了解資料內嵌安全性考量

  • 8 分鐘

資料整合需要安全地處理待用和傳輸中的資料。 在建立資料整合解決方案之前,設計階段必須考慮安全性需求。 這最初會提供來源系統的涵蓋範圍,以及其中資料的內嵌方式。 不過,需要全面性方法,其也會在下列區域中封裝中繼資料存放區的安全性

網路

有一些與設定網路安全性有關的問題,您應該注意。 您可能必須與組織中的 Azure 系統管理員合作,才能管理其中一些區域。

使用虛擬網路來保護 Azure 資源

虛擬網路允許 Azure 服務或存在於內部部署網路的伺服器之間進行安全通訊。 虛擬網路或 Vnet 是設定私人網路的基礎建置區塊。 其可讓您在 Azure 資源、網際網路上的服務,以及內部部署網路上的伺服器之間進行安全通訊。 Azure Data Factory 可能會從內部部署伺服器或 Azure 內裝載的虛擬機器內嵌資料。 為了達成此目的,可在虛擬網路內的伺服器上部署自我裝載整合執行階段。 若要限制存取,您應該將網路安全性群組 (NSG) 設定為只允許管理存取。 使用 Azure SSIS 整合執行階段時,系統會提供您加入虛擬網路的選項。 接受此選項可讓 Azure Data Factory 建立網路資源,其中一個範例是 Azure Data Factory 自動建立網路安全性群組,且預設會對所有流量開放連接埠3389。 請將此鎖定,以確保只有您的系統管理員才能存取。

使用服務來偵測並防止入侵

您可以在裝載整合執行階段的虛擬網路上啟用分散式阻斷服務 (DDoS) 保護標準,以拒絕與已知 IP 位址的通訊。 此外,您也可以使用 Azure 資訊安全中心的整合式威脅情報,以拒絕與已知為惡意或未使用的網際網路 IP 位址通訊。 具有威脅情報的 Azure 防火牆可以用來控制網路存取。 如果需要根據承載檢查進行入侵偵測及/或防護,您可以透過 Azure ExpressRoute 強制通道將流量重新導向至防火牆設備,或重新導向至支援此功能的網路虛擬裝置

使用網路服務標籤來簡化安全性規則的管理

您可以使用服務標籤來設定虛擬網路。 服務標籤可讓您將來自指定 Azure 服務的 IP 位址首碼群組在一起,以供系統管理之用。 使用服務標籤,您可以根據服務標記在網路安全性群組中建立網路安全性規則,以降低系統管理額外負荷。 在規則的適當來源或目的地欄位中指定服務標籤名稱 (例如 DataFactoryManagement),即可允許或拒絕對應服務的輸入流量。

身分識別與存取控制

管理對您資料的存取是需要考慮的重要領域。 以下是一些要注意的領域。

管理帳戶

用來工作和管理 Azure Data Factory 的系統管理帳戶應該是定期監視和管理的專屬已知帳戶,以確保它們不會遭盜用。 若要建立 Data Factory 執行個體,您用來登入 Azure 的使用者帳戶必須是參與者或擁有者角色的成員,或是 Azure 訂用帳戶的系統管理員。 若為高安全性環境,請考慮使用專用電腦,對任何 ADF 系統管理工作進行系統管理存取

使用 Active Directory 來利用單一登入

在 Microsoft Entra ID 內註冊服務主體,以利用權杖管理,讓您的 Azure Data Factory 服務可在 Azure 資源之間簡化其驗證。 資料處理站可以與代表特定資料處理站之 Azure 資源的受控識別相關聯。 您可以使用此受控識別來進行 Azure SQL Database 分析驗證。 指定的處理站可以使用這個身分識別,從資料庫存取和複製資料。

資料保護

您可能必須針對特定類型的資料 (例如醫療資料或下列領域中的財務資料) 進行特殊考慮。

使用角色型存取控制 (RBAC) 來控制資源的存取

在資料來源上使用 RBAC 來控制 Azure Data Factory 服務主體的資料存取。

敏感性資料

使用敏感性資料時,有一些您應該了解的考慮,包括:

  • 維護包含敏感性資訊的資料存放區清單
  • 隔離儲存或處理敏感性資訊的系統
  • 監視並封鎖未經授權的敏感性資訊傳輸
  • 加密任何傳輸中的敏感性資訊
  • 加密任何待用的敏感性資訊

記錄和監視

了解誰存取您的資料也一樣重要,而您的安全性考慮應該包含下列領域。

設定中央安全性記錄管理

使用 Azure 監視器來集中儲存 Azure Data Factory 所產生的內嵌記錄,並使用 Log Analytics 來查詢它們。 此外,設定在 Azure 儲存體帳戶中長期儲存記錄的策略,以便您有資料來建立 ADF 內嵌活動的基準

監視和記錄虛擬網路、子網和 NIC 的設定和網路封包流量

啟用網路安全性群組 (NSG) 流量記錄,讓 NSG 保護您的整合執行階段部署,並將記錄傳送到 Azure 儲存體帳戶以進行流量稽核。 您也可以將 NSG 流量記錄傳送至 Log Analytics 工作區,並使用流量分析來提供 Azure 雲端中流量的深入解析。

啟用稽核記錄

您可以使用 Azure Data Factory 診斷設定來設定診斷記錄,以追蹤將會保留 45 天的 pipeline-run 資料。 您可以將診斷記錄儲存至 Azure 儲存體帳戶,以供未來分析之用。

啟用活動上的警示

將記錄傳送至 Log Analytics 的 Azure Data Factory,其診斷設定可以具有針對一組預先定義條件設定的警示,這些條件可對系統管理員發出活動警示

遵循組織內的標準記錄和監視標準

檢查組織的記錄和監視標準,並遵循標準,包括:

  • 稽核記錄
  • 安全性記錄
  • 反惡意程式碼記錄
  • 記錄保留原則