Azure Synapse Analytics 安全性技術白皮書:簡介
摘要:Azure Synapse Analytics 是一種 Microsoft 無限制的分析平台,可將企業資料倉儲和巨量資料處理整合到單一受控環境中,而不需要系統整合。 Azure Synapse 為您的分析生命週期端對端工具提供:
- 適用於資料整合的 Pipelines。
- 用於巨量資料處理的 Apache Spark 集區。
- 用於記錄和時間序列分析的資料總管。
- 無伺服器 SQL 集區,可透過 Azure Data Lake 進行資料探索。
- 用於企業資料倉儲的專用 SQL 集區 (先前稱為 SQL DW)。
- 與 Power BI、Azure Cosmos DB 和 Azure Machine Learning 的深度整合。
Azure Synapse 資料安全性和隱私權無法流通。 此技術白皮書的目的是要提供完整的 Azure Synapse 安全性功能概述,這些是企業級和領先業界的功能。 技術白皮書包含一系列涵蓋下列五層安全性的文章:
- 資料保護
- 存取控制
- 驗證
- 網路安全性
- 威脅保護
這份技術白皮書的目標是所有企業安全性專案關係人。 包括安全性系統管理員、網路管理中心、Azure 系統管理員、工作區系統管理員和資料庫管理員。
作者:Vengatesh Parasuraman、Fretz Nuson、Ron Dunn、Khendr'a Reid、John Hoang、Nithesh Krishnappa、Mykola Kovalenko、Brad Schacht、Pedro Martinez、Mark Pryce-Maher,以及 Arshad Ali。
技術校閱者:Nandita Valsan、Rony Thomas、Abhishek Narain、Daniel Crawford 和 Tammy Richter Jones。
適用於:Azure Synapse Analytics、專用 SQL 集區 (先前稱為 SQL DW)、無伺服器 SQL 集區和 Apache Spark 集區。
重要
這份技術白皮書不適用於 Azure SQL Database、Azure SQL 受控執行個體、Azure Machine Learning 或 Azure Databricks。
簡介
針對想要進行雲端現代化的公司,詳盡的安全性考量清單中經常包含資料缺口、惡意程式碼感染及惡意程式碼插入等頭條。 企業客戶需要雲端提供者或服務解決方案來解決其問題,因為他們無法承受發生問題。
一些常見的安全性問題包括:
- 如何控制誰可以查看哪些資料?
- 驗證使用者身分識別的選項有哪些?
- 如何保護我的資料?
- 我可以使用何種網路安全性技術來保護網路和資料的完整性、機密性及存取?
- 有哪些工具可以偵測威脅並通知我?
本技術白皮書的目的旨在提供這些常見安全性問題以及其他許多問題的解答。
元件架構
Azure Synapse 是一種平台即服務 (PaaS) 分析服務,可將多個獨立元件結合在一起,例如專用 SQL 集區、無伺服器 SQL 集區、Apache Spark 集區和資料整合管線。 這些元件的設計目的是要一起合作,以提供順暢的分析平台體驗。
專用 SQL 集區是佈建的叢集,可為 SQL 工作負載提供企業資料倉儲功能。 資料會內嵌到由 Azure 儲存體提供技術支援的受控儲存體,這也是一種 PaaS 服務。 計算會與儲存功能區隔開來,讓客戶可以在不用擔心資料的情況下,調整計算規模。 專用 SQL 集區也可讓您使用外部資料表,直接透過客戶管理的 Azure 儲存體帳戶來查詢資料檔案。
無伺服器 SQL 集區是隨選叢集,可提供 SQL 介面,直接透過客戶管理的 Azure 儲存體帳戶來查詢和分析資料。 因為是無伺服器結構,所以沒有受控儲存體,而且計算節點會自動調整規模以回應查詢工作負載。
Azure Synapse 中的 Apache Spark 是 Microsoft 在雲端中的其中一種開放原始碼 Apache Spark 實作。 Spark 執行個體會根據 Spark 集區中定義的中繼資料設定,隨需佈建。 每個使用者都會取得自己的專用 Spark 執行個體來執行其作業。 Spark 執行個體所處理的資料檔案是由客戶在各自的 Azure 儲存體帳戶中管理。
管線是活動的邏輯群組,可大規模執行資料移動和資料轉換。 資料流程是管線中的轉換活動,使用低程式碼使用者介面所開發出來的; 可以大規模執行資料轉換。 在幕後,資料流程會使用 Azure Synapse 的 Apache Spark 叢集來執行自動產生的程式碼。 管線和資料流程是僅限計算的服務,而且沒有任何相關聯的受控儲存體。
管線會使用 Integration Runtime (IR) 作為可調整的計算基礎結構,以執行資料移動和分派活動。 資料移動活動會在 IR 上執行,而分派活動會在其他各種計算引擎上執行,包括 Azure SQL Database、Azure HDInsight、Azure Databricks、Azure Synapse 的 Apache Spark 叢集等等。 Azure Synapse 支援兩種類型的 IR:Azure Integration Runtime 和自我裝載整合執行階段。 Azure IR 提供完全受控、可調整且隨選的計算基礎結構。 自我裝載 IR 是由客戶在自己的網路 (內部部署電腦或 Azure 雲端虛擬機器) 中安裝及設定。
客戶可以選擇將其 Synapse 工作區與受控工作區虛擬網路建立關聯。 與受控工作區虛擬網路相關聯時,管線、資料流程和 Apache Spark 集區所使用的 Azure IR 和 Apache Spark 叢集會部署在受控工作區虛擬網路內。 此設定可確保管線工作區與 Apache Spark 工作負載之間的網路隔離。
下圖描述 Azure Synapse 的各種元件。
元件隔離
圖表中所描述的每一個 Azure Synapse 元件都會提供各自的安全性功能。 安全性功能提供資料保護、存取控制、驗證、網路安全性和威脅防護,以保護計算和已處理的相關資料。 此外,Azure 儲存體作為一種 PaaS 服務,可提供自有的額外安全性,由客戶在各自的儲存體帳戶中設定和管理。 如果任何一個元件有安全性弱點,此層級的元件隔離會限制並降低弱點暴露的風險。
安全層
Azure Synapse 會實作多層式安全性結構,以為您的資料進行端對端保護。 共有五層:
- 資料保護可識別和分類機密資料,並加密待用和移動中的資料。
- 存取控制可決定使用者與資料互動的權限。
- 驗證以證明使用者和應用程式的身分識別。
- 網路安全性可使用私人端點和虛擬私人網路來隔離網路流量。
- 威脅防護,可識別潛在的安全性威脅,例如不尋常的存取位置、SQL 插入式攻擊、驗證攻擊等等。
下一步
在本技術白皮書系列的下一篇文章中,您將了解資料保護。