Strategie dostępu do danych
DOTYCZY:
Azure Data Factory Azure Synapse Analytics
Napiwek
Wypróbuj usługę Data Factory w usłudze Microsoft Fabric — rozwiązanie analityczne typu all-in-one dla przedsiębiorstw. Usługa Microsoft Fabric obejmuje wszystko, od przenoszenia danych do nauki o danych, analizy w czasie rzeczywistym, analizy biznesowej i raportowania. Dowiedz się, jak bezpłatnie rozpocząć nową wersję próbną !
Ważnym celem bezpieczeństwa organizacji jest ochrona magazynów danych przed przypadkowym dostępem przez Internet, może to być lokalny magazyn danych lub magazyn danych w chmurze/SaaS.
Zazwyczaj magazyn danych w chmurze kontroluje dostęp przy użyciu poniższych mechanizmów:
- Usługa Private Link z sieci wirtualnej do źródeł danych z obsługą prywatnego punktu końcowego
- Reguły zapory ograniczające łączność według adresu IP
- Mechanizmy uwierzytelniania, które wymagają od użytkowników potwierdzenia tożsamości
- Mechanizmy autoryzacji, które ograniczają użytkowników do określonych akcji i danych
Napiwek
Wraz z wprowadzeniem zakresu statycznych adresów IP można teraz zezwolić na listy zakresów adresów IP dla określonego regionu środowiska Azure Integration Runtime, aby upewnić się, że nie musisz zezwalać na wszystkie adresy IP platformy Azure w magazynach danych w chmurze. W ten sposób można ograniczyć adresy IP, które mogą uzyskiwać dostęp do magazynów danych.
Uwaga
Zakresy adresów IP są blokowane dla środowiska Azure Integration Runtime i są obecnie używane tylko w przypadku przenoszenia danych, potoku i działań zewnętrznych. Przepływy danych i środowisko Azure Integration Runtime, które umożliwiają teraz zarządzaną sieć wirtualną, nie używają tych zakresów adresów IP.
Powinno to działać w wielu scenariuszach i rozumiemy, że unikatowy statyczny adres IP na środowisko Integration Runtime byłby pożądany, ale nie byłoby to obecnie możliwe przy użyciu środowiska Azure Integration Runtime, które jest bezserwerowe. W razie potrzeby zawsze można skonfigurować własne środowisko Integration Runtime i używać statycznego adresu IP.
Strategie dostępu do danych za pośrednictwem usługi Azure Data Factory
- Private Link — możesz utworzyć środowisko Azure Integration Runtime w zarządzanej sieci wirtualnej usługi Azure Data Factory i będzie korzystać z prywatnych punktów końcowych w celu bezpiecznego łączenia się z obsługiwanymi magazynami danych. Ruch między zarządzaną siecią wirtualną a źródłami danych podróżuje siecią szkieletową firmy Microsoft i nie jest narażony na sieć publiczną.
- Zaufana usługa — usługa Azure Storage (Blob, ADLS Gen2) obsługuje konfigurację zapory, która umożliwia wybieranie zaufanych usług platformy Azure w celu bezpiecznego uzyskiwania dostępu do konta magazynu. Usługi zaufane wymuszają uwierzytelnianie tożsamości zarządzanej, co gwarantuje, że żadna inna fabryka danych nie może połączyć się z tym magazynem, chyba że zostanie to zatwierdzone przy użyciu tożsamości zarządzanej. Więcej szczegółów można znaleźć w tym blogu. W związku z tym jest to bardzo bezpieczne i zalecane.
- Unikatowy statyczny adres IP — należy skonfigurować własne środowisko Integration Runtime, aby uzyskać statyczny adres IP dla łączników usługi Data Factory. Dzięki temu mechanizmowi można zablokować dostęp ze wszystkich innych adresów IP.
- Zakres statycznych adresów IP — adresy IP środowiska Azure Integration Runtime umożliwiają wyświetlanie listy w magazynie (np. S3, Salesforce itp.). Z pewnością ogranicza adresy IP, które mogą łączyć się z magazynami danych, ale także opiera się na regułach uwierzytelniania/autoryzacji.
- Tag usługi — tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure (na przykład Azure Data Factory). Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów, minimalizując złożoność częstych aktualizacji reguł zabezpieczeń sieci. Jest to przydatne podczas filtrowania dostępu do danych w hostowanych magazynach danych IaaS w sieci wirtualnej.
- Zezwalaj na usługi platformy Azure — niektóre usługi umożliwiają wszystkim usługom platformy Azure łączenie się z nią w przypadku wybrania tej opcji.
Aby uzyskać więcej informacji na temat obsługiwanych mechanizmów zabezpieczeń sieci w magazynach danych w środowisku Azure Integration Runtime i własnym środowisku Integration Runtime, zobacz poniższe dwie tabele.
Azure Integration Runtime
Magazyny danych Obsługiwany mechanizm zabezpieczeń sieci w magazynach danych Private Link Zaufana usługa Zakres statycznych adresów IP Tagi usługi Zezwalaj na usługi platformy Azure Magazyny danych paaS platformy Azure Azure Cosmos DB Tak - Tak - Tak Azure Data Explorer - - Tak* Tak* - Azure Data Lake Gen1 - - Tak - Tak Azure Database for MariaDB, MySQL, PostgreSQL - - Tak - Tak Azure Files Tak - Tak - . Azure Blob Storage i ADLS Gen2 Tak Tak (tylko uwierzytelnianie MSI) Tak - . Azure SQL DB, Azure Synapse Analytics), SQL Ml Tak (tylko usługa Azure SQL DB/DW) - Tak - Tak Azure Key Vault (do pobierania wpisów tajnych/parametry połączenia) tak Tak Tak - - Inne magazyny danych PaaS/ SaaS AWS S3, SalesForce, Google Cloud Storage itp. - - Tak - - Snowflake Tak - Tak - - Usługa IaaS platformy Azure SQL Server, Oracle itp. - - Tak Tak - Lokalna usługa IaaS SQL Server, Oracle itp. - - Tak - - *Dotyczy tylko wtedy, gdy usługa Azure Data Explorer jest wstrzyknięta do sieci wirtualnej, a zakres adresów IP można zastosować w sieciowej grupie zabezpieczeń/zaporze.
Self-hosted Integration Runtime (w sieci wirtualnej/lokalnie)
Magazyny danych Obsługiwany mechanizm zabezpieczeń sieci w magazynach danych Statyczny adres IP Zaufane usługi Magazyny danych paaS platformy Azure Azure Cosmos DB Tak - Azure Data Explorer - - Azure Data Lake Gen1 Tak - Azure Database for MariaDB, MySQL, PostgreSQL Tak - Azure Files Tak - Azure Blob Storage i ADLS Gen2 Tak Tak (tylko uwierzytelnianie MSI) Azure SQL DB, Azure Synapse Analytics), SQL Ml Tak - Azure Key Vault (do pobierania wpisów tajnych/parametry połączenia) Tak Tak Inne magazyny danych PaaS/ SaaS AWS S3, SalesForce, Google Cloud Storage itp. Tak - Azure laaS SQL Server, Oracle itp. Tak - Lokalne laaS SQL Server, Oracle itp. Tak -
Powiązana zawartość
Aby uzyskać więcej informacji, zobacz następujące powiązane artykuły: