Azure 数据工厂是一种基于云的数据集成服务,可用于创建用于协调和自动化数据移动和数据转换的工作流。 保护 Azure 数据工厂对于保护敏感数据、确保合规性和维护数据工作流的完整性至关重要。
本文提供有关如何最好地保护 Azure 数据工厂部署的指导。
Network security
网络安全对于保护 Azure 数据工厂免受未经授权的访问和潜在威胁以及保护移动中的数据至关重要。 实施可靠的网络安全措施有助于隔离和保护数据集成过程。
- 使用虚拟网络(VNet)隔离和分段工作负荷:使用 VNet 为数据工厂和数据源创建隔离的网络环境,从而根据风险对工作负荷进行分段。 VNet 有助于控制云基础结构中的流量。 根据您所处的源位置,请查看:
使用网络安全组(NSG)控制流量流:目前,这仅适用于 SSIS 集成运行时和虚拟网络的自承载集成运行时,不适用于托管虚拟网络。 应用 NSG 来控制 VNet 中虚拟机和子网的入站和出站流量。 使用“默认拒绝,允许例外”方法来限制流量流和保护敏感资源。 如果已将 Azure 数据工厂加入虚拟网络,则默认情况下,在 Azure 数据工厂自动创建的 NSG 上,端口 3389 将打开所有流量。 将此端口锁定,确保只有管理员才有访问权限。 若要管理 NSG,请参阅 网络安全组。
使用 TLS/SSL 证书从 Intranet 启用远程访问来保护自承载集成运行时节点 - 可以部署多个自承载集成运行时节点来平衡负载并提供高可用性,并通过 TLS/SSL 证书从 Intranet 启用远程访问可确保集成运行时节点之间的安全通信。
使用私有链接保护服务访问权限:通过自托管集成运行时以及Azure平台资源安全连接到Azure数据工厂,从而防止暴露到公网互联网。 这将增强数据隐私并减少攻击途径。 通过使用 Azure 专用链接,可以通过专用终结点连接到 Azure 中各种平台即服务(PaaS)部署。 请参阅 数据工厂的 Azure 专用链接。
Identity management
标识管理可确保只有经过授权的用户和服务才能访问 Azure 数据工厂。 实施强标识管理做法有助于防止未经授权的访问和保护敏感数据。
应用最低特权原则:使用 Azure 数据工厂的基于角色的访问控制(RBAC)为用户和服务分配最低必要权限,确保他们仅有权访问执行其职责所需的权限。 定期评审和调整角色,以符合最低特权原则。 请参阅 Azure 数据工厂中的角色和权限。
在不使用凭据的情况下使用托管标识进行安全访问:在 Azure 中使用托管标识通过 Azure 服务安全地对 Azure 数据工厂进行身份验证,而无需管理凭据。 这提供了访问 Azure Key Vault 或 Azure SQL 数据库等资源的安全和简化方法。 请参阅 Azure 数据工厂的托管标识。
Data protection
实施可靠的数据保护措施有助于保护敏感信息并符合法规要求。 Azure 数据工厂不存储数据本身,因此实现 网络安全 和 标识管理 对于保护传输中的数据至关重要。 但是,可以使用某些工具和做法进一步保护处理中的数据。
加密静态数据和传输中的数据:Azure 数据工厂对静态数据进行加密,包括实体定义以及运行过程中缓存的任何数据。 默认情况下,数据使用随机生成的 Azure 托管密钥进行加密,该密钥唯一分配给数据工厂。 为了获得额外的安全保证,现在可以通过 Azure 数据工厂客户管理的密钥功能启用“创建自己的密钥”(BYOK)。 请参阅 使用客户管理的密钥加密 Azure 数据工厂
限制凭据和机密的公开:使用 Azure Key Vault 安全地存储和管理敏感信息,例如连接字符串、机密和证书。 将 Azure 数据工厂与 Azure Key Vault 集成,在运行时检索机密,确保敏感数据不会在管道或数据集中硬编码。 请参阅 Azure Key Vault 与数据工厂的集成。
使用 Azure Policy 强制实施数据保护标准:应用 Azure Policy 以在整个 Azure 数据工厂部署中强制实施数据保护标准。 这有助于确保符合组织和法规要求。 请参阅 数据工厂的 Azure Policy 内置定义。
Related content
- 有关基于方案的安全注意事项,请参阅 Azure 数据工厂的安全注意事项。