数据访问策略

适用于:Azure 数据工厂 Azure Synapse Analytics

组织的一个重要安全目标是保护其数据存储(可以是本地或云/SaaS 数据存储),使其免于通过 Internet 进行的随机访问。

通常,云数据存储使用以下机制来控制访问:

  • 从虚拟网络到已启用专用终结点的数据源的专用链接
  • 按 IP 地址限制连接的防火墙规则
  • 要求用户证明其身份的身份验证机制
  • 将用户限制于特定操作和数据的授权机制

提示

通过 引入静态 IP 地址范围,现在可以将特定 Azure 集成运行时区域的 IP 范围列入允许列表,以确保不必允许云数据存储中的所有 Azure IP 地址。 这样,就可以限制允许访问数据存储的 IP 地址。

备注

用于 Azure Integration Runtime 的 IP 地址范围已被阻止,目前仅用于数据移动、管道和外部活动。 启用托管虚拟网络的数据流和 Azure 集成运行时现在不使用这些 IP 范围。

这应该适用于许多场景,我们知道为每个集成运行时配置唯一的静态 IP 地址会很理想,但在目前使用无服务器 Azure Integration Runtime 的情况下,这是不可能的。 如有必要,你始终可以设置自承载集成运行时并对其使用静态 IP。

通过 Azure 数据工厂的数据访问策略

  • 专用链接 - 可以在 Azure 数据工厂托管虚拟网络中创建 Azure 集成运行时,并利用专用终结点安全地连接到受支持的数据存储。 托管的虚拟网络与数据源之间的流量通过Microsoft主干网络传输,并且不对公共网络公开。
  • 受信任的服务 - Azure 存储(Blob、ADLS Gen2)和 Azure Key Vault 支持防火墙配置,使选择受信任的 Azure 平台服务能够安全地访问它们。 受信任的服务强制实施托管标识身份验证,这可以确保其他数据工厂不能连接到此存储,除非已获允使用其托管标识执行此操作。

备注

以下方案不在受信任的服务列表中:

  1. 使用自承载集成运行时或 SSIS 集成运行时
  2. 使用以下任何活动类型: > - Webhook > - 自定义 > - Azure 函数
  3. 使用以下任何连接器: > - AzureBatch > - AzureFunction > - AzureFile > - OData
  • 唯一的静态 IP - 您需要设置一个自托管的集成运行时,以便获取用于数据工厂连接器的静态 IP。 此机制可确保阻止来自其他所有 IP 地址的访问。
  • 静态 IP 范围 - 可以使用 Azure Integration Runtime 的 IP 地址将其列入存储(例如 S3、Salesforce 等)。 它肯定会限制可连接到数据存储但又依赖于身份验证/授权规则的 IP 地址。
  • 服务标记 - 服务标记是来自给定 Azure 服务(例如 Azure 数据工厂)的一组 IP 地址前缀。 Azure 会管理服务标记包含的地址前缀,并会在地址发生更改时自动更新服务标记,最大限度地降低频繁更新网络安全规则的复杂性。 如需筛选虚拟网络中 IaaS 托管数据存储上的数据访问,此方法非常有用。
  • 允许 Azure 服务 - 使用某些服务时,如果选择此选项,可以允许所有 Azure 服务连接到它。

有关 Azure Integration Runtime 和自承载集成运行时中数据存储上支持的网络安全机制的详细信息,请参阅下面两个表。

  • Azure Integration Runtime

    数据存储 数据存储上支持的网络安全机制 专用链接 受信任的服务 静态 IP 范围 服务标记 允许 Azure 服务
    Azure PaaS 数据存储 Azure Cosmos DB(Azure 宇宙数据库) - -
    Azure 数据资源管理器 - - 是* 是* -
    Azure Database for MariaDB、Azure Database for MySQL、Azure Database for PostgreSQL - - -
    Azure 文件 - -
    Azure Blob 存储和 ADLS Gen2 是(仅 MSI 身份验证) -
    Azure SQL DB、Azure Synapse Analytics、SQL Ml 是(仅 Azure SQL DB/DW) - -
    Azure Key Vault(用于提取机密/连接字符串) - -
    其他 PaaS/SaaS 数据存储 AWS S3、SalesForce、Google Cloud Storage 等。 - - - -
    雪花 - - -
    Azure IaaS SQL Server、Oracle 等。 - - -
    本地 IaaS SQL Server、Oracle 等。 - - - -

    *仅当 Azure 数据资源管理器插入虚拟网络,且 IP 范围可应用于 NSG/防火墙时适用。

  • (VNet 中的/本地的)自承载集成运行时

    数据存储 数据存储上支持的网络安全机制 静态 IP 受信任的服务
    Azure PaaS 数据存储 Azure Cosmos DB(Azure 宇宙数据库) -
    Azure 数据资源管理器 - -
    Azure Database for MariaDB、Azure Database for MySQL、Azure Database for PostgreSQL -
    Azure 文件 -
    Azure Blob 存储和 ADLS Gen2 -
    Azure SQL DB、Azure Synapse Analytics、SQL Ml -
    Azure Key Vault(用于提取机密/连接字符串) -
    其他 PaaS/SaaS 数据存储 AWS S3、SalesForce、Google Cloud Storage 等。 -
    Azure laaS SQL Server、Oracle 等。 -
    本地 laaS SQL Server、Oracle 等。 -

有关详细信息,请参阅以下相关文章: