White paper de segurança do Azure Synapse Analytics: Segurança de rede
Observação
Este artigo faz parte da série de white papers sobre segurança do Azure Synapse Analytics. Para obter uma visão geral da série, confira White paper de segurança do Azure Synapse Analytics.
Para proteger o Azure Synapse, há uma variedade de opções de segurança de rede a serem consideradas.
Terminologia de segurança de rede
Esta seção de abertura fornece uma visão geral e definições de alguns dos principais termos do Azure Synapse relacionados à segurança da rede. Lembre-se dessas definições ao ler este artigo.
Workspace do Synapse
Um workspace do Azure Synapse é uma coleção lógica protegível de todos os serviços oferecidos pelo Azure Synapse. Ele inclui pools de SQL dedicados (antigo SQL DW), pools de SQL sem servidor, pools do Apache Spark, pipelines e outros serviços. Determinadas definições de configuração de rede, como regras de firewall IP, rede virtual gerenciada e locatários aprovados para proteção contra exfiltração, são configuradas e protegidas no nível do workspace.
Pontos de extremidade do workspace do Azure Synapse
Um ponto de extremidade é um ponto de uma conexão de entrada para acessar um serviço. Cada workspace do Azure Synapse tem três pontos de extremidade distintos:
- Ponto de extremidade do SQL dedicado para acessar os pools de SQL dedicados.
- Ponto de extremidade do SQL sem servidor para acessar pools de SQL sem servidor.
- Ponto de extremidade de desenvolvimento para acessar pools do Apache Spark e os recursos de pipeline no workspace.
Esses pontos de extremidade são criados automaticamente quando o workspace do Azure Synapse é criado.
Synapse Studio
O Synapse Studio é um ambiente de desenvolvimento de front-end da Web seguro do Azure Synapse. Ele dá suporte a várias funções, incluindo engenheiro de dados, cientista de dados, desenvolvedor de dados, analista de dados e administrador do Azure Synapse.
Use o Synapse Studio para executar várias operações de gerenciamento e de dados no Azure Synapse, como:
- Conectar-se a pools de SQL dedicados, pools de SQL sem servidor e executar scripts de SQL.
- Desenvolver e executar de notebooks em pools do Apache Spark.
- Desenvolver e executar pipelines.
- Monitorar pools de SQL dedicados, pools de SQL sem servidor, pools do Apache Spark e trabalhos de pipeline.
- Gerenciar permissões de RBAC do Azure Synapse de itens do workspace.
- Criar conexões gerenciadas de ponto de extremidade privado em fontes de dados e coletores.
As conexões com os pontos de extremidade do workspace podem ser feitas usando o Synapse Studio. Além disso, é possível criar pontos de extremidade privados para garantir que a comunicação com os pontos de extremidade do workspace seja privada.
Regras de firewall e acesso à rede pública
Por padrão, os pontos de extremidade do workspace são pontos de extremidade públicos quando são provisionados. O acesso a esses pontos de extremidade do workspace de qualquer rede pública está habilitado, incluindo redes que estão fora da organização do cliente, sem a necessidade de uma conexão VPN ou ExpressRoute ao Azure.
Todos os serviços do Azure, incluindo serviços PaaS, como o Azure Synapse, são protegidos pela proteção básica contra DDoS para impedir ataques mal-intencionados (monitoramento de tráfego ativo, detecção de Always On e mitigações de ataques automáticas).
Todo o tráfego para pontos de extremidade de workspace, mesmo por meio de redes públicas, é criptografado e protegido em trânsito pelo protocolo TLS (Segurança de Nível de Transporte).
Para proteger todos os dados confidenciais, é recomendável desabilitar completamente o acesso público aos pontos de extremidade do workspace. Ao fazer isso, garante-se que todos os pontos de extremidade do workspace só possam ser acessados usando pontos de extremidade privados.
Desabilitar o acesso público para todos os workspaces do Azure Synapse em uma assinatura ou um grupo de recursos é imposto atribuindo um Azure Policy. Também é possível desabilitar o acesso à rede pública por workspace com base na confidencialidade dos dados processados pelo workspace.
No entanto, se o acesso público precisar ser habilitado, é altamente recomendável configurar as regras de firewall de IP para permitir apenas as conexões de entrada provenientes da lista especificada de endereços IP públicos.
Considere habilitar o acesso público quando o ambiente local não tiver acesso por VPN ou ExpressRoute para o Azure e requerer acesso aos pontos de extremidade do workspace. Nesse caso, especifique uma lista de endereços IP públicos dos data centers e gateways locais nas regras de firewall de IP.
Pontos de extremidade privados
Um ponto de extremidade privado do Azure é um adaptador de rede virtual com um endereço IP privado que foi criado na própria sub-rede da VNet (rede virtual) do Azure do cliente. Um ponto de extremidade privado pode ser criado para qualquer serviço do Azure que dê suporte a pontos de extremidades privados, como Azure Synapse, pools de SQL dedicados (antigo SQL DW), bancos de dados do SQL do Azure, Armazenamento do Azure ou qualquer serviço no Azure da plataforma de serviço de Link Privado do Azure.
É possível criar pontos de extremidade privados na VNet para todos os três pontos de extremidade do workspace do Azure Synapse, individualmente. Dessa forma, pode haver três pontos de extremidade privados criados para três pontos de extremidade de um workspace do Azure Synapse: um para o pool de SQL dedicado, um para o pool de SQL sem servidor e outro para o ponto de extremidade de desenvolvimento.
Os pontos de extremidade privados têm muitos benefícios de segurança em comparação com os pontos de extremidade públicos. Pontos de extremidade privados em uma VNet do Azure podem ser acessados somente de dentro de:
- A mesma VNet que contém esse ponto de extremidade privado.
- VNets do Azure emparelhadas de modo regional ou global.
- Redes locais conectadas ao Azure por meio do Gateway de VPN ou da ExpressRoute.
O principal benefício dos pontos de extremidade privados é que não é mais necessário expor os pontos de extremidade do workspace para a Internet pública. Quanto menos exposição, melhor.
O diagrama a seguir ilustra os pontos de extremidade privados.
O diagrama acima ilustra os seguintes pontos principais:
| Item | Descrição |
|---|---|
 |
As estações de trabalho da VNet do cliente acessam os pontos de extremidade privados do Azure Synapse. |
 |
Emparelhamento entre a VNet do cliente e outra VNet. |
 |
Acesso da estação de trabalho da VNet emparelhada aos pontos de extremidade privados do Azure Synapse. |
 |
Acesso da rede local aos pontos de extremidade privados do Azure Synapse por meio de VPN ou ExpressRoute. |
 |
Os pontos de extremidade do workspace são mapeados na VNet do cliente por meio de pontos de extremidade privados usando o serviço de Link Privado do Azure. |
 |
O acesso público está desabilitado no workspace do Azure Synapse. |
No diagrama a seguir, um ponto de extremidade privado é mapeado para uma instância de um recurso de PaaS em vez de todo o serviço. No caso de um incidente de segurança na rede, somente a instância de recurso mapeada é exposta, minimizando a exposição e a ameaça de vazamento de dados e exfiltração.
O diagrama acima ilustra os seguintes pontos principais:
| Item | Descrição |
|---|---|
|
O ponto de extremidade privado na VNet do cliente é mapeado para um ponto de extremidade do pool de SQL dedicado (antigo SQL DW) no workspace A. |
|
Outros pontos de extremidade do pool de SQL nos outros workspaces (B e C) não podem ser acessados por meio desse ponto de extremidade privado, minimizando a exposição. |
O ponto de extremidade privado funciona em locatários e regiões do Microsoft Entra, portanto, é possível criar conexões de ponto de extremidade privado com workspaces do Azure Synapse em locatários e regiões. Nesse caso, ele passa pelo fluxo de trabalho de aprovação de conexão de ponto de extremidade privado. O proprietário do recurso controla quais conexões de ponto de extremidade privado são aprovadas ou negadas. O proprietário do recurso está no controle total de quem pode se conectar aos workspaces.
O diagrama a seguir ilustra um fluxo de trabalho de aprovação da conexão do ponto de extremidade privado.
O diagrama acima ilustra os seguintes pontos principais:
| Item | Descrição |
|---|---|
|
O pool de SQL dedicado (antigo SQL DW) no workspace A no locatário A é acessado por um ponto de extremidade privado na VNet do cliente no locatário A. |
|
O mesmo pool de SQL dedicado (antigo SQL DW) no workspace A no locatário A é acessado por um ponto de extremidade privado na VNet do cliente no locatário B por meio de um fluxo de trabalho de aprovação de conexão. |
VNet Gerenciada
O recurso VNet Gerenciada do Azure Synapse fornece um isolamento de rede totalmente gerenciado para o pool do Apache Spark e recursos de computação de pipeline entre workspaces do Azure Synapse. Ele pode ser configurado no momento da criação do workspace. Além disso, ele também fornece isolamento de rede para clusters do Spark no mesmo workspace. Cada workspace tem a própria rede virtual, que é totalmente gerenciada pelo Azure Synapse. A VNet Gerenciada não é visível para os usuários para modificações. Todos os pipelines ou recursos de computação do pool do Apache Spark que são girados pelo Azure Synapse em uma VNet Gerenciada são provisionados na própria VNet. Dessa forma, há um isolamento de rede completo de outros workspaces.
Essa configuração elimina a necessidade de criar e gerenciar grupos de segurança de rede e VNets para o pool do Apache Spark e recursos de pipeline, como normalmente é feito pela injeção de VNet.
Assim, os serviços multilocatários em um workspace do Azure Synapse, como pools de SQL dedicados e pools de SQL sem servidor, não são provisionados dentro da VNet Gerenciada.
O diagrama a seguir ilustra o isolamento de rede entre duas VNets Gerenciadas dos workspaces A e B com os respectivos pools do Apache Spark e recursos de pipeline dentro das VNets Gerenciadas.
Conexão gerenciada de ponto de extremidade privado
Uma conexão gerenciada de ponto de extremidade privado permite conexões com qualquer serviço de PaaS do Azure (que dá suporte ao Link Privado), de modo seguro e direto, sem a necessidade de criar um ponto de extremidade privado para esse serviço com a VNet do cliente. O Azure Synapse cria e gerencia automaticamente o ponto de extremidade privado. Essas conexões são usadas pelos recursos de computação que são provisionados dentro da VNet Gerenciada do Azure Synapse, como pools do Apache Spark e recursos de pipeline, para se conectarem aos serviços de PaaS do Azure de modo privado.
Por exemplo, se você deseja se conectar à sua conta de armazenamento do Azure de modo privado com o seu pipeline, a abordagem usual é criar um ponto de extremidade privado para a conta de armazenamento e usar um runtime de integração auto-hospedada para se conectar ao ponto de extremidade privado do armazenamento. Com as VNets Gerenciadas do Azure Synapse, você pode se conectar de modo privado à sua conta de armazenamento usando o Azure Integration Runtime simplesmente criando uma conexão gerenciada de ponto de extremidade privado diretamente nessa conta de armazenamento. Essa abordagem elimina a necessidade de ter um runtime de integração auto-hospedada para se conectar aos serviços de PaaS do Azure de modo privado.
Assim, os serviços multilocatários em um workspace do Azure Synapse, como pools de SQL dedicados e pools de SQL sem servidor, não são provisionados dentro da VNet Gerenciada. Portanto, eles não usam as conexões gerenciadas de ponto de extremidade privado criadas no workspace para a conectividade de saída.
O diagrama a seguir ilustra um ponto de extremidade privado gerenciado que se conecta a uma conta de armazenamento do Azure por meio de uma VNet Gerenciada no workspace A.
Segurança avançada do Spark
Uma VNet Gerenciada também oferece algumas vantagens adicionais para usuários do pool do Apache Spark. Não é necessário se preocupar com a configuração de um espaço de endereço de sub-rede fixo, como seria feito na Injeção de VNet. O Azure Synapse cuida automaticamente da alocação dinâmica desses espaços de endereço para cargas de trabalho.
Além disso, os pools do Spark operam como um cluster de trabalho. Isso significa que cada usuário obtém o próprio cluster do Spark ao interagir com o workspace. A criação de um pool do Spark no workspace são informações de metadados do que será atribuído ao usuário ao executar cargas de trabalho do Spark. Isso significa que cada usuário obterá o próprio cluster Spark em uma sub-rede dedicada dentro da VNet Gerenciada para executar cargas de trabalho. As sessões do pool do Spark de um mesmo usuário são executadas nos mesmos recursos de computação. Ao fornecer essa funcionalidade, há três benefícios principais:
- Maior segurança devido ao isolamento da carga de trabalho com base no usuário.
- Redução de vizinhos barulhentos.
- Melhor desempenho.
Proteção contra exfiltração dos dados
Os workspaces do Azure Synapse com a VNet Gerenciada têm um recurso de segurança adicional chamado de proteção contra exfiltração dos dados. Ele protege todo o tráfego de saída que sai do Azure Synapse de todos os serviços, incluindo pools de SQL dedicados, pools de SQL sem servidor, pools do Apache Spark e pipelines. Ele é configurado habilitando a proteção contra exfiltração dos dados no nível do workspace (no momento da criação do workspace) para restringir as conexões de saída a uma lista permitida de locatários do Microsoft Entra. Por padrão, somente o locatário de página inicial do workspace é adicionado à lista, mas é possível adicionar ou modificar a lista de locatários do Microsoft Entra a qualquer momento após a criação do workspace. A adição de locatários extras é uma operação altamente privilegiada que requer uma função com privilégios elevados de Administrador do Azure Synapse. Ela controla efetivamente a exfiltração dos dados do Azure Synapse para outras organizações e locatários, sem a necessidade de ter políticas de segurança de rede complicadas em vigor.
Para workspaces com proteção contra exfiltração dos dados habilitada, os pipelines do Azure Synapse e os pools do Apache Spark precisam usar conexões gerenciadas de ponto de extremidade privado em todas as conexões de saída.
O pool de SQL dedicado e o pool de SQL sem servidor não usam pontos de extremidade privados gerenciados para a conectividade de saída; no entanto, qualquer conectividade de saída de pools de SQL só pode ser feita para os destinos aprovados, que são os destinos de conexões gerenciadas de ponto de extremidade privado.
