Dataåtkomststrategier
GÄLLER FÖR:
Azure Data Factory Azure Synapse Analytics
Ett viktigt säkerhetsmål för en organisation är att skydda sina datalager från slumpmässig åtkomst via Internet, kan det vara ett lokalt datalager eller ett moln-/SaaS-datalager.
Vanligtvis styr ett molndatalager åtkomsten med hjälp av mekanismerna nedan:
- Private Link från en Virtual Network till privata slutpunktsaktiverade datakällor
- Brandväggsregler som begränsar anslutningen efter IP-adress
- Autentiseringsmekanismer som kräver att användarna bevisar sin identitet
- Auktoriseringsmekanismer som begränsar användare till specifika åtgärder och data
Tips
Med introduktionen av statiska IP-adressintervall kan du nu tillåta lista IP-intervall för den specifika Azure Integration Runtime-regionen för att se till att du inte behöver tillåta alla Azure IP-adresser i dina molndatalager. På så sätt kan du begränsa de IP-adresser som tillåts komma åt datalager.
Anteckning
IP-adressintervallen blockeras för Azure Integration Runtime och används för närvarande endast för dataflytt, pipeline och externa aktiviteter. Dataflöden och Azure-Integration Runtime som aktiverar hanterade Virtual Network använder nu inte dessa IP-intervall.
Detta bör fungera i många scenarier och vi förstår att en unik statisk IP-adress per integrationskörning skulle vara önskvärd, men det skulle inte vara möjligt att använda Azure Integration Runtime för närvarande, vilket är serverlöst. Om det behövs kan du alltid konfigurera en lokalt installerad Integration Runtime och använda din statiska IP-adress med den.
Strategier för dataåtkomst via Azure Data Factory
- Private Link – Du kan skapa en Azure-Integration Runtime i Azure Data Factory managed Virtual Network och den använder privata slutpunkter för att ansluta säkert till datalager som stöds. Trafiken mellan Managed Virtual Network och datakällor överförs i Microsofts stamnätverk och exponeras inte för det offentliga nätverket.
- Betrodd tjänst – Azure Storage (Blob, ADLS Gen2) stöder brandväggskonfiguration som gör att utvalda betrodda Azure-plattformstjänster kan komma åt lagringskontot på ett säkert sätt. Betrodda tjänster tillämpar autentisering av hanterad identitet, vilket säkerställer att ingen annan datafabrik kan ansluta till den här lagringen om den inte godkänns för att göra det med hjälp av den hanterade identiteten. Mer information finns i den här bloggen. Därför är detta mycket säkert och rekommenderas.
- Unik statisk IP-adress – Du måste konfigurera en lokalt installerad integrationskörning för att få en statisk IP-adress för Data Factory-anslutningsappar. Den här mekanismen säkerställer att du kan blockera åtkomst från alla andra IP-adresser.
- Statiskt IP-intervall – Du kan använda Azure Integration Runtime IP-adresser för att lista dem i din lagring (till exempel S3, Salesforce osv.). Det begränsar verkligen IP-adresser som kan ansluta till datalager men som också förlitar sig på regler för autentisering/auktorisering.
- Tjänsttagg – en tjänsttagg representerar en grupp IP-adressprefix från en viss Azure-tjänst (till exempel Azure Data Factory). Microsoft hanterar adressprefixen som omfattas av servicetaggen och uppdaterar automatiskt servicetaggen när adresser ändras, vilket minimerar ständiga uppdateringar av nätverkssäkerhetsreglerna. Det är användbart när du filtrerar dataåtkomst på IaaS-värdbaserade datalager i Virtual Network.
- Tillåt Azure-tjänster – Med vissa tjänster kan du tillåta att alla Azure-tjänster ansluter till dem om du väljer det här alternativet.
Mer information om nätverkssäkerhetsmekanismer som stöds för datalager i Azure Integration Runtime och lokalt installerade Integration Runtime finns i två tabeller nedan.
Azure Integration Runtime
Datalager Nätverkssäkerhetsmekanism som stöds i datalager Private Link Betrodd tjänst Statiskt IP-intervall Tjänsttaggar Tillåt Azure-tjänster Azure PaaS-datalager Azure Cosmos DB Ja - Ja - Ja Azure-datautforskaren - - Ja* Ja* - Azure Data Lake Gen1 - - Ja - Ja Azure Database for MariaDB, MySQL, PostgreSQL - - Ja - Ja Azure Files Ja - Ja - . Azure Blob Storage och ADLS Gen2 Ja Ja (endast MSI-autentisering) Ja - . Azure SQL DB, Azure Synapse Analytics), SQL Ml Ja (endast Azure SQL DB/DW) - Ja - Ja Azure Key Vault (för att hämta hemligheter/anslutningssträngar) ja Ja Ja - - Andra PaaS/SaaS-datalager AWS S3, SalesForce, Google Cloud Storage osv. - - Ja - - Snowflake Ja - Ja - - Azure IaaS SQL Server, Oracle osv. - - Ja Ja - Lokal IaaS SQL Server, Oracle osv. - - Ja - - *Gäller endast när Azure Data Explorer är ett virtuellt nätverk som matas in och IP-intervall kan tillämpas på NSG/Brandvägg.
Lokalt installerad Integration Runtime (i VNet/lokalt)
Datalager Nätverkssäkerhetsmekanism som stöds i datalager Statisk IP-adress Betrodda tjänster Azure PaaS-datalager Azure Cosmos DB Ja - Azure-datautforskaren - - Azure Data Lake Gen1 Ja - Azure Database for MariaDB, MySQL, PostgreSQL Ja - Azure Files Ja - Azure Blob Storage och ADLS Gen2 Ja Ja (endast MSI-autentisering) Azure SQL DB, Azure Synapse Analytics), SQL Ml Ja - Azure Key Vault (för att hämta hemligheter/anslutningssträng) Ja Ja Andra PaaS/SaaS-datalager AWS S3, SalesForce, Google Cloud Storage osv. Ja - Azure laaS SQL Server, Oracle osv. Ja - Lokal laaS SQL Server, Oracle osv. Ja -
Nästa steg
Mer information finns i följande relaterade artiklar: