Dataåtkomststrategier

GÄLLER FÖR: Azure Data Factory Azure Synapse Analytics

Dricks

Prova Data Factory i Microsoft Fabric, en allt-i-ett-analyslösning för företag. Microsoft Fabric omfattar allt från dataflytt till datavetenskap, realtidsanalys, business intelligence och rapportering. Lär dig hur du startar en ny utvärderingsversion kostnadsfritt!

Ett viktigt säkerhetsmål för en organisation är att skydda sina datalager från slumpmässig åtkomst via Internet, kan det vara ett lokalt eller ett Moln-/SaaS-datalager.

Vanligtvis styr ett molndatalager åtkomsten med hjälp av mekanismerna nedan:

  • Private Link från ett virtuellt nätverk till privata slutpunktsaktiverade datakällor
  • Brandväggsregler som begränsar anslutningen efter IP-adress
  • Autentiseringsmekanismer som kräver att användarna bevisar sin identitet
  • Auktoriseringsmekanismer som begränsar användare till specifika åtgärder och data

Dricks

Med introduktionen av statiska IP-adressintervall kan du nu tillåta list-IP-intervall för den specifika Azure-integrationskörningsregionen för att säkerställa att du inte behöver tillåta alla Azure IP-adresser i dina molndatalager. På så sätt kan du begränsa de IP-adresser som tillåts komma åt datalager.

Kommentar

IP-adressintervallen blockeras för Azure Integration Runtime och används för närvarande endast för dataflytt, pipeline och externa aktiviteter. Dataflöden och Azure Integration Runtime som aktiverar hanterat virtuellt nätverk använder nu inte dessa IP-intervall.

Detta bör fungera i många scenarier, och vi förstår att en unik statisk IP-adress per integreringskörning skulle vara önskvärd, men det skulle inte vara möjligt att använda Azure Integration Runtime för närvarande, som är serverlös. Om det behövs kan du alltid konfigurera en lokalt installerad integrationskörning och använda din statiska IP-adress med den.

Strategier för dataåtkomst via Azure Data Factory

  • Private Link – Du kan skapa en Azure Integration Runtime i Azure Data Factory Managed Virtual Network och använda privata slutpunkter för att på ett säkert sätt ansluta till datalager som stöds. Trafik mellan hanterat virtuellt nätverk och datakällor färdas i Microsofts stamnätverk och exponeras inte för det offentliga nätverket.
  • Betrodd tjänst – Azure Storage (Blob, ADLS Gen2) stöder brandväggskonfiguration som gör det möjligt för utvalda betrodda Azure-plattformstjänster att komma åt lagringskontot på ett säkert sätt. Betrodda tjänster tillämpar autentisering av hanterad identitet, vilket säkerställer att ingen annan datafabrik kan ansluta till den här lagringen om den inte godkänns för att göra det med hjälp av den hanterade identiteten. Mer information finns i den här bloggen. Därför är detta mycket säkert och rekommenderas.
  • Unik statisk IP-adress – Du måste konfigurera en lokalt installerad integrationskörning för att få en statisk IP-adress för Data Factory-anslutningsappar. Den här mekanismen säkerställer att du kan blockera åtkomst från alla andra IP-adresser.
  • Statiskt IP-intervall – Du kan använda Azure Integration Runtimes IP-adresser för att tillåta lista det i din lagring (till exempel S3, Salesforce osv.). Det begränsar verkligen IP-adresser som kan ansluta till datalager men som också förlitar sig på regler för autentisering/auktorisering.
  • Tjänsttagg – En tjänsttagg representerar en grupp IP-adressprefix från en viss Azure-tjänst (till exempel Azure Data Factory). Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras, vilket minimerar komplexiteten i frekventa uppdateringar av nätverkssäkerhetsregler. Det är användbart när du filtrerar dataåtkomst på IaaS-värdbaserade datalager i virtuellt nätverk.
  • Tillåt Azure-tjänster – Med vissa tjänster kan du tillåta att alla Azure-tjänster ansluter till den om du väljer det här alternativet.

Mer information om nätverkssäkerhetsmekanismer som stöds för datalager i Azure Integration Runtime och Lokalt installerad integrationskörning finns i två tabeller nedan.

  • Azure Integration Runtime

    Datalager Nätverkssäkerhetsmekanism som stöds i datalager Private Link Betrodd tjänst Statiskt IP-intervall Tjänsttaggar Tillåt Azure-tjänster
    Azure PaaS-datalager Azure Cosmos DB Ja - Ja - Ja
    Öppna Azure-datautforskaren - - Ja* Ja* -
    Azure Data Lake Gen1 - - Ja - Ja
    Azure Database for MariaDB, MySQL, PostgreSQL - - Ja - Ja
    Azure Files Ja - Ja - .
    Azure Blob Storage och ADLS Gen2 Ja Ja (endast MSI-autentisering) Ja - .
    Azure SQL DB, Azure Synapse Analytics), SQL Ml Ja (endast Azure SQL DB/DW) - Ja - Ja
    Azure Key Vault (för att hämta hemligheter/niska veze) ja Ja Ja - -
    Andra PaaS/SaaS-datalager AWS S3, SalesForce, Google Cloud Storage osv. - - Ja - -
    Snowflake Ja - Ja - -
    Azure IaaS SQL Server, Oracle osv. - - Ja Ja -
    Lokal IaaS SQL Server, Oracle osv. - - Ja - -

    *Gäller endast när Azure Data Explorer är ett virtuellt nätverk som matas in och IP-intervall kan tillämpas på NSG/Brandvägg.

  • Lokalt installerad integrationskörning (i VNet/lokalt)

    Datalager Nätverkssäkerhetsmekanism som stöds i datalager Statisk IP-adress Betrodda tjänster
    Azure PaaS-datalager Azure Cosmos DB Ja -
    Öppna Azure-datautforskaren - -
    Azure Data Lake Gen1 Ja -
    Azure Database for MariaDB, MySQL, PostgreSQL Ja -
    Azure Files Ja -
    Azure Blob Storage och ADLS Gen2 Ja Ja (endast MSI-autentisering)
    Azure SQL DB, Azure Synapse Analytics), SQL Ml Ja -
    Azure Key Vault (för att hämta hemligheter/niska veze) Ja Ja
    Andra PaaS/SaaS-datalager AWS S3, SalesForce, Google Cloud Storage osv. Ja -
    Azure laaS SQL Server, Oracle osv. Ja -
    Lokal laaS SQL Server, Oracle osv. Ja -

Mer information finns i följande relaterade artiklar: