинности MSI) Да - .
    Azure SQL DB, Azure Synapse Analytics, SQL ML Да (только для базы данных Azure SQL DB или DW) - Да - Да
    Azure Key Vault (для получения секретов или строки подключения) yes Да Да - -
    Другие хранилища данных PaaS/SaaS AWS S3, SalesForce, Google Cloud Storage и т. д. - - Да - -
    Снежинка Да - Да - -
    Azure IaaS SQL Server, Oracle и т. д. - - Да Да -
    IaaS в локальной среде SQL Server, Oracle и т. д. - - Да - -

    *Применяется только в том случае, если Azure Data Explorer внедрен в виртуальную сеть, а диапазон IP-адресов может применен в группе безопасности сети/на брандмауэре.

  • Локальная среда выполнения интеграции (в виртуальной сети/локальная)

    Хранилища данных Поддерживаемый механизм сетевой безопасности в хранилищах данных Статический IP-адрес Доверенные службы
    Хранилища данных PaaS Azure Azure Cosmos DB Да -
    Azure Data Explorer - -
    Azure Data Lake 1-го поколения Да -
    База данных Azure для MariaDB, MySQL и PostgreSQL Да -
    Файлы Azure Да -
    Хранилище BLOB-объектов Azure и Azure Data Lake Storage 2-го поколения Да Да (только проверка подлинности MSI)
    Azure SQL DB, Azure Synapse Analytics, SQL ML Да -
    Azure Key Vault (для получения секретов или строки подключения) Да Да
    Другие хранилища данных PaaS/SaaS AWS S3, SalesForce, Google Cloud Storage и т. д. Да -
    Azure laaS SQL Server, Oracle и т. д. Да -
    Локальный laaS SQL Server, Oracle и т. д. Да -

Дополнительные сведения см. в следующих тематически связанных статьях: