Condividi tramite


Sicurezza dell'integrazione dei dati per SAP in Azure

Questo articolo fa parte della serie di articoli "Sap extend and innovazione data: Best practices".

Questo articolo descrive i livelli di sicurezza per gli scenari di estensione SAP, fornisce una suddivisione di ogni componente e offre considerazioni e raccomandazioni. Le risorse di gestione di Azure Data Factory si basano sull'infrastruttura di sicurezza di Azure e usano misure di sicurezza di Azure.

Il livello di inserimento dati è costituito da:

  • SAP S/4HANA, SAP BW/4HANA o SAP HANA Enterprise Edition
  • Azure Data Lake Storage Gen2
  • Data Factory
  • Una macchina virtuale (VM) del runtime di integrazione self-hosted

Il diagramma seguente è un'architettura di esempio della sicurezza dell'integrazione dei dati SAP in Azure. Usare l'architettura di esempio come punto di partenza.

Diagram that shows the SAP data integration security architecture on Azure.Scaricare un file di Visio di questa architettura.

Considerazioni e raccomandazioni

Le sezioni seguenti descrivono le considerazioni sulla sicurezza dell'integrazione dei dati e le raccomandazioni per SAP in Azure.

Sicurezza SAP

La guida alla sicurezza SAP include indicazioni dettagliate per i prodotti SAP.

Sicurezza di Data Lake Archiviazione Gen2

Per la sicurezza di Data Lake Archiviazione Gen2, vedere le considerazioni seguenti.

Autorizzare l'accesso ai dati in Archiviazione di Azure

Quando si accede ai dati nell'account Archiviazione, l'applicazione client effettua una richiesta tramite HTTP/HTTPS per Archiviazione. Per impostazione predefinita, ogni risorsa in Archiviazione è sicura e ogni richiesta a una risorsa sicura deve essere autorizzata. Archiviazione offre molte opzioni per autorizzare l'accesso ai dati. È consigliabile usare le credenziali di Microsoft Entra per autorizzare le richieste ai dati per garantire sicurezza e semplicità ottimali. Per altre informazioni, vedere Proteggere le chiavi di accesso.

Controllo degli accessi in base al ruolo di Azure

Usare il controllo degli accessi in base al ruolo per gestire le autorizzazioni di un'entità di sicurezza per le risorse BLOB, code e tabelle in un account Archiviazione. È anche possibile usare il controllo degli accessi in base all'attributo di Azure per aggiungere condizioni alle assegnazioni di ruolo di Azure per le risorse BLOB. Per altre informazioni, vedere Autorizzare l'accesso a Archiviazione BLOB di Azure usando le condizioni di assegnazione di ruolo di Azure.

Sicurezza dell'archiviazione BLOB

Prendere in considerazione le raccomandazioni sulla sicurezza per l'archiviazione BLOB, ad esempio la protezione dei dati, la gestione delle identità e degli accessi, la rete, la registrazione e il monitoraggio. Per altre informazioni, vedere Raccomandazioni sulla sicurezza per l'archiviazione BLOB.

Controllo di accesso di Data Lake Archiviazione Gen2

Data Lake Archiviazione Gen2 supporta le strategie di autorizzazione seguenti:

  • RBAC
  • Elenchi di controllo di accesso (ACL)
  • Gruppi di sicurezza
  • Autorizzazione con chiave condivisa e firma di accesso condiviso

In Data Lake Archiviazione Gen2 sono disponibili due tipi di ACL:

  • Gli ACL di accesso controllano l'accesso a un oggetto. I file e le directory hanno acl di accesso.
  • Gli elenchi di controllo di accesso predefiniti sono modelli di ACL associati a una directory. Determinano gli ACL di accesso per tutti gli elementi figlio creati in tale directory. I file non hanno elenchi di controllo di accesso predefiniti.

In una voce ACL non assegnare direttamente singoli utenti o entità servizio. Usare sempre i gruppi di sicurezza Di Microsoft Entra come entità assegnata. Questa procedura consente di aggiungere e rimuovere utenti o entità servizio senza riapplicare gli ACL a un'intera struttura di directory. È invece possibile aggiungere o rimuovere utenti e entità servizio dal gruppo di sicurezza Microsoft Entra appropriato. Per altre informazioni, vedere Elenchi di controllo di accesso.

Sicurezza di Data Factory

Per la sicurezza di Data Factory, vedere le considerazioni seguenti.

Spostamento dati

Esistono due scenari di spostamento dei dati: uno scenario cloud e uno scenario ibrido. Per informazioni sulla sicurezza dello spostamento dei dati, vedere Considerazioni sulla sicurezza per lo spostamento dei dati in Data Factory.

  • In uno scenario cloud, l'origine e la destinazione sono accessibili pubblicamente tramite Internet. L'origine o la destinazione possono essere servizi di archiviazione cloud gestiti, ad esempio Archiviazione di Azure, Azure Synapse Analytics, database SQL di Azure, Data Lake Archiviazione Gen2, Amazon S3, Amazon Redshift, servizi SaaS (Software-as-a-Service), ad esempio Salesforce o protocolli Web, ad esempio FTP (File Transfer Protocol) e open data protocol (OData)). Trovare un elenco completo delle origini dati supportate negli archivi dati e nei formati supportati.

  • In uno scenario ibrido, l'origine o la destinazione si trova dietro un firewall o all'interno di una rete aziendale locale. Oppure l'archivio dati si trova in una rete privata o in una rete virtuale e non è accessibile pubblicamente. In tal caso, l'archivio dati è in genere l'origine. Lo scenario ibrido include anche i server di database ospitati nelle macchine virtuali.

Strategie di accesso ai dati

L'organizzazione vuole proteggere gli archivi dati, ad esempio gli archivi dati locali o cloud/SaaS, dall'accesso non autorizzato tramite Internet. È possibile controllare l'accesso nell'archivio dati cloud usando:

  • Collegamento privato da una rete virtuale a un'origine dati abilitata per l'endpoint privato.
  • Regole del firewall che limitano la connettività usando un indirizzo IP.
  • Strategie di autenticazione che richiedono agli utenti di dimostrare la propria identità.
  • Strategie di autorizzazione che limitano gli utenti a azioni e dati specifici.

Per altre informazioni, vedere Strategie di accesso ai dati.

Archiviare le credenziali in Azure Key Vault

È possibile archiviare le credenziali per gli archivi dati e i calcoli in Key Vault. Data Factory recupera le credenziali quando viene eseguita un'attività che usa l'archivio dati o il calcolo. Per altre informazioni, vedere Archiviare le credenziali in Key Vault e Usare i segreti di Key Vault nelle attività della pipeline.

Crittografare le credenziali

In Data Factory prendere in considerazione la crittografia delle credenziali per gli archivi dati locali. In un computer con shir è possibile crittografare e archiviare le credenziali per qualsiasi archivio dati locale, ad esempio i servizi collegati con informazioni riservate. Per altre informazioni, vedere Crittografare le credenziali per gli archivi dati locali in Data Factory.

Usare un'identità gestita

Quando si usa un'identità gestita, non è necessario gestire le credenziali. Un'identità gestita fornisce un'identità per l'istanza del servizio quando si connette alle risorse che supportano l'autenticazione di Microsoft Entra. Esistono due tipi di identità gestite supportate: identità gestite assegnate dal sistema e identità gestite assegnate dall'utente. Per altre informazioni, vedere Identità gestita per Data Factory.

Crittografare con chiavi gestite dal cliente

A seconda dei criteri di sicurezza, valutare la possibilità di crittografare Data Factory con chiavi gestite dal cliente. Per altre informazioni, vedere Crittografare Data Factory con chiavi gestite dal cliente.

Usare una rete virtuale gestita

Quando si crea un runtime di integrazione di Azure all'interno di una rete virtuale gestita da Data Factory, viene effettuato il provisioning del runtime di integrazione con la rete virtuale gestita. Usa endpoint privati per connettersi in modo sicuro agli archivi dati supportati. Un endpoint privato è un indirizzo IP privato all'interno di una rete virtuale e di una subnet specifiche. La rete virtuale gestita è supportata solo nella stessa area dell'area di Data Factory. Per altre informazioni, vedere Rete virtuale gestita di Data Factory.

Quando si usa collegamento privato, è possibile connettersi alle distribuzioni PaaS (Platform-as-a-Service) in Azure tramite un endpoint privato. Per un elenco delle distribuzioni PaaS che supportano collegamento privato, vedere collegamento privato per Data Factory.

Connessioni e sicurezza delle macchine virtuali SHIR

Per le connessioni e la sicurezza delle macchine virtuali SHIR, vedere le considerazioni seguenti.

Credenziali dell'archivio dati locale

È possibile archiviare le credenziali dell'archivio dati locale in Data Factory oppure fare riferimento alle credenziali usando Data Factory durante il runtime da Key Vault. Se si archiviano le credenziali in Data Factory, crittografarle sempre in un shir. Per altre informazioni, vedere Credenziali dell'archivio dati locale.

Configurare un shir in base alla configurazione di rete

Per uno spostamento di dati ibrido, la tabella seguente riepiloga le raccomandazioni di configurazione di rete e SHIR in base a diverse combinazioni di percorsi di origine e di destinazione.

Origine Destinazione Configurazione di rete Configurazione del runtime di integrazione
Locale Servizi cloud e macchine virtuali distribuiti nelle reti virtuali VPN IPSec (da punto a sito o da sito a sito) Installare un servizio SHIR in una macchina virtuale di Azure nella rete virtuale
Locale Servizi cloud e macchine virtuali distribuiti nelle reti virtuali Azure ExpressRoute (peering privato) Installare un servizio SHIR in una macchina virtuale di Azure nella rete virtuale
Locale Servizi basati su Azure con un endpoint pubblico ExpressRoute (peering Microsoft) Installare un servizio SHIR locale o in una macchina virtuale di Azure

VPN ExpressRoute o IPSec

Le immagini seguenti illustrano come usare un servizio SHIR per spostare i dati tra un database locale e un servizio di Azure usando Azure Rete virtuale ed ExpressRoute o VPN IPSec.

Per le configurazioni del firewall e l'impostazione dell'elenco di indirizzi IP, vedere Considerazioni sulla sicurezza per lo spostamento dei dati in Data Factory.

Questo diagramma illustra come spostare i dati usando il peering privato di ExpressRoute:

Diagram that shows ExpressRoute on Azure.

Questo diagramma illustra come spostare i dati tramite VPN IPSec:

Diagram that shows IPSec VPN on Azure.

Nel firewall assicurarsi che l'indirizzo IP del computer SHIR sia consentito e configurato in modo appropriato. Gli archivi dati cloud seguenti richiedono di consentire l'indirizzo IP del computer SHIR. Per impostazione predefinita, alcuni di questi archivi dati potrebbero non richiedere l'elenco di elementi consentiti.

  • Database SQL
  • Azure Synapse Analytics
  • Data Lake Storage Gen2
  • Azure Cosmos DB
  • Amazon Redshift

Per altre informazioni, vedere Considerazioni sulla sicurezza per lo spostamento dei dati in Data Factory e Creare e configurare un shir.

Sicurezza di Azure Databricks

Per la sicurezza di Azure Databricks, vedere le considerazioni seguenti.

Baseline di sicurezza di Azure per Azure Databricks

Prendere in considerazione la baseline di sicurezza di Azure per Azure Databricks. Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 ad Azure Databricks. Il benchmark della sicurezza del cloud Microsoft offre raccomandazioni su come proteggere le soluzioni cloud in Azure.

Sicurezza di Azure Synapse Analytics

Azure Synapse Analytics implementa un'architettura di sicurezza a più livelli per la protezione end-to-end dei dati. Esistono cinque livelli:

  • La protezione dei dati identifica e classifica i dati sensibili e crittografa i dati inattivi e in movimento. Per indicazioni su individuazione e classificazione, governance e crittografia dei dati, vedere Protezione dei dati.

  • Il controllo di accesso determina il diritto di un utente di interagire con i dati. Azure Synapse Analytics supporta un'ampia gamma di funzionalità per controllare chi può accedere ai dati. Per altre informazioni, vedere Controllo di accesso.

  • L'autenticazione dimostra l'identità di utenti e applicazioni. Il controllo SQL di Azure può registrare le attività di autenticazione e un amministratore IT può configurare report e avvisi ogni volta che si verifica un tentativo di accesso da una posizione sospetta. Per altre informazioni, vedere Autenticazione.

  • La sicurezza di rete isola il traffico di rete con endpoint privati e reti private virtuali. Sono disponibili molte opzioni di sicurezza di rete per proteggere Azure Synapse Analytics. Per altre informazioni, vedere Sicurezza di rete.

  • Il rilevamento delle minacce identifica potenziali minacce alla sicurezza, ad esempio posizioni di accesso insolite, attacchi SQL injection e attacchi di autenticazione. Per altre informazioni, vedere Rilevamento delle minacce.

Livello presentazione dati

Valutare come usare le funzionalità di sicurezza per difendere il livello di presentazione, incluso Power BI. Per altre informazioni, vedere Sicurezza di Power BI e pianificazione dell'implementazione di Power BI: Sicurezza.

Passaggi successivi