适用于:Azure 数据工厂
Azure Synapse Analytics
组织的一个重要安全目标是保护其数据存储(可以是本地或云/SaaS 数据存储),使其免于通过 Internet 进行的随机访问。
通常,云数据存储使用以下机制来控制访问:
- 从虚拟网络到已启用专用终结点的数据源的专用链接
- 按 IP 地址限制连接的防火墙规则
- 要求用户证明其身份的身份验证机制
- 将用户限制于特定操作和数据的授权机制
Tip
通过 引入静态 IP 地址范围,现在可以将特定 Azure 集成运行时区域的 IP 范围列入允许列表,以确保不必允许云数据存储中的所有 Azure IP 地址。 这样,就可以限制允许访问数据存储的 IP 地址。
Note
用于 Azure Integration Runtime 的 IP 地址范围已被阻止,目前仅用于数据移动、管道和外部活动。 启用托管虚拟网络的数据流和 Azure 集成运行时现在不使用这些 IP 范围。
这应该适用于许多场景,我们知道为每个集成运行时配置唯一的静态 IP 地址会很理想,但在目前使用无服务器 Azure Integration Runtime 的情况下,这是不可能的。 如有必要,你始终可以设置自承载集成运行时并对其使用静态 IP。
通过 Azure 数据工厂的数据访问策略
- 专用链接 - 可以在 Azure 数据工厂托管虚拟网络中创建 Azure 集成运行时,并利用专用终结点安全地连接到受支持的数据存储。 托管的虚拟网络与数据源之间的流量通过Microsoft主干网络传输,并且不对公共网络公开。
- 受信任的服务 - Azure 存储(Blob、ADLS Gen2)和 Azure Key Vault 支持防火墙配置,使选择受信任的 Azure 平台服务能够安全地访问它们。 受信任的服务强制实施托管标识身份验证,这可以确保其他数据工厂不能连接到此存储,除非已获允使用其托管标识执行此操作。
Note
以下方案不在受信任的服务列表中:
- 使用自承载集成运行时或 SSIS 集成运行时
- 使用以下任何活动类型: > - Webhook > - 自定义 > - Azure 函数
- 使用以下任何连接器: > - AzureBatch > - AzureFunction > - AzureFile > - OData
- 唯一的静态 IP - 您需要设置一个自托管的集成运行时,以便获取用于数据工厂连接器的静态 IP。 此机制可确保阻止来自其他所有 IP 地址的访问。
- 静态 IP 范围 - 可以使用 Azure Integration Runtime 的 IP 地址将其列入存储(例如 S3、Salesforce 等)。 它肯定会限制可连接到数据存储但又依赖于身份验证/授权规则的 IP 地址。
- 服务标记 - 服务标记是来自给定 Azure 服务(例如 Azure 数据工厂)的一组 IP 地址前缀。 Azure 会管理服务标记包含的地址前缀,并会在地址发生更改时自动更新服务标记,最大限度地降低频繁更新网络安全规则的复杂性。 如需筛选虚拟网络中 IaaS 托管数据存储上的数据访问,此方法非常有用。
- 允许 Azure 服务 - 使用某些服务时,如果选择此选项,可以允许所有 Azure 服务连接到它。
有关 Azure Integration Runtime 和自承载集成运行时中数据存储上支持的网络安全机制的详细信息,请参阅下面两个表。
Azure Integration Runtime
Data Stores 数据存储上支持的网络安全机制 专用链接 Trusted Service 静态 IP 范围 Service Tags 允许 Azure 服务 Azure PaaS 数据存储 Azure Cosmos DB Yes - Yes - Yes Azure 数据资源管理器 - - Yes* Yes* - Azure Database for MariaDB、Azure Database for MySQL、Azure Database for PostgreSQL - - Yes - Yes Azure 文件存储 Yes - Yes - . Azure Blob 存储和 ADLS Gen2 Yes 是(仅 MSI 身份验证) Yes - . Azure SQL DB、Azure Synapse Analytics、SQL Ml 是(仅 Azure SQL DB/DW) - Yes - Yes Azure Key Vault(用于提取机密/连接字符串) yes Yes Yes - - 其他 PaaS/SaaS 数据存储 AWS S3、SalesForce、Google Cloud Storage 等。 - - Yes - - Snowflake Yes - Yes - - Azure IaaS SQL Server、Oracle 等。 - - Yes Yes - On-premises IaaS SQL Server、Oracle 等。 - - Yes - - *仅当 Azure 数据资源管理器插入虚拟网络,且 IP 范围可应用于 NSG/防火墙时适用。
(VNet 中的/本地的)自承载集成运行时
Data Stores 数据存储上支持的网络安全机制 Static IP Trusted Services Azure PaaS 数据存储 Azure Cosmos DB Yes - Azure 数据资源管理器 - - Azure Database for MariaDB、Azure Database for MySQL、Azure Database for PostgreSQL Yes - Azure 文件存储 Yes - Azure Blob 存储和 ADLS Gen2 Yes - Azure SQL DB、Azure Synapse Analytics、SQL Ml Yes - Azure Key Vault(用于提取机密/连接字符串) Yes - 其他 PaaS/SaaS 数据存储 AWS S3、SalesForce、Google Cloud Storage 等。 Yes - Azure laaS SQL Server、Oracle 等。 Yes - On-premises laaS SQL Server、Oracle 等。 Yes -
Related content
有关详细信息,请参阅以下相关文章: