Veri erişim stratejileri
UYGULANANLAR: Azure Data Factory Azure Synapse Analytics
İpucu
Kuruluşlar için hepsi bir arada analiz çözümü olan Microsoft Fabric'te Data Factory'yi deneyin. Microsoft Fabric , veri taşımadan veri bilimine, gerçek zamanlı analize, iş zekasına ve raporlamaya kadar her şeyi kapsar. Yeni bir deneme sürümünü ücretsiz olarak başlatmayı öğrenin!
Bir kuruluşun önemli güvenlik hedeflerinden biri, veri depolarını İnternet üzerinden rastgele erişimden korumaktır; şirket içi veya Bulut/ SaaS veri deposu olabilir.
Genellikle bulut veri deposu aşağıdaki mekanizmaları kullanarak erişimi denetler:
- Sanal Ağ Özel Uç Nokta özellikli veri kaynaklarına Özel Bağlantı
- Bağlantıyı IP adresine göre sınırlayan güvenlik duvarı kuralları
- Kullanıcıların kimliklerini kanıtlamasını gerektiren kimlik doğrulama mekanizmaları
- Kullanıcıları belirli eylemler ve verilerle kısıtlayan yetkilendirme mekanizmaları
İpucu
Statik IP adresi aralığının kullanıma sunulmasıyla birlikte, bulut veri depolarınızdaki tüm Azure IP adreslerine izin vermek zorunda olmadığınızdan emin olmak için artık belirli Azure tümleştirme çalışma zamanı bölgesi için liste IP aralıklarına izin vekleyebilirsiniz. Bu şekilde, veri depolarına erişmesine izin verilen IP adreslerini kısıtlayabilirsiniz.
Not
IP adresi aralıkları Azure Integration Runtime için engellenir ve şu anda yalnızca Veri Taşıma, işlem hattı ve dış etkinlikler için kullanılır. Yönetilen Sanal Ağ etkinleştiren veri akışları ve Azure Integration Runtime artık bu IP aralıklarını kullanmıyor.
Bu, birçok senaryoda işe yaramalıdır ve tümleştirme çalışma zamanı başına benzersiz bir Statik IP adresinin isteneceğini anlıyoruz, ancak şu anda sunucusuz olan Azure Integration Runtime kullanılarak bu mümkün olmayacaktır. Gerekirse, her zaman şirket içinde barındırılan tümleştirme çalışma zamanı ayarlayabilir ve statik IP'nizi onunla birlikte kullanabilirsiniz.
Azure Data Factory aracılığıyla veri erişim stratejileri
- Özel Bağlantı - Azure Data Factory Yönetilen Sanal Ağ içinde bir Azure Integration Runtime oluşturabilirsiniz ve desteklenen veri depolarına güvenli bir şekilde bağlanmak için özel uç noktalardan yararlanacaktır. Yönetilen Sanal Ağ ile veri kaynakları arasındaki trafik Microsoft omurga ağına gider ve genel ağa açık değildir.
- Güvenilen Hizmet - Azure Depolama (Blob, ADLS 2. Nesil), belirli güvenilen Azure platform hizmetlerinin depolama hesabına güvenli bir şekilde erişmesini sağlayan güvenlik duvarı yapılandırmasını destekler. Güvenilen Hizmetler Yönetilen Kimlik kimlik doğrulamasını zorunlu kıldığı için, yönetilen kimliği kullanarak onaylanmadığı sürece başka hiçbir veri fabrikasının bu depolamaya bağlanabileceğinden emin olur. Bu blogda daha fazla ayrıntı bulabilirsiniz. Bu nedenle, bu son derece güvenlidir ve önerilir.
- Benzersiz Statik IP - Data Factory bağlayıcıları için Statik IP almak için şirket içinde barındırılan tümleştirme çalışma zamanı ayarlamanız gerekir. Bu mekanizma, diğer tüm IP adreslerinden erişimi engellemenizi sağlar.
