Azure Synapse Analytics 安全白皮书:简介

摘要:Azure Synapse Analytics 是 Microsoft 的一种无限分析平台,它将企业数据仓库和大数据处理集成到单一托管环境中,无需系统集成。 Azure Synapse 为分析生命周期提供端到端工具,其中包括:

Azure Synapse 数据安全和隐私不容协商。 本白皮书的目的是提供 Azure Synapse 安全功能的全面概述,这些功能是企业级的,并且是行业领先的。 本白皮书包含一系列文章,涵盖以下五个安全层面:

  • 数据保护
  • 访问控制
  • 身份验证
  • 网络安全性
  • 威胁防护

本白皮书面向所有企业安全利益干系人。 其中包括安全管理员、网络管理员、Azure 管理员、工作区管理员和数据库管理员。

作者:Vengatesh Parasuraman、Fretz Nuson、Ron Dunn、Khendr'a Reid、John Hoang、Nithesh Krishnappa、Mykola Kovalenko、Brad Schacht、Pedro Martinez、Mark Pryce-Maher 和 Arshad Ali。

技术审阅者:Nandita Valsan、Rony Thomas、Abhishek Narain、Daniel Crawford 和 Tammy Richter Jones。

适用于:Azure Synapse Analytics、专用 SQL 池(以前称为 SQL DW)、无服务器 SQL 池和 Apache Spark 池。

重要

本白皮书不适用于 Azure SQL 数据库、Azure SQL 托管实例、Azure 机器学习或 Azure Databricks。

简介

频繁出现的数据泄露、恶意软件感染和恶意代码注入的头条新闻,是寻求云现代化的公司所关注的广泛安全问题之一。 企业客户需要可以解决这些问题的云提供商或服务解决方案,因为他们承担不起犯错的代价。

一些常见的安全问题包括:

  • 如何控制谁可以查看哪些数据?
  • 用于验证用户身份的选项有哪些?
  • 如何保护我的数据?
  • 可使用哪些网络安全技术来保护网络和数据的完整性、机密性和访问?
  • 哪些工具可以检测威胁并发出通知?

本白皮书的目的是解答这些常见安全问题以及许多其他问题。

组件体系结构

Azure Synapse 是平台即服务 (PaaS) 分析服务,汇集了多个独立组件,例如专用 SQL 池、无服务器 SQL 池、Apache Spark 池和数据集成管道。 这些组件旨在协同工作以提供无缝的分析平台体验。

专用SQL池是预配群集,为 SQL 工作负荷提供企业数据仓库功能。 数据引入到由 Azure 存储提供支持的托管存储中,Azure 存储也是一项 PaaS 服务。 计算独立于存储,使客户的计算缩放能独立于数据。 使用专用 SQL 池,还可以通过使用外部表直接查询客户管理的 Azure 存储帐户中的数据文件。

无服务器 SQL 池是按需群集,提供一个 SQL 接口,可直接通过客户管理的 Azure 存储帐户查询和分析数据。 因为存在无服务器的特点,所以没有托管存储,计算节点也能自动缩放以响应查询工作负荷。

Azure Synapse 中的 Apache Spark 是开放源 Apache Spark 在云中的一种 Azure 实现。 Spark 实例是根据 Spark 池中定义的元数据配置按需预配的。 每个用户都获取自己的专用 Spark 实例,用于运行作业。 Spark 实例处理的数据文件由客户在其自己的 Azure 存储帐户中管理。

管道是大规模执行数据移动和数据转换的活动的逻辑分组。 数据流是使用低代码用户界面开发的管道中的转换活动。 它可以大规模执行数据转换。 在后台,数据流使用 Azure Synapse的 Apache Spark 群集来执行自动生成的代码。 管道和数据流是仅限计算的服务,并且它们没有任何与之关联的托管存储。

管道将集成运行时 (IR) 用作可缩放的计算基础结构,以执行数据移动和调度活动。 数据移动活动在 IR 上运行,而调度活动在各种其他计算引擎上运行,包括 Azure SQL 数据库、Azure HDInsight、Azure Databricks、Azure Synapse 的 Apache Spark 群集等。 Azure Synapse 支持两种类型的 IR:Azure Integration Runtime和自承载集成运行时。 Azure IR 提供完全托管、可缩放和按需计算基础结构。 自承载 IR 由客户在其自己的网络中(在本地计算机或 Azure 云虚拟机中)安装和配置。

客户可以选择将其 Synapse 工作区与托管工作区虚拟网络相关联。 与托管工作区虚拟网络关联时,管道、数据流和 Apache Spark 池使用的 Azure IR 和 Apache Spark 群集会部署在托管工作区虚拟网络中。 此设置可确保管道和 Apache Spark 工作负载的工作区之间的网络隔离。

下图展示了 Azure Synapse 的各种组件。

Azure Synapse 组件图,显示专用 SQL 池、无服务器 SQL 池、Apache Spark 池和管道。

组件隔离

该示意图中描述的 Azure Synapse 的每个单独组件都提供自己的安全功能。 安全功能提供数据保护、访问控制、身份验证、网络安全和威胁防护,以保护计算和已处理的相关数据。 此外,Azure 存储是 PaaS 服务,能提供自身的附加安全性,由客户在自己的存储帐户中设置和管理。 如果任一组件组件中存在安全漏洞,此级别的组件隔离会限制并最大程度地减少数据泄露。

安全层

Azure Synapse 实施多层安全体系结构,为数据提供端到端的保护。 有五层:

  • 数据保护,用于识别和分类敏感数据,并对静态数据和动态数据进行加密
  • 访问控制,用于确定用户与数据交互的权限
  • 身份验证,用于证明用户和应用程序的身份
  • 网络安全,用于将网络流量与专用终结点和虚拟专用网络隔离开来
  • 威胁防护,用于识别潜在的安全威胁,例如异常访问位置、SQL 注入攻击、身份验证攻击等

此图显示 Azure Synapse 安全体系结构的五个层:数据保护、访问控制、身份验证、网络安全和威胁防护。

后续步骤

在本白皮书系列的下一篇文章中,了解数据保护。