Стратегии получения доступа к данным

ПРИМЕНИМО К: Azure Data Factory Azure Synapse Analytics

Совет

Data Factory в Microsoft Fabric — это следующее поколение Azure Data Factory с более простой архитектурой, встроенным ИИ и новыми функциями. Если вы не знакомы с интеграцией данных, начните с Fabric Data Factory. Существующие рабочие нагрузки ADF могут обновляться до Fabric для доступа к новым возможностям в области обработки и анализа данных, аналитики в режиме реального времени и отчетов.

• Start a Fabric бесплатная пробная версия.
• Переход с Azure Data Factory на Data Factory в Microsoft Fabric

Важнейшей целью обеспечения безопасности организаций является защита хранилищ данных от случайного доступа через Интернет, являются ли они локальными или облачными хранилищами данных SaaS.

Как правило, облачное хранилище данных управляет доступом с помощью следующих механизмов:

• Private Link из виртуальной сети в источники данных, поддерживающие частную конечную точку
• правил брандмауэра, которые ограничивают подключения по IP-адресу;
• механизмов аутентификации, требующих от пользователей подтверждения их личности
• механизмов авторизации, позволяющих предоставить пользователям доступ только к определенным действиям и данным.

Совет

С введением диапазона статических IP-адресов теперь можно разрешить диапазоны IP-адресов для конкретного региона интеграционного выполнения Azure, чтобы гарантировать, что вам не нужно разрешать все Azure IP-адреса в облачных хранилищах данных. Таким образом, можно ограничить IP-адреса, которым разрешен доступ к хранилищам данных.

Примечание.

Диапазоны IP-адресов блокируются для Azure Integration Runtime и в настоящее время используются только для перемещения данных, конвейера и внешних действий. Потоки данных и Azure Integration Runtime, поддерживающие управляемую виртуальную сеть, теперь не используют эти диапазоны IP-адресов.

Это должно работать во многих сценариях, и мы понимаем, что уникальный статический IP-адрес для каждой интеграционной среды выполнения был бы желателен, но в настоящее время это невозможно при использовании Azure Integration Runtime, который является бессерверным. При необходимости вы всегда можете настроить самостоятельно размещаемую среду выполнения интеграции и использовать ваш статический IP-адрес с ней.

Стратегии доступа к данным через Azure Data Factory

• Private Link — вы можете создать Azure Integration Runtime в Azure Data Factory Managed Virtual Network и использует частные конечные точки для безопасного подключения к поддерживаемым хранилищам данных. Трафик между управляемыми виртуальными сетями и источниками данных проходит по магистральной сети Microsoft и не подвергается воздействию общедоступной сети.
• Trusted Service - Azure Storage (BLOB, ADLS 2-го поколения) и Azure Key Vault поддерживают конфигурацию брандмауэра, которая позволяет выбрать доверенные службы платформы Azure для безопасного доступа к ним. Доверенные службы применяют проверку подлинности с использованием управляемых удостоверений, что обеспечивает, что другие фабрики данных не смогут подключаться к этому хранилищу, если им не разрешено делать это с использованием их управляемого удостоверения.

Примечание.

Приведенные ниже сценарии не указаны в списке доверенных служб:

1. Использование локальной среды выполнения интеграции или среды выполнения интеграции SSIS
2. Использование любого из следующих типов действий: > — вебхук > — настраиваемая > — Функция Azure
3. Использование любого из следующих соединителей: > — AzureBatch > — AzureFunction > — AzureFile > — OData

Примечание.

Сетевые правила экземпляра ресурсов для Azure Storage не поддерживаются средами, управляемыми пользователем, такими как локальная среда выполнения интеграции и среда выполнения интеграции SSIS.

• Уникальный статический IP-адрес . Необходимо настроить локальную среду выполнения интеграции, чтобы получить статический IP-адрес для соединителей фабрики данных. Этот механизм позволяет блокировать доступ со всех других IP-адресов.
• Статический диапазон IP-адресов — вы можете использовать IP-адреса Azure Integration Runtime, чтобы добавить их в список разрешенных в вашем хранилище (например, S3, Salesforce и т. д.). Он, безусловно, ограничит IP-адреса, которые могут подключаться к хранилищам данных, но также полагается на правила проверки подлинности и авторизации.
• Service Tag — тег службы представляет группу префиксов IP-адресов из данной службы Azure (например, Azure Data Factory). Microsoft управляет префиксами адресов, охватываемым тегом службы, и автоматически обновляет тег службы по мере изменения адресов, минимизируя сложность частых обновлений правил безопасности сети. Это полезно при фильтрации доступа к данным в размещенных хранилищах данных IaaS в Virtual Network.
• Allow Azure Services — некоторые службы позволяют всем службам Azure подключаться к нему в случае выбора этого параметра.

Дополнительные сведения о поддерживаемых механизмах безопасности сети в хранилищах данных в Azure Integration Runtime и локальном Integration Runtime см. в следующих двух таблицах.

• Azure Integration Runtime

  Хранилища данных	Поддерживаемый механизм сетевой безопасности в хранилищах данных	Приватная ссылка	Доверенная служба	Диапазон статических IP-адресов	Теги сервисов	Разрешить службы Azure
  Azure хранилища данных PaaS	Azure Cosmos DB	Да	-	Да	-	Да
  	Azure Data Explorer	-	-	Да*	Да*	-
  	Azure Data Lake 1-го поколения	-	-	Да	-	Да
  	База данных Azure для MariaDB, MySQL и PostgreSQL	-	-	Да	-	Да
  	Azure Files	Да	-	Да	-	.
  	Azure Blob Storage и ADLS Gen2	Да	Да (только проверка подлинности MSI)	Да	-	.
  	Azure SQL DB, Azure Synapse Analytics, SQL ML	Да (только Azure SQL DB/DW)	-	Да	-	Да
  	Azure Key Vault (для получения секретов и строки подключения)	да	Да	Да	-	-
  Другие хранилища данных PaaS/SaaS	AWS S3, SalesForce, Google Cloud Storage и т. д.	-	-	Да	-	-
  	Снежинка	Да	-	Да	-	-
  Azure IaaS	SQL Server, Oracle и т. д.	-	-	Да	Да	-
  IaaS в локальной среде	SQL Server, Oracle и т. д.	-	-	Да	-	-

  * Применимо только при внедрении Azure Data Explorer в виртуальную сеть, и диапазон IP-адресов может быть применён к NSG/ Firewall.

• Саморазмещаемое интеграционное время выполнения (в виртуальной сети или локальной среде)

  Хранилища данных	Поддерживаемый механизм сетевой безопасности в хранилищах данных	Статический IP-адрес	Доверенные службы
  Azure хранилища данных PaaS	Azure Cosmos DB	Да	-
  	Azure Data Explorer	-	-
  	Azure Data Lake 1-го поколения	Да	-
  	База данных Azure для MariaDB, MySQL и PostgreSQL	Да	-
  	Azure Files	Да	-
  	Azure Blob Storage и ADLS Gen2	Да	-
  	Azure SQL DB, Azure Synapse Analytics, SQL ML	Да	-
  	Azure Key Vault (для получения секретов и строки подключения)	Да	-
  Другие хранилища данных PaaS/SaaS	AWS S3, SalesForce, Google Cloud Storage и т. д.	Да	-
  Azure laaS	SQL Server, Oracle и т. д.	Да	-
  Локальная инфраструктура IaaS	SQL Server, Oracle и т. д.	Да	-

Связанный контент

Дополнительные сведения см. в следующих тематически связанных статьях:

• Поддерживаемые хранилища данных
• Azure Key Vault "Доверенные службы"
• Azure Storage "Доверенные службы Microsoft"
• Управляемое удостоверение для Data Factory