- Statik IP aralığı - Azure Integration Runtime'ın IP adreslerini kullanarak bunu depolama alanınızda (S3, Salesforce vb.) listelemeye izin verebilirsiniz. Veri depolarına bağlanabilen IP adreslerini kesinlikle kısıtlar, aynı zamanda Kimlik Doğrulama/Yetkilendirme kurallarına da dayanır.
- Hizmet Etiketi - Hizmet etiketi, belirli bir Azure hizmetinden (Azure Data Factory gibi) ip adresi ön ekleri grubunu temsil eder. Microsoft, hizmet etiketiyle kapsadığı adres ön eklerini yönetir ve adresler değiştikçe hizmet etiketini otomatik olarak güncelleştirir ve ağ güvenlik kurallarında sık sık yapılan güncelleştirmelerin karmaşıklığını en aza indirir. Sanal Ağ'da IaaS tarafından barındırılan veri depolarında veri erişimini filtrelerken yararlıdır.
- Azure Hizmetlerine İzin Ver - Bazı hizmetler, bu seçeneği belirlemeniz durumunda tüm Azure hizmetlerinin bağlanmasına izin vermenizi sağlar.
Azure Integration Runtime ve Şirket İçinde Barındırılan Tümleştirme Çalışma Zamanı'ndaki veri depolarında desteklenen ağ güvenlik mekanizmaları hakkında daha fazla bilgi için aşağıdaki iki tabloya bakın.
Azure Integration Runtime
Veri Depoları Veri Depolarında Desteklenen Ağ Güvenlik Mekanizması Özel Bağlantı Güvenilen Hizmet Statik IP aralığı Hizmet Etiketleri Azure Hizmetleri'ne izin ver Azure PaaS Veri depoları Azure Cosmos DB Yes - Evet - Yes Azure Veri Gezgini - - Evet* Evet* - Azure Data Lake 1. Nesil - - Yes - Yes MariaDB için Azure Veritabanı, MySQL, PostgreSQL - - Yes - Yes Azure Dosyaları Yes - Yes - . Azure Blob depolama ve ADLS 2. Nesil Yes Evet (yalnızca MSI kimlik doğrulaması) Yes - . Azure SQL DB, Azure Synapse Analytics), SQL Ml Evet (yalnızca Azure SQL DB/DW) - Yes - Yes Azure Key Vault (gizli dizileri/ bağlantı dizesi getirmek için) evet Evet Yes - - Diğer PaaS/ SaaS Veri depoları AWS S3, SalesForce, Google Cloud Storage vb. - - Yes - - Snowflake Yes - Yes - - Azure IaaS SQL Server, Oracle vb. - - Yes Yes - Şirket içi IaaS SQL Server, Oracle vb. - - Yes - - *Yalnızca Azure Veri Gezgini sanal ağ eklendiğinde ve IP aralığı NSG/Güvenlik Duvarı'nda uygulanabilir.
Şirket içinde barındırılan Tümleştirme Çalışma Zamanı (VNet'te/şirket içinde)
Veri Depoları Veri Depolarında Desteklenen Ağ Güvenlik Mekanizması Statik IP Güvenilen Hizmetler Azure PaaS Veri depoları Azure Cosmos DB Yes - Azure Veri Gezgini - - Azure Data Lake 1. Nesil Yes - MariaDB için Azure Veritabanı, MySQL, PostgreSQL Yes - Azure Dosyaları Yes - Azure Blob depolama ve ADLS 2. Nesil Yes Evet (yalnızca MSI kimlik doğrulaması) Azure SQL DB, Azure Synapse Analytics), SQL Ml Yes - Azure Key Vault (gizli dizileri/ bağlantı dizesi getirmek için) Yes Yes Diğer PaaS/ SaaS Veri depoları AWS S3, SalesForce, Google Cloud Storage vb. Yes - Azure laaS SQL Server, Oracle vb. Yes - Şirket içi laaS SQL Server, Oracle vb. Yes -
İlgili içerik
Daha fazla bilgi için aşağıdaki ilgili makalelere bakın: