在 Azure Data Factory 中資料移動的安全性考量
適用於:
Azure Data Factory Azure Synapse Analytics
提示
試用 Microsoft Fabric 中的 Data Factory,這是適用於企業的全方位分析解決方案。 Microsoft Fabric 涵蓋從資料移動到資料科學、即時分析、商業智慧和報告的所有項目。 了解如何免費開始新的試用!
本文說明 Azure Data Factory 中資料移動服務用來協助保護您資料的基本安全性基礎結構。 Data Factory 管理資源建置在 Azure 安全性基礎結構上,並使用 Azure 提供的所有可能安全性措施。
在 Data Factory 方案中,您可以建立一或多個資料 管線。 管線是共同執行一項工作的多個活動邏輯群組。 這些管線位於建立 Data Factory 的區域中。
儘管 Data Factory 僅適用於某些區域,資料移動服務仍全球適用,以確保資料合規、有效率,且網路輸出成本降低。
Azure Data Factory (包括 Azure Integration Runtime 和自我裝載整合執行階段) 不會儲存任何暫存資料、快取資料或記錄,但雲端資料存放區的連結服務認證 (其是使用憑證予以加密) 除外。 您可以使用 Data Factory 來建立資料導向工作流程,藉由使用其他區域或內部部署環境中的計算服務,協調所支援資料存放區之間的資料移動和資料處理。 您也可以藉由使用 SDK 和 Azure 監視器來監視和管理工作流程。
Data Factory 已通過下列各項規範的認證:
| CSA STAR Certification |
|---|
| ISO 20000-1:2011 |
| ISO 22301:2012 |
| ISO 27001:2013 |
| ISO 27017:2015 |
| ISO 27018:2014 |
| ISO 9001:2015 |
| SOC 1、2、3 |
| HIPAA BAA |
| HITRUST |
如果您對 Azure 法規遵循以及 Azure 如何保護其專屬基礎結構感興趣,請瀏覽 Microsoft 信任中心。 如需所有 Azure 合規性供應項目的最新清單,請查看 - https://aka.ms/AzureCompliance。
在本文中,我們會檢閱下列兩個資料移動案例中的安全性考量︰
- 雲端案例:在此案例中,可透過網際網路公開存取您的來源和目的地。 這些包括受控雲端儲存體服務 (例如「Azure 儲存體」、Azure Synapse Analytics、Azure SQL Database、Azure Data Lake Store、Amazon S3、Amazon Redshift)、SaaS 服務 (例如 Salesforce),以及 Web 通訊協定 (例如 FTP 和 OData)。 在支援的資料存放區和格式中,尋找支援的資料來源完整清單。
- 混合式案例:在此案例中,您的來源或目的地是位於防火牆後方或在內部部署公司網路內。 或者,資料存放區是在私人網路或虛擬網路 (最常見的來源) ,而且無法公開存取。 裝載在虛擬機器上的資料庫伺服器也屬於此案例的涵蓋範圍。
注意
建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 若要開始使用,請參閱 安裝 Azure PowerShell。 若要了解如何移轉至 Az PowerShell 模組,請參閱將 Azure PowerShell 從 AzureRM 移轉至 Az。
雲端案例
保護資料存放區認證
- 在 Azure Data Factory 受控存放區中儲存加密的認證。 Data Factory 可透過使用受 Microsoft 管理的憑證來加密資料存放區認證,為這些認證提供保護。 這些憑證每隔兩年會輪替一次 (包括憑證更新和憑證移轉)。 如需有關「Azure 儲存體」安全性的詳細資訊,請參閱 Azure 儲存體安全性概觀。
- 在 Azure Key Vault 中儲存認證。 您也可以在 Azure Key Vault 中儲存資料存放區的認證。 Data Factory 會在活動執行期間擷取認證。 如需詳細資訊,請參閱 在 Azure Key Vault 中儲存認證。
在 Azure Key Vault 中集中儲存應用程式祕密,可讓您控制其散發。 Key Vault 可大幅降低不小心洩露祕密的風險。 您可以在 Key Vault 中妥善儲存連接字串,而不用在應用程式的程式碼中儲存連接字串。 您的應用程式可以使用 URI 安全地存取其所需的資訊。 這些 URI 可讓應用程式擷取特定版本的祕密。 您不需要撰寫自訂程式碼來保護 Key Vault 中儲存的任何祕密資訊。
傳輸中資料加密
如果雲端資料存放區支援 HTTPS 或 TLS,則 Data Factory 中資料移動服務與雲端資料存放區之間的所有資料傳輸,都會透過安全通道 HTTPS 或 TLS。
注意
所有連到 Azure SQL Database 和 Azure Synapse Analytics 的連線在資料透過傳輸進出資料庫時,需要加密 (SSL/TLS)。 當您使用 JSON 編輯器來編寫管線時,在連接字串中新增 encryption 屬性,並將它設定為 true。 針對「Azure 儲存體」,您可以在連接字串中使用 HTTPS。
注意
若要在從 Oracle 移動資料時啟用傳輸中加密,請遵循下列其中一個選項:
- 在 Oracle 伺服器上,移至 Oracle 進階安全性 (OAS) 並設定加密設定,其支援三重 DES 加密 (3DES) 和進階加密標準 (AES),請參閱這裡的詳細資料。 ADF 會自動協商加密方法,以使用建立 Oracle 連線時您在 OAS 中設定的方法。
- 在 ADF 中,您可以在連接字串 (位於連結服務內) 中新增 EncryptionMethod=1。 這將使用 SSL/TLS 作為加密方法。 若要使用這個方法,您需要在 Oracle 伺服器端的 OAS 中停用非 SSL 加密設定,以避免加密衝突。
注意
使用的 TLS 版本為 1.2。
待用資料加密
有些資料存放區支援待用資料加密。 建議您為這些資料存放區啟用資料加密機制。
Azure Synapse Analytics
Azure Synapse Analytics 中的透明資料加密 (TDE) 可以對待用資料執行即時加密和解密,協助防止惡意活動的威脅。 用戶端並不會察覺到這個過程。 如需詳細資訊,請參閱在 Azure Synapse Analytics 中保護資料庫。
Azure SQL Database
Azure SQL Database 也支援透明資料加密 (TDE),TDE 可在不需變更應用程式的情況下,對資料執行即時加密和解密,協助防止惡意活動的威脅。 用戶端並不會察覺到這個過程。 如需詳細資訊,請參閱 SQL Database 和資料倉儲的透明資料加密。
Azure Data Lake Store
Azure Data Lake Store 也針對儲存在帳戶中的資料提供加密功能。 啟用加密功能時,Data Lake Store 會在保存資料之前先自動加密資料,並在擷取資料之前先解密資料,因此存取該資料的用戶端並不會察覺這個過程。 如需詳細資訊,請參閱 Azure Data Lake Store 安全性。
Azure Blob 儲存體和 Azure 資料表儲存體
「Azure Blob 儲存體」和「Azure 資料表儲存體」支援「儲存體服務加密」(SSE),此功能會在將資料保存到儲存體之前先自動加密資料,並在擷取資料之前先解密資料。 如需詳細資訊,請參閱待用資料的 Azure 儲存體服務加密。
Amazon S3
Amazon S3 同時支援用戶端和伺服器的待用資料加密。 如需詳細資訊,請參閱使用加密來保護資料 (英文)。
Amazon Redshift
Amazon Redshift 支援叢集待用資料加密。 如需詳細資訊,請參閱 Amazon Redshift 資料庫加密 (英文)。
Salesforce
Salesforce 支援「Shield 平台加密」,可加密所有檔案、附件和自訂欄位。 如需詳細資訊,請參閱了解 Web 伺服器 OAuth 驗證流程 (英文)。
混合式案例
混合式案例需要您在內部部署網路中或是虛擬網路 (Azure) 或虛擬私人雲端 (Amazon) 內安裝自我裝載整合執行階段。 自我裝載整合執行階段必須能夠存取本機資料存放區。 如需自我裝載整合執行階段的詳細資訊,請參閱如何建立和設定自我裝載整合執行階段。
命令通道可允許 Data Factory 中的資料移動服務與自我裝載整合執行階段之間進行通訊。 此通訊包含活動的相關資訊。 資料通道會用來在內部部署資料存放區與雲端資料存放區之間傳輸資料。
內部部署資料存放區認證
認證可以儲存在資料處理站中,或從 Azure Key Vault 在執行階段供 Data Factory 參考。 如果將認證儲存在資料處理站,則一律會在自我裝載整合執行階段加密儲存。
在本機儲存認證。 如果您直接使用 Set-AzDataFactoryV2LinkedService Cmdlet 搭配連接字串和 JSON 中內嵌的認證,連結服務會加密儲存在自我裝載整合執行階段。 在此情況下,認證會流經極度安全的 Azure 後端服務,流向自我裝載整合機器,最後在此加密儲存。 自我裝載整合執行階段會使用 Windows DPAPI 加密機密資料和認證資訊。
在 Azure Key Vault 中儲存認證。 您也可以在 Azure Key Vault 中儲存資料存放區的認證。 Data Factory 會在活動執行期間擷取認證。 如需詳細資訊,請參閱 在 Azure Key Vault 中儲存認證。
在本機儲存認證,認證不會經由 Azure 後端流向自我裝載整合執行階段。 如果您要在本機環境的自我裝載整合執行階段加密儲存認證,而不要讓認證流經資料處理站後端,請遵循在 Azure Data Factory 中加密內部部署資料存放區的認證中的步驟。 所有連接器皆支援此選項。 自我裝載整合執行階段會使用 Windows DPAPI 加密機密資料和認證資訊。
使用 New-AzDataFactoryV2LinkedServiceEncryptedCredential Cmdlet 來加密連結服務認證和加密連結服務中的機密詳細資料。 然後,您可以使用傳回的 JSON (與連接字串中的 EncryptedCredential 元素),搭配 Set-AzDataFactoryV2LinkedService Cmdlet 來建立連結服務。
在自我裝載整合執行階段上加密連結服務時所使用的連接埠
根據預設,啟用從內部網路進行遠端存取時,PowerShell 會在具有自我裝載整合執行階段的電腦上使用連接埠 8060 來保護通訊安全。 必要時,您可以從 Integration Runtime Configuration Manager 的 [設定] 索引標籤變更此連接埠:
![Integration Runtime Configuration Manager 的 [設定] 索引卷標](media/data-movement-security-considerations/integration-runtime-configuration-manager-settings.png)
傳輸中加密
與 Azure 服務進行通訊時,所有資料傳輸都會透過安全通道 HTTPS 和 TLS over TCP,以防止攔截式攻擊。
您也可以使用 IPSec VPN 或 Azure ExpressRoute 來進一步保護內部部署網路與 Azure 之間的通訊通道。
Azure 虛擬網路是您網路在雲端的邏輯呈現方式。 您可以透過設定 IPSec VPN (網站間) 或 ExpressRoute (私用對等互連),將內部部署網路連線到虛擬網路。
下表根據混合式資料移動的不同來源和目的地位置組合,摘要說明網路和自我裝載整合執行階段組態的建議事項。
| 來源 | Destination | 網路組態 | 整合執行階段設定 |
|---|---|---|---|
| 內部部署 | 部署在虛擬網路中的虛擬機器和雲端服務 | IPSec VPN (點對站或站台對站台) | 自我裝載整合執行階段應安裝在虛擬網路中的 Azure 虛擬機器上。 |
| 內部部署 | 部署在虛擬網路中的虛擬機器和雲端服務 | ExpressRoute (私用對等互連) | 自我裝載整合執行階段應安裝在虛擬網路中的 Azure 虛擬機器上。 |
| 內部部署 | 具有公用端點的 Azure 型服務 | ExpressRoute (Microsoft 對等互連) | 自我裝載整合執行階段可以安裝在內部部署環境或 Azure 虛擬機器。 |
下列各圖說明在使用自我裝載整合執行階段的情況下,利用 ExpressRoute 和 IPSec VPN (搭配 Azure 虛擬網路),在內部部署資料庫與 Azure 服務之間移動資料:
Express Route
IPSec VPN
防火牆設定和 IP 位址允許清單設定
注意
您可能需要依個別資料來源所需,在公司防火牆層級管理連接埠或設定網域的允許清單。 此表格僅使用 Azure SQL Database、Azure Synapse Analytics 和 Azure Data Lake Store 作為範例。
注意
如需進一步了解透過 Azure Data Factory 的資料存取策略,請參閱這篇文章。
內部部署/私人網路的防火牆需求
在企業中,公司防火牆會在組織的中央路由器上執行。 Windows 防火牆則是在安裝自我裝載整合執行階段的本機電腦上以精靈的形式執行。
下表提供公司防火牆的輸出連接埠和網域需求:
| 網域名稱 | 輸出連接埠 | 描述 |
|---|---|---|
*.servicebus.windows.net |
443 | 必須提供此資訊,自我裝載整合執行階段才能進行互動式撰寫。 |
{datafactory}.{region}.datafactory.azure.net或 *.frontend.clouddatahub.net |
443 | 必須提供此資訊,自我裝載整合執行階段才能連線到 Data Factory 服務。 針對新建立的 Data Factory,請從您的自我裝載整合執行階段金鑰 (格式為 {datafactory}.{region}.datafactory.azure.net) 中尋找 FQDN。 針對舊版 Data Factory,如果您在自我裝載整合金鑰中看不到 FQDN,請改為使用 *.frontend.clouddatahub.net。 |
download.microsoft.com |
443 | 自我裝載整合執行階段所需,以用於下載更新。 如果您已停用自動更新,您可以略過設定此網域。 |
*.core.windows.net |
443 | 當您使用分段複製功能時,可供自我裝載整合執行階段用來連線到 Azure 儲存體帳戶。 |
*.database.windows.net |
1433 | 只有當您在 Azure SQL Database 或 Azure Synapse Analytics (或選擇性的其他位置) 之間複製時才需要。 若要在不開啟連接埠 1433 的情況下,將資料複製到 SQL Database 或 Azure Synapse Analytics,請使用分段複製功能。 |
*.azuredatalakestore.netlogin.microsoftonline.com/<tenant>/oauth2/token |
443 | 只有當您在 Azure Data Lake Store 和選擇性的其他位置之間複製時才需要。 |
注意
您可能需要依個別資料來源所需,在公司防火牆層級管理連接埠或設定網域的允許清單。 此表格僅使用 Azure SQL Database、Azure Synapse Analytics 和 Azure Data Lake Store 作為範例。
下表提供 Windows 防火牆的輸入連接埠需求:
| 輸入連接埠 | 描述 |
|---|---|
| 8060 (TCP) | PowerShell 加密 Cmdlet (如在 Azure Data Factory 中加密內部部署資料存放區的認證中所述) 和認證管理員應用程式皆需要此連接埠,以便為自我裝載整合執行階段的內部部署資料存放區安全地設定認證。 |
資料存放區中的 IP 設定和允許清單設定
有些雲端資料存放區也會要求必須將存取存放區的電腦 IP 位址加入允許清單。 請確定在防火牆中已將自我裝載整合執行階段電腦的 IP 位址正確地加入允許清單並進行設定。
下列雲端資料存放區會要求必須將自我裝載整合執行階段電腦的 IP 位址加入允許清單。 在這些資料存放區中,有些可能預設不會要求將 IP 位址加入允許清單。
常見問題集
是否可以跨不同的 Data Factory 共用自我裝載整合執行階段?
是。 這裡提供更多詳細資料。
自我裝載整合執行階段需要什麼連接埠才能運作?
自我裝載整合執行階段會建立 HTTP 型連線來存取網際網路。 必須開啟輸出連接埠 443,自我裝載整合執行階段才能建立此連線。 針對認證管理員應用程式,請只在機器層級 (而非公司防火牆層級) 開啟輸入連接埠 8060。 如果使用 Azure SQL Database 或 Azure Synapse Analytics 作為來源或目的地,則也需要開啟連接埠 1433。 如需詳細資訊,請參閱防火牆設定及 IP 位址允許清單設定一節。
相關內容
如需有關 Azure Data Factory 複製活動效能的詳細資訊,請參閱複製活動的效能及微調指南。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應