Partilhar via


Estratégias de acesso a dados

APLICA-SE A: Azure Data Factory Azure Synapse Analytics

Gorjeta

Experimente o Data Factory no Microsoft Fabric, uma solução de análise tudo-em-um para empresas. O Microsoft Fabric abrange tudo, desde a movimentação de dados até ciência de dados, análises em tempo real, business intelligence e relatórios. Saiba como iniciar uma nova avaliação gratuitamente!

Um objetivo de segurança vital de uma organização é proteger seus armazenamentos de dados de acesso aleatório pela internet, seja um armazenamento de dados local ou Cloud / SaaS.

Normalmente, um armazenamento de dados na nuvem controla o acesso usando os mecanismos abaixo:

  • Link privado de uma rede virtual para fontes de dados habilitadas para ponto final privado
  • Regras de firewall que limitam a conectividade por endereço IP
  • Mecanismos de autenticação que exigem que os utilizadores provem a sua identidade
  • Mecanismos de autorização que restringem os usuários a ações e dados específicos

Gorjeta

Com a introdução do intervalo de endereços IP estáticos, agora você pode permitir intervalos de IP de lista para a região de tempo de execução de integração do Azure específica para garantir que não seja necessário permitir todos os endereços IP do Azure em seus armazenamentos de dados na nuvem. Dessa forma, você pode restringir os endereços IP que têm permissão para acessar os armazenamentos de dados.

Nota

Os intervalos de endereços IP são bloqueados para o Tempo de Execução de Integração do Azure e, atualmente, são usados apenas para Movimentação de Dados, pipeline e atividades externas. Os fluxos de dados e o Tempo de Execução de Integração do Azure que habilitam a Rede Virtual Gerenciada agora não usam esses intervalos de IP.

Isso deve funcionar em muitos cenários, e entendemos que um endereço IP estático exclusivo por tempo de execução de integração seria desejável, mas isso não seria possível usando o Azure Integration Runtime atualmente, que é sem servidor. Se necessário, você sempre pode configurar um Self-hosted Integration Runtime e usar seu IP estático com ele.

Estratégias de acesso a dados através do Azure Data Factory

  • Link privado - Você pode criar um Tempo de Execução de Integração do Azure na Rede Virtual Gerenciada do Azure Data Factory e ele aproveitará os pontos de extremidade privados para se conectar com segurança a armazenamentos de dados suportados. O tráfego entre a Rede Virtual Gerenciada e as fontes de dados percorre a rede de backbone da Microsoft e não é exposto à rede pública.
  • Serviço Confiável - O Armazenamento do Azure (Blob, ADLS Gen2) dá suporte à configuração de firewall que permite que serviços selecionados da plataforma confiável do Azure acessem a conta de armazenamento com segurança. Os Serviços Confiáveis impõem a autenticação de Identidade Gerenciada, o que garante que nenhum outro data factory possa se conectar a esse armazenamento, a menos que seja aprovado para fazê-lo usando sua identidade gerenciada. Você pode encontrar mais detalhes neste blog. Por isso, isso é extremamente seguro e recomendado.
  • IP estático exclusivo - Você precisará configurar um tempo de execução de integração auto-hospedado para obter um IP estático para conectores do Data Factory. Esse mecanismo garante que você possa bloquear o acesso de todos os outros endereços IP.
  • Intervalo de IP estático - Você pode usar os endereços IP do Azure Integration Runtime para permitir listá-lo em seu armazenamento (por exemplo, S3, Salesforce, etc.). Ele certamente restringe os endereços IP que podem se conectar aos armazenamentos de dados, mas também depende de regras de autenticação / autorização.
  • Etiqueta de Serviço - Uma etiqueta de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure (como o Azure Data Factory). A Microsoft gerencia os prefixos de endereço incluídos pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam, minimizando a complexidade das atualizações frequentes das regras de segurança de rede. É útil ao filtrar o acesso a dados em armazenamentos de dados hospedados por IaaS na Rede Virtual.
  • Permitir Serviços do Azure - Alguns serviços permitem que todos os serviços do Azure se conectem a ele caso você escolha essa opção.

Para obter mais informações sobre mecanismos de segurança de rede suportados em armazenamentos de dados no Azure Integration Runtime e no Self-hosted Integration Runtime, consulte abaixo duas tabelas.

  • Tempo de Execução da Integração do Azure

    Arquivos de Dados Mecanismo de segurança de rede suportado em armazenamentos de dados Private Link Serviço de confiança Intervalo de IP estático Etiquetas de Serviço Permitir Serviços do Azure
    Azure PaaS Armazenamentos de dados Azure Cosmos DB Sim - Sim - Sim
    Azure Data Explorer - - Sim* Sim* -
    Azure Data Lake Gen1 - - Sim - Sim
    Banco de Dados do Azure para MariaDB, MySQL, PostgreSQL - - Sim - Sim
    Ficheiros do Azure Sim - Sim - .
    Armazenamento de Blob do Azure e ADLS Gen2 Sim Sim (apenas autenticação MSI) Sim - .
    Azure SQL DB, Azure Synapse Analytics), SQL Ml Sim (apenas Azure SQL DB/DW) - Sim - Sim
    Azure Key Vault (para buscar segredos/cadeia de conexão) sim Sim Sim - -
    Outros armazenamentos de dados PaaS/SaaS AWS S3, SalesForce, Google Cloud Storage, etc. - - Sim - -
    Snowflake Sim - Sim - -
    Azure IaaS SQL Server, Oracle, etc. - - Sim Sim -
    IaaS local SQL Server, Oracle, etc. - - Sim - -

    *Aplicável somente quando o Azure Data Explorer é injetado em rede virtual e o intervalo de IP pode ser aplicado no NSG/Firewall.

  • Tempo de execução de integração auto-hospedado (em VNet/local)

    Arquivos de Dados Mecanismo de segurança de rede suportado em armazenamentos de dados IP estático Serviços confiáveis
    Azure PaaS Armazenamentos de dados Azure Cosmos DB Sim -
    Azure Data Explorer - -
    Azure Data Lake Gen1 Sim -
    Banco de Dados do Azure para MariaDB, MySQL, PostgreSQL Sim -
    Ficheiros do Azure Sim -
    Armazenamento de Blob do Azure e ADLS Gen2 Sim Sim (apenas autenticação MSI)
    Azure SQL DB, Azure Synapse Analytics), SQL Ml Sim -
    Azure Key Vault (para buscar segredos/cadeia de conexão) Sim Sim
    Outros armazenamentos de dados PaaS/SaaS AWS S3, SalesForce, Google Cloud Storage, etc. Sim -
    Azure laaS SQL Server, Oracle, etc. Sim -
    LaaS no local SQL Server, Oracle, etc. Sim -

Para obter mais informações, consulte os seguintes artigos relacionados: