Технический документ по безопасности Azure Synapse Analytics: безопасность сети

Примечание.

Эта статья входит в серию статей Технический документ по безопасности Azure Synapse Analytics. Обзор серии см. в техническом документе по безопасности Azure Synapse Analytics.

Для обеспечения безопасности Azure Synapse необходимо учитывать ряд параметров безопасности сети.

Терминология сетевой безопасности

В этом начальном разделе содержатся общие сведения и определения некоторых ключевых терминов Azure Synapse, связанных с сетевой безопасностью. При чтении этой статьи учитывайте эти определения.

Рабочая область Synapse

Рабочая область синапсе — это защищаемая логическая коллекция всех служб, предлагаемых Azure Synapse. Она включает выделенные пулы SQL (ранее SQL DW), бессерверные пулы SQL, пулы Apache Spark, конвейеры и другие службы. Некоторые параметры конфигурации сети, такие как правила брандмауэра IP-адресов, управляемая виртуальная сеть и утвержденные клиенты для защиты от кражи, настраиваются и защищаются на уровне рабочей области.

Конечные точки рабочей области Synapse

Конечная точка — это точка входящего подключения для доступа к службе. Каждая рабочая область Synapse имеет три отдельные конечные точки:

• Выделенная конечная точка SQL для доступа к выделенным пулам SQL.
• Выделенная конечная точка SQL для доступа к бессерверным пулам SQL.
• Конечная точка разработки для доступа к пулам Apache Spark и ресурсам конвейера в рабочей области.

Эти конечные точки создаются автоматически при создании рабочей области Synapse.

Synapse Studio

Синапсе Studio — это безопасная среда разработки клиентского интерфейса для Azure Synapse. Она поддерживает различные роли, включая инженера данных, специалиста по обработке и анализу данных, разработчика данных, аналитика данных и администратора Synapse.

Используйте Synapse Studio для выполнения различных операций с данными и операций управления в Azure Synapse, например:

• Подключение к выделенным пулам SQL, бессерверным пулам SQL и выполняемым сценариям SQL.
• Разработка и запуск записных книжек в пулах Apache Spark.
• Разработка и выполнение конвейеров.
• Мониторинг выделенных пулов SQL, бессерверных пулов SQL, пулов Apache Spark и заданий конвейера.
• Управление разрешениями на управление доступом на основе ролей Synapse элементов рабочей области.
• Создание управляемых подключений к частным конечным точкам для источников данных и приемников.

Подключения к конечным точкам рабочей области можно выполнить с помощью Synapse Studio. Кроме того, можно создать частные конечные точки, чтобы обеспечить частное подключение к конечным точкам рабочей области.

Доступ из общедоступной сети и правила брандмауэра

По умолчанию конечные точки рабочей области являются общедоступными конечными точками при их подготовке. Включен доступ к этим конечным точкам рабочей области из любой общедоступной сети, включая сети, находящиеся за пределами организации клиента, без необходимости подключения VPN или подключения ExpressRoute к Azure.

Все службы Azure, включая службы PaaS, такие как Azure Synapse, защищены с помощью базовой защиты от атак DDoS для устранения вредоносных атак (активный мониторинг трафика, постоянное обнаружение и автоматическое устранение риска атак).

Весь трафик к конечным точкам рабочей области (даже через общедоступные сети) шифруется и защищается при передаче по протоколу TLS.

Для защиты конфиденциальных данных рекомендуется полностью отключить общий доступ к конечным точкам рабочей области. Это гарантирует, что доступ ко всем конечным точкам рабочей области может быть осуществлен только с помощью частных конечных точек.

Чтобы отключить общий доступ для всех рабочих областей Synapse в подписке или группе ресурсов, назначьте Политику Azure. Также можно отключить доступ к общедоступной сети для каждой рабочей области в зависимости от чувствительности данных, обрабатываемых рабочей областью.

Однако, если необходимо включить общий доступ, настоятельно рекомендуется настроить правила брандмауэра для IP-адресов, разрешающие входящие подключения только из указанного списка общедоступных IP-адресов.

Рекомендуется включить общий доступ, если локальная среда не имеет доступа VPN или ExpressRoute к Azure, и ей требуется доступ к конечным точкам рабочей области. В этом случае укажите список общедоступных IP-адресов локальных центров обработки данных и шлюзов в правилах брандмауэра для IP-адресов.

Частные конечные точки

Частная конечная точка Azure — это виртуальный сетевой интерфейс с частным IP-адресом, который создается в собственной подсети клиента — Виртуальной сети Azure. Частную конечную точку можно создать для любой службы Azure, которая поддерживает частные конечные точки, такие как Azure Synapse, выделенные пулы SQL (ранее SQL DW), базы данных Azure SQL, служба хранилища Azure или любая служба в Azure на базе службы Приватного канала Azure.

Можно создать частные конечные точки в виртуальной сети для всех трех конечных точек рабочей области Synapse по отдельности. Таким образом, для трех конечных точек рабочей области Synapse могли быть созданы три частные конечные точки: один для выделенного пула SQL, один для бессерверного пула SQL и один для конечной точки разработки.

Частные конечные точки обладают многими преимуществами безопасности по сравнению с общедоступными конечными точками. Доступ к частным конечным точкам в виртуальной сети Azure возможен только в:

• Той же виртуальной сети, которая содержит эту частную конечную точку.
• Регионально или глобально одноранговых виртуальных сетях Azure.
• Локальных сетях, подключенных к Azure через VPN-шлюз или ExpressRoute.

Основным преимуществом частных конечных точек является то, что больше не нужно предоставлять конечные точки рабочей области в общедоступном Интернете. Чем меньше экспозиция, тем лучше.

Частные конечные точки показаны на следующей схеме.

На приведенной выше схеме показаны следующие ключевые точки:

Позиция	Description
	Рабочие станции в клиентской виртуальной сети получают доступ к частным конечным точкам Azure Synapse.
	Пиринг между виртуальной сетью клиента и другой виртуальной сетью.
	Рабочая станция из одноранговой виртуальной сети получает доступ к частным конечным точкам Azure Synapse.
	Локальная сеть получает доступ к частным конечным точкам Azure Synapse через VPN или ExpressRoute.
	Конечные точки рабочей области сопоставляются с виртуальной сетью клиента через частные конечные точки с помощью службы Приватного канала Azure.
	Общий доступ отключен в рабочей области Synapse.

На следующей схеме частная конечная точка сопоставляется с экземпляром ресурса PaaS, а не со всей службой. В случае инцидента безопасности в сети предоставляется только сопоставленный экземпляр ресурса, что сводит к минимуму уязвимость и угрозу утечки и кражи данных.

На приведенной выше схеме показаны следующие ключевые точки:

Позиция	Description
	Частная конечная точка в клиентской виртуальной сети сопоставляется с одной выделенной конечной точкой пула SQL (ранее SQL DW) в рабочей области A.
	Другие конечные точки пула SQL в других рабочих областях (B и C) недоступны через эту частную конечную точку, что сводит к минимуму уязвимость.

Частная конечная точка работает в клиентах и регионах Microsoft Entra, поэтому можно создать подключения частной конечной точки к рабочим областям Synapse в клиентах и регионах. В этом случае он проходит через рабочий процесс утверждения подключения к частной конечной точке. Владелец ресурса определяет, какие подключения к частным конечным точкам утверждены или отклонены. Владелец ресурса имеет полный контроль над тем, кто может подключаться к своим рабочим областям.

На следующей схеме показан рабочий процесс утверждения подключения к частной конечной точке.

На приведенной выше схеме показаны следующие ключевые точки:

Позиция	Description
	Частная конечная точка в клиентской виртуальной сети в клиенте A осуществляет доступ к выделенному пулу SQL (ранее SQL DW) в рабочей области A в клиенте A.
	Частная конечная точка в клиентской виртуальной сети в клиенте A осуществляет доступ к тому же самому выделенному пулу SQL (ранее SQL DW) в рабочей области A в клиенте A в рамках рабочего процесса утверждения подключения.

Управляемая виртуальная сеть

Функция управляемой виртуальной сети Synapse обеспечивает полностью управляемую сетевую изоляцию для пула Apache Spark и дл ресурсовя вычислений конвейера между рабочими областями Synapse. Его можно настроить во время создания рабочей области. Кроме того, он обеспечивает сетевую изоляцию для кластеров Spark в той же рабочей области. Каждая рабочая область имеет собственную виртуальную сеть, которой полностью управляет Synapse. Управляемая виртуальная сеть невидима для пользователей, поэтому они не могут вносить какие-либо изменения. Все ресурсы вычисления конвейера или пула Apache Spark, которые развертывает Azure Synapse в управляемой виртуальной сети, подготавливаются в собственной виртуальной сети. Таким образом, существует полная изоляция сети от других рабочих областей.

Эта конфигурация избавляет от необходимости создавать виртуальные сети и группы безопасности сети для ресурсов конвейера и пула Apache Spark и управлять ими, как обычно происходит при Внедрении виртуальной сети.

Как таковые, службы с несколькими клиентами в рабочей области Synapse, такие как выделенные пулы SQL и бессерверные пулы SQL, не подготавливаются в управляемой виртуальной сети.

На следующей схеме показана сетевая изоляция между двумя управляемыми виртуальными сетями рабочих областей A и B с их пулами Apache Spark и ресурсами конвейера внутри управляемых виртуальных сетей.

Управление подключением к частной конечной точке

Управляемое подключение к частной конечной точке позволяет безопасно и беспрепятственно устанавливать подключения к любой службе PaaS Azure (которая поддерживает Приватный канал) без необходимости создания частной конечной точки для такой службы из виртуальной сети клиента. Synapse автоматически создает частную конечную точку и управляет ею. Эти подключения используются ресурсами вычислений, которые подготавливаются в управляемой виртуальной сети Synapse, например пулы Apache Spark и ресурсы конвейера, для подключения к службам PaaS Azure в частном порядке.

Например, если вы хотите подключаться к учетной записи хранения Azure в частном порядке с помощью своего конвейера, обычным подходом является создание частной конечной точки для учетной записи хранения и использование локальной среды выполнения интеграции для подключения к частной конечной точке хранилища. Используя управляемые виртуальные сети Synapse, вы можете в частном порядке подключиться к учетной записи хранения с помощью среды выполнения интеграции Azure, просто создав управляемое подключение частной конечной точки непосредственно к этой учетной записи хранения. Такой подход упраздняет необходимость в локальной среде выполнения интеграции для подключения к службам PaaS Azure в частном порядке.

Как таковые, службы с несколькими клиентами в рабочей области Synapse, такие как выделенные пулы SQL и бессерверные пулы SQL, не подготавливаются в управляемой виртуальной сети. Поэтому они не используют управляемые подключения к частным конечным точкам, созданные в рабочей области для исходящих подключений.

На следующей схеме показана управляемая частная конечная точка, которая подключается к учетной записи хранения Azure из управляемой виртуальной сети в рабочей области A.

Расширенная безопасность Spark

Управляемая виртуальная сеть также предоставляет некоторые дополнительные преимущества для пользователей пула Apache Spark. Нет необходимости беспокоиться о настройке фиксированного адресного пространства подсети, как это делается при Внедрении виртуальной сети. Azure Synapse автоматически позаботится о динамическом выделении этих диапазонов адресов для рабочих нагрузок.

Кроме того, пулы Spark работают как кластер заданий. Это означает, что каждый пользователь получает свой собственный кластер Spark при взаимодействии с рабочей областью. Создание пула Spark в рабочей области — это предоставление метаданных о том, что будет назначено пользователю при выполнении рабочих нагрузок Spark. Это означает, что каждый пользователь получит собственный кластер Spark в выделенной подсети в рамках управляемой виртуальной сети для выполнения рабочих нагрузок. Сеансы пула Spark от одного и того же пользователя выполняются в одних и тех же ресурсах вычислений. Предоставление этой функции обеспечивает три основных преимущества:

• Повышенная безопасность из-за изоляции рабочей нагрузки на основе пользователя.
• Уменьшение количества шумных соседей.
• Более высокая производительность.

Защита от кражи данных

Рабочие области Synapse с управляемой виртуальной сетью имеют дополнительную функцию безопасности, которая называется защитой от кражи данных. Она защищает весь исходящий трафик из Azure Synapse от всех служб, включая выделенные пулы SQL, бессерверные пулы SQL, пулы Apache Spark и конвейеры. Он настроен путем включения защиты от кражи данных на уровне рабочей области (во время создания рабочей области), чтобы ограничить исходящие подключения разрешенным списком клиентов Microsoft Entra. По умолчанию в список добавляется только домашний клиент рабочей области, но после создания рабочей области можно добавить или изменить список клиентов Microsoft Entra. Добавление дополнительных клиентов — это операция с высоким уровнем привилегий, которая требует повышенной роли администратора Synapse. Он эффективно контролирует утечку данных из Azure Synapse в другие организации и к другим клиентам без необходимости применять сложные политики безопасности сети.

Для рабочих областей с включенной защитой от кражи данных конвейеры Synapse и пулы Apache Spark должны использовать управляемые подключения к частные конечным точкам для всех исходящих подключений.

Выделенный пул SQL и бессерверный пул SQL не используют управляемые частные конечные точки для исходящего подключения. Однако любое исходящее подключение из пулов SQL может быть выполнено только для утвержденных целевых объектов, которые являются целевыми объектами управляемых подключений к частным конечным точкам.

Центры приватных каналов для Synapse Studio

Центры приватных каналов Synapse обеспечивают безопасное подключение к Synapse Studio из виртуальной сети клиента с помощью Приватного канала Azure. Эта функция полезна для клиентов, желающих получить доступ к рабочей области Synapse с помощью Synapse Studio из контролируемой и ограниченной среды, в которой исходящий интернет-трафик ограничен определенным набором служб Azure.

Это достигается путем создания ресурса центра приватных каналов и частной конечной точки в этом центре из виртуальной сети. Затем эта частная конечная точка используется для доступа к студии с использованием полного доменного имени (FQDN), web.azuresynapse.net, с частным IP-адресом из виртуальной сети. Ресурс центра приватных каналов скачивает статическое содержимое Synapse Studio по Приватному каналу Azure на рабочую станцию пользователя. Кроме того, для отдельных конечных точек рабочей области необходимо создать отдельные частные конечные точки, чтобы обеспечить частное подключение к конечным точкам рабочей области.

На следующей схеме показаны центры приватных каналов для Synapse Studio.

На приведенной выше схеме показаны следующие ключевые точки:

Позиция	Description
	Рабочая станция в клиентской виртуальной сети с ограниченным доступом обращается к Synapse Studio с помощью веб-браузера.
	Частная конечная точка, созданная для ресурса центров приватных каналов, используется для скачивания статического содержимого студии с помощью Приватного канала Azure.
	Частные конечные точки, созданные для конечных точек рабочей области Synapse, осуществляют безопасный доступ к ресурсам рабочей области с помощью Приватных каналов Azure.
	Правила группы безопасности сети в ограниченной виртуальной сети позволяют исходящему трафику через порт 443 использовать ограниченный набор служб Azure, таких как Azure Resource Manager, Azure Front Door и идентификатор Microsoft Entra.
	Правила группы безопасности сети в клиентской виртуальной сети с ограниченным доступом запрещают весь остальной исходящий трафик из виртуальной сети.
	Общий доступ отключен в рабочей области Synapse.

Выделенный пул SQL (прежнее название — Хранилище данных SQL)

До предложения Azure Synapse был предложен продукт хранилища данных Azure SQL с именем SQL DW. Теперь он переименован в выделенный пул SQL (ранее SQL DW).

Выделенный пул SQL (ранее SQL DW) создается внутри логического сервера Azure SQL. Это защищаемая логическая конструкция, которая выступает в качестве центральной точки администрирования для коллекции баз данных, в том числе SQL DW и других баз данных Azure SQL.

Большинство основных функций сетевой безопасности, обсуждаемых в предыдущих разделах этой статьи для Azure Synapse, также применимы к выделенному пулу SQL (ранее SQL DW). К ним относятся:

• Правила брандмауэра для IP-адресов
• Отключение доступа из общедоступных сетей
• Частные конечные точки
• Защита от кражи данных с помощью правил брандмауэра для исходящих подключений

Поскольку выделенный пул SQL (ранее SQL DW) является многоклиентской службой, он не подготавливается в управляемой виртуальной сети. Это означает, что некоторые функции, такие как управляемая виртуальная сеть и управляемые подключения к частным конечным точкам, к нему не применяются.

Матрица функций сетевой безопасности

В следующей таблице сравнения представлен общий обзор функций безопасности сети, поддерживаемых в предложениях Azure Synapse:

Компонент	Azure Synapse: Пул Apache Spark	Azure Synapse: Выделенный пул SQL	Azure Synapse: Бессерверный пул SQL	Выделенный пул SQL (ранее — хранилище данных SQL)
Правила брандмауэра для IP-адресов	Да	Да	Да	Да
Отключение общего доступа	Да	Да	Да	Да
Частные конечные точки	Да	Да	Да	Да
Защита от кражи данных	Да	Да	Да	Да
Безопасный доступ с использованием Synapse Studio	Да	Да	Да	No
Доступ из ограниченной сети с помощью центра приватных каналов Synapse	Да	Да	Да	No
Управляемая изоляция виртуальной сети и сети на уровне рабочей области	Да	Н/Д	Н/Д	Неприменимо
Управляемые подключения частных конечных точек для исходящего подключения	Да	Н/Д	Н/Д	Неприменимо
Изоляция сети на уровне пользователя	Да	Н/Д	Н/Д	Неприменимо

Следующие шаги

В следующей статье этой серии технических документов рассматривается защита от угроз.