Strategieën voor gegevenstoegang
VAN TOEPASSING OP:
Azure Data Factory Azure Synapse Analytics
Tip
Probeer Data Factory uit in Microsoft Fabric, een alles-in-één analyseoplossing voor ondernemingen. Microsoft Fabric omvat alles, van gegevensverplaatsing tot gegevenswetenschap, realtime analyses, business intelligence en rapportage. Meer informatie over het gratis starten van een nieuwe proefversie .
Een essentieel beveiligingsdoel van een organisatie is om hun gegevensarchieven te beschermen tegen willekeurige toegang via internet, mogelijk een on-premises of een Cloud-/SaaS-gegevensarchief.
Normaal gesproken beheert een gegevensarchief in de cloud de toegang met behulp van de onderstaande mechanismen:
- Private Link van een virtueel netwerk naar gegevensbronnen met een privé-eindpunt
- Firewallregels die de connectiviteit per IP-adres beperken
- Verificatiemechanismen waarvoor gebruikers hun identiteit moeten bewijzen
- Autorisatiemechanismen waarmee gebruikers worden beperkt tot specifieke acties en gegevens
Tip
Met de introductie van statisch IP-adresbereik kunt u nu lijst-IP-bereiken toestaan voor de specifieke Azure Integration Runtime-regio om ervoor te zorgen dat u niet alle Azure IP-adressen in uw cloudgegevensarchieven hoeft toe te staan. Op deze manier kunt u de IP-adressen beperken die toegang hebben tot de gegevensarchieven.
Notitie
De IP-adresbereiken worden geblokkeerd voor Azure Integration Runtime en worden momenteel alleen gebruikt voor gegevensverplaatsing, pijplijn en externe activiteiten. Gegevensstromen en Azure Integration Runtime die Managed Virtual Network inschakelen, maken nu geen gebruik van deze IP-bereiken.
Dit zou in veel scenario's moeten werken en we begrijpen wel dat een uniek statisch IP-adres per integration runtime wenselijk is, maar dit zou momenteel niet mogelijk zijn met behulp van Azure Integration Runtime, wat serverloos is. Indien nodig kunt u altijd een zelf-hostende Integration Runtime instellen en uw statische IP-adres ermee gebruiken.
Strategieën voor gegevenstoegang via Azure Data Factory
- Private Link : u kunt een Azure Integration Runtime maken in azure Data Factory Managed Virtual Network en deze maakt gebruik van privé-eindpunten om veilig verbinding te maken met ondersteunde gegevensarchieven. Verkeer tussen beheerd virtueel netwerk en gegevensbronnen reist het Microsoft backbone-netwerk en wordt niet blootgesteld aan het openbare netwerk.
- Vertrouwde service : Azure Storage (Blob, ADLS Gen2) ondersteunt firewallconfiguratie waarmee vertrouwde Azure-platformservices veilig toegang kunnen krijgen tot het opslagaccount. Trusted Services dwingt verificatie van beheerde identiteit af, waardoor er geen andere data factory verbinding kan maken met deze opslag, tenzij dit is goedgekeurd met behulp van de beheerde identiteit. Meer informatie vindt u in deze blog. Daarom is dit uiterst veilig en aanbevolen.
- Uniek statisch IP- U moet een zelf-hostende Integration Runtime instellen om een statisch IP-adres voor Data Factory-connectors op te halen. Dit mechanisme zorgt ervoor dat u de toegang van alle andere IP-adressen kunt blokkeren.
- Statisch IP-bereik : u kunt de IP-adressen van Azure Integration Runtime gebruiken om deze in uw opslag weer te geven (bijvoorbeeld S3, Salesforce, enzovoort). Het beperkt zeker IP-adressen die verbinding kunnen maken met de gegevensarchieven, maar is ook afhankelijk van verificatie- en autorisatieregels.
- Servicetag : een servicetag vertegenwoordigt een groep IP-adresvoorvoegsels van een bepaalde Azure-service (zoals Azure Data Factory). Microsoft beheert de adresvoorvoegsels die worden omvat door de servicetag en werkt de servicetag automatisch bij naarmate de adressen veranderen, waardoor de complexiteit van frequente updates voor netwerkbeveiligingsregels wordt geminimaliseerd. Dit is handig bij het filteren van gegevenstoegang op gehoste IaaS-gegevensarchieven in virtual network.
- Azure-services toestaan: met sommige services kunt u alle Azure-services toestaan om er verbinding mee te maken voor het geval u deze optie kiest.
Zie de onderstaande twee tabellen voor meer informatie over ondersteunde netwerkbeveiligingsmechanismen voor gegevensarchieven in Azure Integration Runtime en zelf-hostende Integration Runtime.
Azure Integration Runtime
Gegevensarchieven Ondersteund netwerkbeveiligingsmechanisme voor gegevensarchieven Private Link Vertrouwde service Statisch IP-bereik Servicetags Azure-services toestaan Azure PaaS-gegevensarchieven Azure Cosmos DB Ja - Ja - Ja Azure Data Explorer - - Ja* Ja* - Azure Data Lake Gen1 - - Ja - Ja Azure Database for MariaDB, MySQL, PostgreSQL - - Ja - Ja Azure Files Ja - Ja - . Azure Blob Storage en ADLS Gen2 Ja Ja (alleen MSI-verificatie) Ja - . Azure SQL DB, Azure Synapse Analytics), SQL Ml Ja (alleen Azure SQL DB/DW) - Ja - Ja Azure Key Vault (voor het ophalen van geheimen/verbindingsreeks) ja Ja Ja - - Andere PaaS-/SaaS-gegevensarchieven AWS S3, SalesForce, Google Cloud Storage, enzovoort. - - Ja - - Snowflake Ja - Ja - - Azure IaaS SQL Server, Oracle, enzovoort. - - Ja Ja - On-premises IaaS SQL Server, Oracle, enzovoort. - - Ja - - *Alleen van toepassing wanneer Azure Data Explorer wordt geïnjecteerd in een virtueel netwerk en het IP-bereik kan worden toegepast op NSG/Firewall.
Zelf-hostende Integration Runtime (in VNet/on-premises)
Gegevensarchieven Ondersteund netwerkbeveiligingsmechanisme voor gegevensarchieven Statisch IP-adres Vertrouwde services Azure PaaS-gegevensarchieven Azure Cosmos DB Ja - Azure Data Explorer - - Azure Data Lake Gen1 Ja - Azure Database for MariaDB, MySQL, PostgreSQL Ja - Azure Files Ja - Azure Blob Storage en ADLS Gen2 Ja Ja (alleen MSI-verificatie) Azure SQL DB, Azure Synapse Analytics), SQL Ml Ja - Azure Key Vault (voor het ophalen van geheimen/verbindingsreeks) Ja Ja Andere PaaS-/SaaS-gegevensarchieven AWS S3, SalesForce, Google Cloud Storage, enzovoort. Ja - Azure laaS SQL Server, Oracle, enzovoort. Ja - On-premises laaS SQL Server, Oracle, enzovoort. Ja -
Gerelateerde inhoud
Zie de volgende gerelateerde artikelen voor meer informatie: