Vysvětlení možností zabezpečení sítě pro Azure Synapse Analytics

  • 5 min

Existuje řada kroků zabezpečení sítě, které byste měli zvážit při zabezpečení služby Azure Synapse Analytics. Jedním z prvních aspektů, které budete zvážit, je zabezpečení přístupu k samotné službě. Toho lze dosáhnout vytvořením následujících síťových objektů, mezi které patří:

  • Pravidla brány firewall
  • Virtuální sítě
  • Privátní koncové body

Pravidla brány firewall

Pravidla brány firewall umožňují definovat typ provozu, který je povolený nebo odepřený přístup k pracovnímu prostoru Azure Synapse pomocí původní IP adresy klienta, který se pokouší získat přístup k pracovnímu prostoru Azure Synapse. Pravidla brány firewall protokolu IP nakonfigurovaná na úrovni pracovního prostoru platí pro všechny veřejné koncové body pracovního prostoru, včetně vyhrazených fondů SQL, bezserverového fondu SQL a vývojového koncového bodu.

Při vytváření pracovních prostorů Azure Synapse můžete povolit připojení ze všech IP adres, i když to nedoporučujeme, protože neumožňuje řídit přístup k pracovnímu prostoru. Místo toho můžete na webu Azure Portal nakonfigurovat konkrétní rozsahy IP adres a přidružit je k názvu pravidla, abyste měli větší kontrolu.

Konfigurace nastavení brány firewall na webu Azure Portal

Ujistěte se, že brána firewall ve vaší síti i na místním počítači umožňuje pro funkci Synapse Studio odchozí komunikaci na portech TCP 80, 443 a 1443.

Musíte také povolit odchozí komunikaci na portu UDP 53 pro Synapse Studio. Pokud se chcete připojovat pomocí nástrojů, jako jsou aplikace SSMS nebo Power BI, je potřeba povolit odchozí komunikaci na portu TCP 1433.

Virtuální sítě

Azure Virtual Network (VNet) umožňuje privátní sítě v Azure. Virtuální síť umožňuje mnoho typů prostředků Azure, jako je Azure Synapse Analytics, bezpečně komunikovat s jinými virtuálními sítěmi, internetem a místními sítěmi. Když vytvoříte pracovní prostor Azure Synapse, můžete ho přidružit k virtuální síti Microsoft Azure. Virtuální síť přidružená k vašemu pracovnímu prostoru je spravovaná službou Azure Synapse. Tato virtuální síť se nazývá Virtuální síť spravovaného pracovního prostoru.

Použití virtuální sítě spravovaného pracovního prostoru poskytuje následující výhody:

  • Pomocí služby Virtual Network spravovaného pracovního prostoru můžete přesměrovat zátěž správy virtuální sítě do Azure Synapse.
  • Nemusíte konfigurovat příchozí pravidla NSG ve vašich vlastních virtuálních sítích, aby provoz správy služby Azure Synapse umožňoval vstup do vaší virtuální sítě. Chybná konfigurace těchto pravidel NSG způsobí přerušení služeb pro zákazníky.
  • Pro clustery Spark nemusíte vytvářet podsíť na základě zatížení ve špičce.
  • Virtuální síť spravovaného pracovního prostoru spolu se spravovanými privátními koncovými body chrání před exfiltrací dat. Spravované privátní koncové body můžete vytvořit pouze v pracovním prostoru, který má přidruženou spravovanou virtuální síť pracovního prostoru.
  • zajišťuje, že je váš pracovní prostor izolovaný od jiných pracovních prostorů.

Pokud má váš pracovní prostor spravovanou virtuální síť pracovního prostoru, nasadí se v něm integrace dat a prostředky Sparku. Virtuální síť spravovaného pracovního prostoru také poskytuje izolaci na úrovni uživatele pro aktivity Sparku, protože každý cluster Spark je ve své vlastní podsíti.

Vyhrazený fond SQL a bezserverový fond SQL jsou funkcemi s více tenanty, a proto se nacházejí mimo službu Virtual Network spravovaného pracovního prostoru. Komunikace uvnitř pracovního prostoru s vyhrazeným fondem SQL a bezserverovým fondem SQL používá privátní propojení Azure. Tyto privátní propojení se automaticky vytvoří za vás při vytváření pracovního prostoru s přidruženou službou Virtual Network spravovaného pracovního prostoru.

Při vytváření pracovních prostorů Azure Synapse můžete povolit jenom spravované virtuální sítě.

Povolení spravované virtuální sítě při vytváření pracovního prostoru Azure Synapse

Privátní koncové body

Azure Synapse Analytics umožňuje připojit své různé komponenty prostřednictvím koncových bodů. Spravované privátní koncové body můžete nastavit pro přístup k těmto komponentám zabezpečeným způsobem označovaným jako privátní propojení. Toho lze dosáhnout pouze v pracovním prostoru Azure Synapse s virtuální sítí spravovaného pracovního prostoru. Private Link umožňuje bezpečně přistupovat ke službám Azure (například Azure Storage a Azure Cosmos DB) a službám hostovaným zákazníkům a partnerům Azure z vaší virtuální sítě Azure.

Když používáte privátní propojení, provoz mezi vaší virtuální sítí a pracovním prostorem prochází zcela přes páteřní síť Microsoftu. Private Link chrání před riziky exfiltrace dat. Privátní propojení s prostředkem vytvoříte vytvořením privátního koncového bodu.

Privátní koncový bod používá privátní IP adresu z vaší virtuální sítě k efektivnímu přenesení služby do vaší virtuální sítě. Privátní koncové body se mapují na konkrétní prostředek v Azure, nikoli na celou službu. Zákazníci mohou omezit možnosti připojení ke konkrétnímu prostředku schválenému jejich organizací. Privátní koncové body můžete spravovat v centru pro správu azure Synapse Studio.

Přidání spravovaných privátních koncových bodů v nástroji Azure Synapse Studio