Hubs de link privado do Synapse Studio
Os Hubs do Link Privado do Synapse permitem se conectar com segurança ao Synapse Studio na VNet do cliente usando o Link Privado do Azure. Esse recurso é útil para clientes que querem acessar o workspace do Azure Synapse usando o Synapse Studio em um ambiente controlado e restrito, em que o tráfego de Internet de saída seja restrito a um conjunto limitado de serviços do Azure.
Isso é feito criando um recurso de hub de link privado e um ponto de extremidade privado para esse hub por meio da VNet. Esse ponto de extremidade privado é usado para acessar o estúdio usando o FQDN (nome de domínio totalmente qualificado) web.azuresynapse.net com um endereço IP privado da VNet. O recurso de hub de link privado baixa o conteúdo estático do Synapse Studio por meio do Link Privado do Azure para a estação de trabalho do usuário. Além disso, os pontos de extremidade privados separados precisam ser criados para os pontos de extremidade de workspace individuais para garantir que a comunicação com os pontos de extremidade do workspace seja privada.
O diagrama a seguir ilustra os hubs de link privado do Synapse Studio.
O diagrama acima ilustra os seguintes pontos principais:
| Item | Descrição |
|---|---|
|
A estação de trabalho em uma VNet de cliente restrita acessa o Synapse Studio usando um navegador da Web. |
|
Um ponto de extremidade privado criado para o recurso de hubs de link privado é usado para baixar o conteúdo estático do estúdio usando o Link Privado do Azure. |
|
Os pontos de extremidade privados criados para pontos de extremidade do workspace do Azure Synapse acessam os recursos do workspace com segurança usando os Links Privados do Azure. |
|
As regras do grupo de segurança de rede na VNet do cliente restrita permitem o tráfego de saída pela porta 443 para um conjunto limitado de serviços do Azure, como Azure Resource Manager, Azure Front Door e Microsoft Entra ID. |
|
As regras do grupo de segurança de rede na VNet do cliente restrita negam todo o tráfego de saída da VNet. |
|
O acesso público está desabilitado no workspace do Azure Synapse. |
Pool de SQL dedicado (antigo SQL DW)
Antes da oferta do Azure Synapse, um produto de data warehouse do SQL do Azure chamado SQL DW era oferecido. Agora ele foi renomeado como pool de SQL dedicado (antigo SQL DW).
O pool de SQL dedicado (antigo SQL DW) foi criado dentro de um servidor SQL do Azure lógico. Ele é um constructo lógico que funciona como um ponto administrativo central para uma coleção de bancos de dados, incluindo SQL DW e outros bancos de dados SQL do Azure.
A maioria dos principais recursos de segurança de rede discutidos nas seções anteriores deste artigo do Azure Synapse também é aplicável ao pool de SQL dedicado (antigo SQL DW). Eles incluem:
- Regras de firewall de IP
- Como desabilitar o acesso à rede pública
- Pontos de extremidade privados
- Proteção contra exfiltração dos dados por meio de regras de firewall de saída
Como o pool de SQL dedicado (antigo SQL DW) é um serviço multilocatário, ele não é provisionado em uma VNet Gerenciada. Isso significa que alguns dos recursos, como VNet Gerenciada e conexões gerenciadas de ponto de extremidade privado, não são aplicáveis a ele.
Matriz de recursos de segurança de rede
A seguinte tabela de comparação fornece uma visão geral de alto nível dos recursos de segurança de rede com suporte nas ofertas do Azure Synapse:
| Recurso | Azure Synapse: pool do Apache Spark | Azure Synapse: pool de SQL dedicado | Azure Synapse: pool de SQL sem servidor | Pool de SQL dedicado (antigo SQL DW) |
|---|---|---|---|---|
| Regras de firewall de IP | Sim | Sim | Sim | Sim |
| Como desabilitar o acesso público | Sim | Sim | Sim | Sim |
| Pontos de extremidade privados | Sim | Sim | Sim | Sim |
| Proteção contra exfiltração dos dados | Sim | Sim | Sim | Sim |
| Proteger o acesso usando o Synapse Studio | Sim | Sim | Sim | Não |
| Acesso de rede restrita usando o hub de link privado do Azure Synapse | Sim | Sim | Sim | Não |
| VNet Gerenciada e isolamento de rede no nível do workspace | Sim | N/D | N/D | N/D |
| Conexões gerenciadas de ponto de extremidade privado para conectividade de saída | Sim | N/D | N/D | N/D |
| Isolamento de rede de nível de usuário | Sim | N/D | N/D | N/D |
Próximas etapas
No próximo artigo desta série de white papers, saiba mais sobre a proteção contra ameaças.