Strategie di accesso ai dati

SI APPLICA A: Azure Data Factory Azure Synapse Analytics

Un obiettivo di sicurezza fondamentale di un'organizzazione è proteggere i propri archivi dati da accessi casuali tramite Internet, potrebbe trattarsi di un archivio dati locale o Cloud/SaaS.

In genere, un archivio dati cloud controlla l'accesso mediante i meccanismi seguenti:

• Collegamento Privato da una rete virtuale a origini dati con endpoint privato abilitato
• Regole del firewall che limitano la connettività in base all'indirizzo IP.
• Meccanismi di autenticazione che richiedono all'utente di dimostrare la propria identità.
• Meccanismi di autorizzazione che limitano l'accesso degli utenti ad azioni e dati specifici

In questo modo dovrebbe essere coperta la maggior parte degli scenari e, sebbene sia preferibile avere un unico indirizzo IP statico per il runtime di integrazione, attualmente non sarebbe possibile poiché Azure Integration Runtime è serverless. Se necessario, è sempre possibile configurare un runtime di integrazione autogestito e utilizzare l'indirizzo IP statico.

Strategie di accesso ai dati tramite Azure Data Factory

• Collegamento privato : è possibile creare un runtime di integrazione di Azure all'interno della rete virtuale gestita di Azure Data Factory e sfrutta gli endpoint privati per connettersi in modo sicuro agli archivi dati supportati. Il traffico tra la rete virtuale gestita e le origini dati attraversa la rete backbone Microsoft e non è esposto alla rete pubblica.
• Servizio attendibile - Archiviazione di Azure (BLOB, ADLS Gen2) e Azure Key Vault supportano la configurazione del firewall che consente di selezionare servizi della piattaforma Azure attendibili per accedervi in modo sicuro. Trusted Services applica l'autenticazione dell'identità gestita, che garantisce che nessun'altra data factory possa connettersi a questa risorsa di archiviazione, a meno che non sia approvata per farlo usando l'identità gestita.

• IP statico univoco : è necessario configurare un runtime di integrazione self-hosted per ottenere un indirizzo IP statico per i connettori di Data Factory. Questo meccanismo offre la possibilità di bloccare l'accesso da qualsiasi altro indirizzo IP.
• Intervallo di indirizzi IP statici — è possibile usare gli indirizzi IP del runtime di integrazione di Azure per consentire l'inserimento nell'archiviazione (ad esempio S3, Salesforce, eccetera). Questa strategia non solo limita il numero di indirizzi IP che possono connettersi agli archivi dati, ma si basa anche sulle regole di autenticazione/autorizzazione.
• Tag di servizio: un tag di servizio rappresenta un gruppo di prefissi di indirizzi IP di un determinato servizio di Azure, ad esempio Azure Data Factory. Microsoft gestisce i prefissi di indirizzo inclusi nel tag del servizio e aggiorna automaticamente il tag in base alla modifica degli indirizzi, riducendo la complessità degli aggiornamenti frequenti alle regole di sicurezza di rete. È utile quando si filtra l'accesso ai dati negli archivi dati ospitati IaaS nella rete virtuale.
• Consenti Servizi di Azure: alcuni servizi offrono la possibilità di autorizzare tutti i servizi di Azure a connettersi (scegliendo questa opzione).

Per ulteriori informazioni sui meccanismi di sicurezza di rete supportati negli archivi dati in Azure Integration Runtime e Integration Runtime indipendenti, vedere le due tabelle seguenti.

• Runtime di integrazione di Azure

  Archivi di dati	Meccanismo di sicurezza di rete supportato negli archivi dati	Collegamento privato	Servizio attendibile	Intervallo IP statico	Tag di servizio	Consenti Servizi di Azure
  Archivi dati Azure PaaS	Azure Cosmos DB, un servizio di database distribuito globale di Microsoft	Sì	-	Sì	-	Sì
  	Esplora dati di Azure	-	-	Sì*	Sì*	-
  	Azure Data Lake Gen1	-	-	Sì	-	Sì
  	Database di Azure per MariaDB, MySQL, PostgreSQL	-	-	Sì	-	Sì
  	File di Azure	Sì	-	Sì	-	.
  	Archiviazione BLOB di Azure e ADLS Gen2	Sì	Sì (solo autenticazione MSI)	Sì	-	.
  	Database SQL di Azure, Azure Synapse Analytics), SQL Ml	Sì (solo database SQL di Azure/DW)	-	Sì	-	Sì
  	Azure Key Vault (per il recupero di segreti/stringa di connessione)	sì	Sì	Sì	-	-
  Altri archivi dati PaaS/SaaS	AWS S3, SalesForce, Google Cloud Storage, ecc.	-	-	Sì	-	-
  	Fiocco di neve	Sì	-	Sì	-	-
  Azure IaaS	SQL Server, Oracle, ecc.	-	-	Sì	Sì	-
  IaaS in sede	SQL Server, Oracle, ecc.	-	-	Sì	-	-

  *Applicabile solo se Esplora dati di Azure è inserito in una rete virtuale ed è possibile applicare l'intervallo di indirizzi IP al gruppo di sicurezza di rete/firewall.

• Runtime di integrazione self-hosted (in rete virtuale/locale)

  Archivi di dati	Meccanismo di sicurezza di rete supportato negli archivi dati	Indirizzo IP statico	Servizi attendibili
  Archivi dati Azure PaaS	Azure Cosmos DB, un servizio di database distribuito globale di Microsoft	Sì	-
  	Esplora dati di Azure	-	-
  	Azure Data Lake Gen1	Sì	-
  	Database di Azure per MariaDB, MySQL, PostgreSQL	Sì	-
  	File di Azure	Sì	-
  	Archiviazione BLOB di Azure e ADLS Gen2	Sì	-
  	Database SQL di Azure, Azure Synapse Analytics), SQL Ml	Sì	-
  	Azure Key Vault (per il recupero di segreti/stringa di connessione)	Sì	-
  Altri archivi dati PaaS/SaaS	AWS S3, SalesForce, Google Cloud Storage, ecc.	Sì	-
  Azure IaaS	SQL Server, Oracle, ecc.	Sì	-
  LaaS locale	SQL Server, Oracle, ecc.	Sì	-

Contenuto correlato

Per altre informazioni, vedere gli articoli correlati seguenti:

• Archivi dati supportati
• Servizi attendibili di Azure Key Vault
• "Servizi Microsoft attendibili" di Archiviazione di Azure
• Identità gestita per Data Factory