從Azure磚安全地訪問Azure數據源

Azure磚是一個統一的數據分析平台,是微軟Azure雲的一部分。Beplay体育安卓版本建立在的基礎三角洲湖,MLFlow,考拉和Apache火花Azure磚是第一方服務微軟Azure雲提供一鍵設置,本機與其他Azure服務集成,互動工作區,權力和企業級安全數據& AI用例為小型到大型全球客戶。beplay体育app下载地址平台支持Beplay体育安卓版本不同的數據之間的真正的協作角色在任何企業,像數據工程師、科學家、數據分析師和SecOps /雲工程。

在這個博客是第一個在一係列的2,我們將概述Azure磚結構和客戶如何連接到他們的自身管理Azure的實例數據服務以一種安全的方式。beplay体育app下载地址

Azure磚體係結構概述

Azure磚是一種管理應用程序在Azure雲。在高層,建築由一個控製/管理平麵和數據平麵。控製平麵駐留在Microsoft-managed訂閱和房屋等服務的web應用程序中,集群管理器、服務等工作。在默認的部署,數據平麵是一個完全托管組件包括在客戶的訂閱聯接,核供應國集團和一個根存儲賬戶稱為DBFS。

數據平麵也可以部署在一個customer-managed聯接,允許SecOps和雲工程團隊構建安全與服務的網絡體係結構按照其企業治理策略。此功能稱為把自己的聯接或聯接注入。這張照片展示了這樣的客戶代表視圖的體係結構。

安全連接到Azure數據服務

企業安全是構建軟件的核心原則在磚和微軟,因此它被認為是作為一個一流的公民在Azure磚。在這個博客的背景下,安全連通性是指確保交通從Azure磚到Azure數據服務仍在Azure網絡骨幹,與白名單Azure磚作為一個固有的能力允許源。作為一個安全最佳實踐,我們建議幾個選擇,客戶可以用來建立這樣一個數據訪問機製Azure數據服務beplay体育app下载地址Azure Blob存儲,Azure數據存儲Gen2湖,Azure突觸數據倉庫,Azure CosmosDB等等。請閱讀進一步討論Azure私人聯係和服務端點。

選項1:Azure私人聯係

最安全的方式來訪問Azure從Azure磚是通過配置的數據服務私人聯係。——按Azure文檔私人關係使您能夠訪問Azure PaaS服務(例如,Azure存儲Azure宇宙DB,SQL數據庫)和Azure托管客戶/合作夥伴服務私人端點在你的虛擬網絡。之間的交通虛擬網絡微軟網絡骨幹和服務遍曆,消除從公共網絡曝光。你也可以創建你自己的私人聯係服務在你的虛擬網絡(聯接)和提供私人客戶。beplay体育app下载地址設置使用Azure和消費體驗在Azure PaaS私人關係是一致的,客戶擁有的,和共享的合作夥伴服務。詳情,請參閱。

見下文如何Azure磚和私人的鏈接可以一起使用。

Azure磚和Azure數據服務私人的端點在單獨的聯接

Azure磚和Azure數據服務的私人端點相同的聯接

私人端點的考慮

前請考慮以下實施私人端點:

• 在默認情況下提供保護數據漏出。在Azure磚的情況下,這將適用於一次客戶白名單到特定服務的訪問控製飛機。
• 交通在Azure網絡骨幹我。e公共網絡不用於任何數據流。
• 擴展您的私有網絡地址空間Azure數據服務,即Azure數據服務有效地獲得私有IP在你的一個聯接,可以被視為私有網絡的一部分。
• 私下裏連接到Azure數據服務在其它地區即VNET地區可以連接端點區域B通過私人聯係。
• 私人聯係相對更複雜的設置與其他安全訪問機製。
• 看到的文檔私人的詳細列表鏈接福利和服務特定的可用性。

中,有人可能會使用私有鏈接的一個例子是當客戶使用幾個Azure數據服務在生產以及Azure磚,諸如Blob存儲、ADLS Gen2, SQL數據庫等業務希望用戶查詢從ADLS Gen2蒙麵聚合數據,但限製他們正在揭露機密數據在其他數據源。在這種情況下,私人端點隻能建立ADLS Gen2服務使用任何上述推薦。

這是這樣一個環境中可以配置:

1 -設置為ADLS Gen2私人鏈接

2 -部署Azure VNET磚

請注意,可以配置多個私人鏈接每Azure數據服務,它允許您構建一個架構,符合企業的治理需求。

選項2:Azure虛擬網絡服務端點

根據Azure文檔,虛擬網絡(聯接)擴展你的服務端點虛擬網絡私有地址空間。端點也延長你的聯接的身份Azure服務直接連接。端點允許你安全的關鍵Azure服務資源,隻有你虛擬網絡。交通從你的聯接Azure服務總是在微軟Azure網絡骨幹。

服務端點提供以下好處(源):

改進的安全性為你Azure服務資源

私有地址空間為不同的虛擬網絡可以互相重疊。你不能用重疊網絡空間來唯一地標識流量來源於特定的聯接。一旦服務端點支持子網聯接,您可以添加一個虛擬網絡防火牆規則來確保Azure數據服務通過擴展你的聯接身份這些資源。這樣的配置可以幫助消除公共訪問這些資源,隻允許交通聯接。

最優路由Azure數據服務交通從你虛擬網絡

今天,任何線路聯接,用於直接公共網絡流量通過雲/ on-premises-based虛擬設備也用於Azure服務流量數據。Azure交通服務端點提供最優路由。

保持交通在Azure上網絡骨幹

服務端點總是直接Azure服務流量數據直接從您的聯接到資源在微軟Azure網絡骨幹。保持交通在Azure上網絡骨幹允許你繼續審計和監控海外網絡流量從你的虛擬網絡,通過forced-tunneling,而不影響交通數據服務。關於用戶定義的路線和forced-tunneling的更多信息,請參閱Azure虛擬網絡流量路由。

簡單的設置沒有管理開銷

你不再需要保留,公共IP地址在虛擬網絡通過IP防火牆安全Azure數據服務資源。沒有網絡地址轉換(NAT)或網關設備需要設置服務端點。您可以配置服務端點通過一個簡單的設置子網。沒有額外開銷維護端點。

Azure服務端點Azure的磚

Azure服務端點的考慮

實現服務端點前請考慮以下:

• 默認不提供保護數據漏出。
• 交通在Azure網絡骨幹我。e公共網絡不用於任何數據流。
• 不延長你的私有網絡地址空間Azure數據服務。
• 不能連接私下Azure在其他地區(除了數據服務成對的地區)。
• 看到的文檔詳細清單Azure服務端點的好處和局限性。

以同樣的例為私人鏈接,正如上麵提到的,以及它如何與服務端點可能看起來像。在這種情況下,Azure存儲服務端點可以配置在Azure磚子網和相同的子網可以白名單ADLS代防火牆規則。

這是這樣一個環境中可以配置:

1 -設置服務端點ADLS代

2 -部署Azure VNET磚

3 -上配置IP防火牆規則ADLS代

開始使用Azure數據訪問安全

我們討論了幾個選擇安全地訪問Azure數據服務從Azure磚環境。根據您的業務細節,您可以使用Azure私人鏈接或虛擬網絡服務端點。一旦完成網絡連接的方法,你可以使用安全的身份驗證方法連接到這些資源:

• 請訪問Azure磚文檔特定的數據來源。
• 考慮使用秘密隱藏任何憑證。
• 在可能的情況下,使用Azure廣告訪問ADLS Gen2憑據透傳。

在本係列的下一篇博客中,我們將深入一個如何設置一個沉默寡言的鎖定環境以防止數據漏出(換句話說,實現預防數據丟失體係結構)。它將利用混合了以上的選項和討論Azure防火牆。請伸出你的微軟或磚賬戶團隊對於任何問題。