Compartilhar via


Estratégias de acesso a dados

APLICA-SE A: Azure Data Factory Azure Synapse Analytics

Dica

Experimente o Data Factory no Microsoft Fabric, uma solução de análise tudo-em-um para empresas. O Microsoft Fabric abrange desde movimentação de dados até ciência de dados, análise em tempo real, business intelligence e relatórios. Saiba como iniciar uma avaliação gratuita!

Um objetivo de segurança primordial de uma organização é proteger os armazenamentos de dados contra o acesso aleatório pela Internet, seja um armazenamento de dados local ou em nuvem/SaaS.

Normalmente, um armazenamento de dados em nuvem controla o acesso usando os mecanismos abaixo:

  • Link privado de uma rede virtual para fontes de dados habilitadas para ponto de extremidade privado
  • Regras de firewall que limitam a conectividade por endereço IP
  • Mecanismos de autenticação que exigem que os usuários comprovem sua identidade
  • Mecanismos de autorização que restringem os usuários a ações e dados específicos

Dica

Com a introdução do intervalo de endereço IP Estático, agora você pode permitir a lista de intervalos de IP para a região de tempo de execução de integração do Azure específica, para garantir que você não precise permitir todos os endereços IP do Azure nos armazenamentos de dados em nuvem. Dessa forma, você pode restringir os endereços IP que têm permissão para acessar os armazenamentos de dados.

Observação

Os intervalos de endereços IP são bloqueados para o Azure Integration Runtime e, no momento, são utilizados apenas para movimentação de dados, pipeline e atividades externas. Os fluxos de dados e o Azure Integration Runtime que habilitam a rede virtual gerenciada agora não usam esses intervalos de IP.

Isso deve funcionar em muitos cenários e entendemos que um endereço IP Estático exclusivo por tempo de execução de integração seria desejável, mas atualmente não seria possível usando o Azure Integration Runtime, que é sem servidor. Se necessário, você sempre pode configurar um Runtime de Integração Auto-Hospedada e usar o IP Estático com ele.

Estratégias de acesso a dados por meio do Azure Data Factory

  • Link Privado – você pode criar um Azure Integration Runtime na rede virtual gerenciada do Azure Data Factory e utilizará pontos de extremidade privados para se conectar com segurança a armazenamentos de dados compatíveis. O tráfego entre a rede virtual gerenciada e as fontes de dados viaja pela rede de backbone da Microsoft e não é exposto à rede pública.
  • Serviço Confiável - O Armazenamento do Microsoft Azure (Blob, ADLS Gen2) dá suporte à configuração do firewall que permite selecionar serviços confiáveis da plataforma Azure para acessar a conta de armazenamento com segurança. Os Serviços Confiáveis aplicam a autenticação de Identidade Gerenciada, o que garante que nenhum outro data factory possa se conectar a esse armazenamento, a menos que seja aprovado para fazer isso com o uso da identidade gerenciada. Você pode encontrar mais detalhes neste blog . Portanto, é extremamente seguro e recomendado.
  • IP Estático Exclusivo - Você precisará configurar um runtime de integração auto-hospedada para obter um IP Estático para conectores de Data Factory. Esse mecanismo garante que você possa bloquear o acesso de todos os outros endereços IP.
  • Intervalo de IP Estático - Você pode usar os endereços IP do Azure Integration Runtime para permitir listá-los no armazenamento (digamos S3, Salesforce, etc.). Certamente, ele restringe os endereços IP que podem se conectar aos armazenamentos de dados, mas também se baseia em regras de Autenticação/Autorização.
  • Service Tag - Uma marca de serviço representa um grupo de prefixos de endereço IP de determinado serviço do Azure (como o Azure Data Factory). A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços, minimizando a complexidade de atualizações frequentes das regras de segurança de rede. É útil ao filtrar o acesso a dados em armazenamentos de dados hospedados de IaaS na Rede Virtual.
  • Permitir serviços do Azure - Permite que todos os serviços do Azure sejam conectados, caso você escolha essa opção.

Para obter mais informações sobre os mecanismos de segurança de rede com suporte em armazenamentos de dados no Azure Integration Runtime e Runtime de Integração Auto-Hospedada, confira as duas tabelas abaixo.

  • Azure Integration Runtime

    Armazenamentos de dados Mecanismo de segurança de rede com suporte em armazenamentos de dados Link Privado Serviço confiável Intervalo de IP estático Marcas de serviço Permitir serviços do Azure
    Armazenamentos de dados do Azure PaaS Azure Cosmos DB Sim - Sim - Sim
    Azure Data Explorer - - Sim* Sim* -
    Azure Data Lake Gen1 - - Sim - Sim
    Banco de Dados do Azure para MariaDB, MySQL, PostgreSQL - - Sim - Sim
    Arquivos do Azure Sim - Sim - .
    Armazenamento de Blob do Azure e ADLS Gen2 Sim Sim (somente autenticação MSI) Sim - .
    Banco de Dados SQL do Azure, Azure Synapse Analytics), ML do SQL Sim (somente banco de dados SQL do Azure/DW) - Sim - Sim
    Azure Key Vault (para buscar segredos/cadeia de conexão) sim Sim Sim - -
    Outros armazenamentos de dados PaaS/SaaS AWS S3, SalesForce, Google Cloud Storage etc. - - Sim - -
    Snowflake Sim - Sim - -
    IaaS do Azure SQL Server, Oracle, etc. - - Sim Sim -
    IaaS local SQL Server, Oracle, etc. - - Sim - -

    *Aplicável apenas quando o Azure Data Explorer é injetado em rede virtual e o intervalo de IP pode ser aplicado no NSG/Firewall.

  • Runtime de Integração Auto-Hospedada (na Vnet/no local)

    Armazenamentos de dados Mecanismo de segurança de rede com suporte em armazenamentos de dados IP Estático Serviços confiáveis
    Armazenamentos de dados do Azure PaaS Azure Cosmos DB Sim -
    Azure Data Explorer - -
    Azure Data Lake Gen1 Sim -
    Banco de Dados do Azure para MariaDB, MySQL, PostgreSQL Sim -
    Arquivos do Azure Sim -
    Armazenamento de Blob do Azure e ADLS Gen2 Sim Sim (somente autenticação MSI)
    Banco de Dados SQL do Azure, Azure Synapse Analytics), ML do SQL Sim -
    Azure Key Vault (para buscar segredos/cadeia de conexão) Sim Sim
    Outros armazenamentos de dados PaaS/SaaS AWS S3, SalesForce, Google Cloud Storage etc. Sim -
    Azure laaS SQL Server, Oracle, etc. Sim -
    laaS no local SQL Server, Oracle, etc. Sim -

Para obter mais informações, confira os artigos relacionados a seguir: