Azure'da SAP için veri tümleştirme güvenliği
Bu makale, "SAP verileri genişletme ve yenilikler: En iyi yöntemler" makale serisinin bir parçasıdır.
- SAP veri kaynaklarını tanımlama
- En iyi SAP bağlayıcısını seçin
- SAP veri ayıklama için performans ve sorun giderme
- Azure'da SAP için veri tümleştirme güvenliği
- SAP veri tümleştirmesi genel mimarisi
Bu makalede SAP genişletme senaryolarına yönelik güvenlik katmanları açıklanır, her bileşenin dökümü sağlanır ve önemli noktalar ile öneriler sunulur. Azure Data Factory yönetim kaynakları Azure güvenlik altyapısı üzerinde oluşturulur ve Azure güvenlik önlemlerini kullanır.
Veri alımı katmanı şunlardan oluşur:
- SAP S/4HANA, SAP BW/4HANA veya SAP HANA kurumsal sürümü
- Azure Data Lake Storage 2. Nesil
- Data Factory
- Şirket içinde barındırılan tümleştirme çalışma zamanı (SHIR) sanal makinesi (VM)
Aşağıdaki diyagram, Azure'da SAP veri tümleştirme güvenliğinin örnek mimarisidir. Örnek mimariyi başlangıç noktası olarak kullanın.
Bu mimarinin bir Visio dosyasını indirin.
Önemli noktalar ve öneriler
Aşağıdaki bölümlerde Azure'da SAP için veri tümleştirme güvenliğiyle ilgili önemli noktalar ve öneriler açıklanmaktadır.
SAP güvenliği
SAP güvenlik kılavuzunda SAP ürünleri için ayrıntılı yönergeler bulunur.
Data Lake Storage 2. Nesil güvenliği
Data Lake Storage 2. Nesil güvenliği için aşağıdaki önemli noktalara bakın.
Azure Depolama’daki verilere erişimi yetkilendirme
Depolama hesabınızdaki verilere eriştiğinizde istemci uygulamanız HTTP/HTTPS üzerinden Depolama isteğinde bulunur. Varsayılan olarak, Depolama içindeki her kaynak güvenlidir ve güvenli bir kaynağa yapılan her istek yetkilendirilmelidir. Depolama, verilere erişim yetkisi vermek için birçok seçenek sunar. En iyi güvenlik ve kolaylık için verilere yönelik istekleri yetkilendirmek için Microsoft Entra kimlik bilgilerini kullanmanızı öneririz. Daha fazla bilgi için bkz . Erişim anahtarlarınızı koruma.
Azure rol tabanlı erişim denetimi (RBAC)
Depolama hesabındaki blob, kuyruk ve tablo kaynaklarına yönelik güvenlik sorumlusu izinlerini yönetmek için RBAC kullanın. Blob kaynakları için Azure rol atamalarına koşullar eklemek için Azure öznitelik tabanlı erişim denetimini (ABAC) de kullanabilirsiniz. Daha fazla bilgi için bkz. Azure rol atama koşullarını kullanarak Azure Blob Depolama erişimi yetkilendirme.
Blob depolama güvenliği
Veri koruma, kimlik ve erişim yönetimi, ağ, günlük ve izleme gibi blob depolama için güvenlik önerilerini göz önünde bulundurun. Daha fazla bilgi için bkz . Blob depolama için güvenlik önerileri.
erişim denetimini Data Lake Storage 2. Nesil
Data Lake Storage 2. Nesil aşağıdaki yetkilendirme stratejilerini destekler:
- RBAC
- Erişim denetim listeleri (ACL’ler)
- Güvenlik grupları
- Paylaşılan anahtar ve paylaşılan erişim imzası (SAS) yetkilendirmesi
Data Lake Storage 2. Nesil iki tür ACL vardır:
- Erişim ACL'leri bir nesneye erişimi denetler. Dosya ve dizinlerin erişim ACL'leri vardır.
- Varsayılan ACL'ler , bir dizinle ilişkili ACL şablonlarıdır. Bu dizin altında oluşturulan alt öğeler için erişim ACL'lerini belirler. Dosyaların varsayılan ACL'leri yoktur.
ACL girişinde, tek tek kullanıcıları veya hizmet sorumlularını doğrudan atamayın. Atanan sorumlu olarak her zaman Microsoft Entra güvenlik gruplarını kullanın. Bu uygulama, ACL'leri dizin yapısının tamamına yeniden uygulamadan kullanıcı veya hizmet sorumluları eklemenizi ve kaldırmanızı sağlar. Bunun yerine, uygun Microsoft Entra güvenlik grubundan kullanıcı ve hizmet sorumluları ekleyebilir veya kaldırabilirsiniz. Daha fazla bilgi için bkz . Erişim denetim listeleri.
Data Factory güvenliği
Data Factory güvenliği için aşağıdaki önemli noktalara bakın.
Veri taşıma
İki veri taşıma senaryosu vardır: bulut senaryosu ve karma senaryo. Veri taşıma güvenliği hakkında bilgi için bkz . Data Factory'de veri taşımayla ilgili güvenlik konuları.
Bulut senaryosunda kaynağınıza ve hedefinize İnternet üzerinden genel erişim sağlanır. Kaynağınız veya hedefiniz Azure Depolama, Azure Synapse Analytics, Azure SQL Veritabanı, Data Lake Storage 2. Nesil, Amazon S3, Amazon Redshift, Salesforce gibi hizmet olarak yazılım (SaaS) hizmetleri veya dosya aktarım protokolü (FTP) ve açık veri protokolü (OData) gibi web protokolleri gibi yönetilen bulut depolama hizmetleri olabilir. Desteklenen veri depolarında ve biçimlerinde desteklenen veri kaynaklarının tam listesini bulun.
Karma bir senaryoda, kaynağınız veya hedefiniz bir güvenlik duvarının arkasında veya şirket içi bir şirket ağındadır. Ya da veri deposu özel bir ağda veya sanal ağdadır ve genel olarak erişilebilir değildir. Bu durumda veri deposu genellikle kaynaktır. Karma senaryo, sanal makinelerde barındırılan veritabanı sunucularını da içerir.
Veri erişim stratejileri
Kuruluşunuz şirket içi veya bulut/SaaS veri depoları gibi veri depolarını İnternet üzerinden yetkisiz erişime karşı korumak istiyor. Aşağıdakini kullanarak bulut veri deponuzda erişimi denetleyebilirsiniz:
- Sanal ağdan özel uç nokta özellikli bir veri kaynağına özel bağlantı.
- IP adresi kullanarak bağlantıyı sınırlayan güvenlik duvarı kuralları.
- Kullanıcıların kimliklerini kanıtlamasını gerektiren kimlik doğrulama stratejileri.
- Kullanıcıları belirli eylemler ve verilerle kısıtlayan yetkilendirme stratejileri.
Daha fazla bilgi için bkz . Veri erişim stratejileri.
Kimlik bilgilerini Azure Key Vault’ta depolama
Veri depoları ve işlemleri için kimlik bilgilerini Key Vault'ta depolayabilirsiniz. Veri deposu veya işlem kullanan bir etkinlik çalıştırıldığında Data Factory kimlik bilgilerini alır. Daha fazla bilgi için bkz . Kimlik bilgilerini Key Vault'ta depolama ve İşlem hattı etkinliklerinde Key Vault gizli dizilerini kullanma.
Kimlik bilgilerini şifreleme
Data Factory'de şirket içi veri depoları için kimlik bilgilerini şifrelemeyi göz önünde bulundurun. SHIR içeren bir makinede, şirket içi veri depolarınızdan herhangi birinin kimlik bilgilerini şifreleyebilir ve depolayabilirsiniz; örneğin hassas bilgiler içeren bağlı hizmetler. Daha fazla bilgi için bkz . Data Factory'de şirket içi veri depoları için kimlik bilgilerini şifreleme.
Yönetilen kimlik kullanma
Yönetilen kimlik kullandığınızda kimlik bilgilerini yönetmeniz gerekmez. Yönetilen kimlik, Microsoft Entra kimlik doğrulamasını destekleyen kaynaklara bağlandığında hizmet örneği için bir kimlik sağlar. Desteklenen iki tür yönetilen kimlik vardır: Sistem tarafından atanan yönetilen kimlikler ve kullanıcı tarafından atanan yönetilen kimlikler. Daha fazla bilgi için bkz . Data Factory için yönetilen kimlik.
Müşteri tarafından yönetilen anahtarlarla şifreleme
Güvenlik ilkelerinize bağlı olarak Data Factory'yi müşteri tarafından yönetilen anahtarlarla şifrelemeyi göz önünde bulundurun. Daha fazla bilgi için bkz . Data Factory'yi müşteri tarafından yönetilen anahtarlarla şifreleme.
Yönetilen sanal ağ kullanma
Data Factory tarafından yönetilen bir sanal ağ içinde Azure tümleştirme çalışma zamanı oluşturduğunuzda, tümleştirme çalışma zamanı yönetilen sanal ağ ile sağlanır. Desteklenen veri depolarına güvenli bir şekilde bağlanmak için özel uç noktaları kullanır. Özel uç nokta, belirli bir sanal ağ veya alt ağ içinde yer alan özel IP adresidir. Yönetilen sanal ağ yalnızca Data Factory bölgesiyle aynı bölgede desteklenir. Daha fazla bilgi için bkz . Data Factory yönetilen sanal ağı.
Azure Özel Bağlantı kullanma
Özel Bağlantı kullandığınızda Azure'daki hizmet olarak platform (PaaS) dağıtımlarına özel bir uç nokta üzerinden bağlanabilirsiniz. Özel Bağlantı destekleyen PaaS dağıtımlarının listesi için bkz. Data Factory için Özel Bağlantı.
SHIR VM bağlantıları ve güvenliği
SHIR VM bağlantıları ve güvenliği için aşağıdaki önemli noktalara bakın.
Şirket içi veri deposu kimlik bilgileri
Şirket içi veri deposu kimlik bilgilerini Data Factory'de depolayabilir veya Key Vault'tan çalışma zamanı sırasında Data Factory'yi kullanarak kimlik bilgilerine başvurabilirsiniz. Data Factory'de kimlik bilgilerini depolarsanız, bunları her zaman SHIR'de şifreleyin. Daha fazla bilgi için bkz . Şirket içi veri deposu kimlik bilgileri.
Ağ yapılandırmanıza göre SHIR ayarlama
Karma veri taşıma için aşağıdaki tabloda, kaynak ve hedef konumların farklı birleşimlerine göre ağ ve SHIR yapılandırma önerileri özetlemektedir.
| Kaynak | Hedef | Ağ yapılandırması | Tümleştirme çalışma zamanı kurulumu |
|---|---|---|---|
| Şirket içinde | Sanal ağlara dağıtılan sanal makineler ve bulut hizmetleri | IPSec VPN (noktadan siteye veya siteden siteye) | Sanal ağdaki bir Azure sanal makinesine SHIR yükleme |
| Şirket içinde | Sanal ağlara dağıtılan sanal makineler ve bulut hizmetleri | Azure ExpressRoute (özel eşleme) | Sanal ağdaki bir Azure sanal makinesine SHIR yükleme |
| Şirket içinde | Genel uç noktası olan Azure tabanlı hizmetler | ExpressRoute (Microsoft eşlemesi) | Şirket içi veya Azure sanal makinesine SHIR yükleme |
ExpressRoute veya IPSec VPN
Aşağıdaki görüntülerde, Azure Sanal Ağ ve ExpressRoute veya IPSec VPN kullanarak şirket içi veritabanı ile Azure hizmeti arasında veri taşımak için SHIR'nin nasıl kullanılacağı gösterilmektedir.
IP adresleri için güvenlik duvarı yapılandırmaları ve izin verilenler listesi kurulumu için bkz . Data Factory'de veri taşımayla ilgili güvenlik konuları.
Bu diyagramda ExpressRoute özel eşlemesi kullanılarak verilerin nasıl taşındığı gösterilmektedir:
Bu diyagramda IPSec VPN kullanarak verilerin nasıl taşındığı gösterilmektedir:
Güvenlik duvarında, SHIR makinesinin IP adresine izin verildiğinden ve uygun şekilde yapılandırıldığından emin olun. Aşağıdaki bulut veri depoları, SHIR makinesinin IP adresine izin vermenizi gerektirir. Varsayılan olarak, bu veri depolarından bazıları izin verilenler listesi gerektirmeyebilir.
- SQL Veritabanı
- Azure Synapse Analytics
- Data Lake Storage Gen2
- Azure Cosmos DB
- Amazon Redshift
Daha fazla bilgi için bkz . Data Factory'de veri taşıma ve SHIR oluşturma ve yapılandırma ile ilgili güvenlik konuları.
Azure Databricks güvenliği
Azure Databricks güvenliği için aşağıdaki önemli noktalara bakın.
Azure Databricks için Azure güvenlik temeli
Azure Databricks için Azure güvenlik temelini göz önünde bulundurun. Bu güvenlik temeli, Microsoft bulut güvenliği karşılaştırması sürüm 1.0'dan Azure Databricks'e yönergeler uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini sağlama hakkında öneriler sağlar.
Azure Synapse Analytics güvenliği
Azure Synapse Analytics, verilerinizin uçtan uca korunması için çok katmanlı bir güvenlik mimarisi uygular. Beş katman vardır:
Veri koruması , hassas verileri tanımlayıp sınıflandırır ve bekleyen ve hareket halindeki verileri şifreler. Veri bulma ve sınıflandırma, idare ve şifreleme önerileri için bkz . Veri koruma.
Erişim denetimi , kullanıcının verilerle etkileşim kurma hakkını belirler. Azure Synapse Analytics, kimlerin hangi verilere erişebileceğini denetlemeye yönelik çok çeşitli özellikleri destekler. Daha fazla bilgi için bkz . Erişim denetimi.
Kimlik doğrulaması , kullanıcıların ve uygulamaların kimliğini kanıtlar. Azure SQL Denetimi kimlik doğrulama etkinliklerini günlüğe kaydedebilir ve BT yöneticisi şüpheli bir konumdan oturum açmaya çalışıldığında raporları ve uyarıları yapılandırabilir. Daha fazla bilgi için bkz. Kimlik doğrulaması.
Ağ güvenliği , ağ trafiğini özel uç noktalar ve sanal özel ağlar ile yalıtıyor. Azure Synapse Analytics'in güvenliğini sağlamak için birçok ağ güvenliği seçeneği vardır. Daha fazla bilgi için bkz . Ağ güvenliği.
Tehdit algılama , olağan dışı erişim konumları, SQL ekleme saldırıları ve kimlik doğrulama saldırıları gibi olası güvenlik tehditlerini tanımlar. Daha fazla bilgi için bkz . Tehdit algılama.
Veri sunu katmanı
Power BI dahil olmak üzere sunu katmanını savunmak için güvenlik özelliklerini nasıl kullanabileceğinizi düşünün. Daha fazla bilgi için bkz . Power BI güvenliği ve Power BI uygulama planlaması: Güvenlik.
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin