Dokument white paper o zabezpečení Azure Synapse Analytics: Úvod

Článek
06/01/2023

Shrnutí:Azure Synapse Analytics je neomezená analytická platforma Microsoftu, která integruje skladování podnikových dat a zpracování velkých objemů dat do jediného spravovaného prostředí bez nutnosti integrace systému. Azure Synapse poskytuje komplexní nástroje pro váš analytický životní cyklus s následujícími funkcemi:

Kanály pro integraci dat.
Fond Apache Sparku pro zpracování velkých objemů dat.
Data Explorer pro analýzu protokolů a časových řad.
Bezserverový fond SQL pro zkoumání dat ve službě Azure Data Lake
Vyhrazený fond SQL (dříve SQL DW) pro skladování podnikových dat.
Hloubková integrace s Power BI, Azure Cosmos DB a Azure Machine Learning.

Azure Synapse zabezpečení dat a ochrana osobních údajů není možné zpochybnovat. Účelem tohoto dokumentu white paper je poskytnout ucelený přehled funkcí zabezpečení Azure Synapse, které jsou na podnikové úrovni a špičkové v oboru. Dokument white paper obsahuje řadu článků, které se týkají následujících pěti vrstev zabezpečení:

Ochrana dat
Řízení přístupu
Authentication
Zabezpečení sítě
Ochrana před hrozbami

Tento dokument white paper se zaměřuje na všechny účastníky zabezpečení podniku. Patří mezi ně správci zabezpečení, správci sítě, správci Azure, správci pracovních prostorů a správci databází.

Spisovatelů: Vengatesh Parasuraman, Fretz Nuson, Ron Dunn, Khendr'a Reid, John Hoang, Nithesh Krishnappa, Mykola Kovalenko, Brad Schacht, Pedro Martinez, Mark Pryce-Maher a Arshad Ali.

Techní revidující: Nandita Valsan, Rony Thomas, Abhishek Narain, Daniel Crawford a Tammy Richter Jones.

Platí pro: Azure Synapse Analytics, vyhrazený fond SQL (dříve SQL DW), bezserverový fond SQL a fond Apache Spark.

Důležité

Tento dokument white paper se nevztahuje na Azure SQL Database, Azure SQL Managed Instance, Azure Machine Learning ani Azure Databricks.

Úvod

Časté titulky o úniku dat, malwarových infekcích a injektáži škodlivého kódu patří mezi rozsáhlý seznam problémů se zabezpečením pro společnosti, které chtějí modernizaci cloudu. Podnikový zákazník potřebuje poskytovatele cloudu nebo řešení služby, které může řešit jeho obavy, protože si nemůže dovolit, aby je zkazil.

Mezi běžné bezpečnostní otázky patří:

Jak můžu řídit, kdo uvidí jaká data?
Jaké jsou možnosti pro ověření identity uživatele?
Jak jsou moje data chráněná?
Jakou technologii zabezpečení sítě můžu použít k ochraně integrity, důvěrnosti a přístupu k sítím a datům?
Jaké jsou nástroje, které detekují hrozby a upozorňují mě na hrozby?

Účelem tohoto dokumentu white paper je poskytnout odpovědi na tyto běžné bezpečnostní otázky a mnoho dalších.

Architektura komponent

Azure Synapse je analytická služba PaaS (platforma jako služba), která spojuje několik nezávislých komponent, jako jsou vyhrazené fondy SQL, bezserverové fondy SQL, fondy Apache Sparku a kanály integrace dat. Tyto komponenty jsou navržené tak, aby společně poskytovaly bezproblémové prostředí analytické platformy.

Vyhrazené fondy SQL jsou zřízené clustery, které poskytují funkce podnikových datových skladů pro úlohy SQL. Data se ingestují do spravovaného úložiště využívajícího Azure Storage, což je také služba PaaS. Výpočetní prostředky jsou izolované od úložiště, což zákazníkům umožňuje škálovat výpočetní prostředky nezávisle na jejich datech. Vyhrazené fondy SQL také umožňují dotazovat se na datové soubory přímo prostřednictvím účtů Azure Storage spravovaných zákazníkem pomocí externích tabulek.

Bezserverové fondy SQL jsou clustery na vyžádání, které poskytují rozhraní SQL pro dotazování a analýzu dat přímo přes účty Azure Storage spravované zákazníkem. Vzhledem k tomu, že jsou bezserverové, neexistuje žádné spravované úložiště a výpočetní uzly se škálují automaticky v reakci na úlohy dotazů.

Apache Spark v Azure Synapse je jednou z implementací opensourcového Apache Sparku v cloudu od Microsoftu. Instance Sparku se zřizují na vyžádání na základě konfigurací metadat definovaných ve fondech Sparku. Každý uživatel získá svou vlastní vyhrazenou instanci Sparku pro spouštění svých úloh. Datové soubory zpracovávané instancemi Sparku spravuje zákazník ve svých vlastních účtech Azure Storage.

Kanály jsou logické seskupení aktivit, které provádějí přesun a transformaci dat ve velkém měřítku. Tok dat je aktivita transformace v kanálu, který se vyvíjí pomocí uživatelského rozhraní s minimem kódu. Může provádět transformace dat ve velkém měřítku. Toky dat na pozadí používají clustery Apache Spark Azure Synapse ke spouštění automaticky generovaného kódu. Kanály a toky dat jsou pouze výpočetní služby a nemají přidružené žádné spravované úložiště.

Kanály používají Integration Runtime (IR) jako škálovatelnou výpočetní infrastrukturu pro provádění aktivit přesunu a odesílání dat. Aktivity přesunu dat se spouští v prostředí IR, zatímco aktivity odesílání běží na různých výpočetních modulech, včetně Azure SQL Database, Azure HDInsight, Azure Databricks, clusterů Apache Spark Azure Synapse a dalších. Azure Synapse podporuje dva typy prostředí IR: Azure Integration Runtime a místní Integration Runtime. Azure IR poskytuje plně spravovanou, škálovatelnou výpočetní infrastrukturu na vyžádání. Prostředí IR v místním prostředí instaluje a konfiguruje zákazník ve své vlastní síti, a to buď v místních počítačích, nebo v cloudových virtuálních počítačích Azure.

Zákazníci se můžou rozhodnout, že přidruží svůj pracovní prostor Synapse k virtuální síti spravovaného pracovního prostoru. V případě přidružení ke spravované virtuální síti pracovního prostoru se prostředí Azure IRS a clustery Apache Spark, které používají kanály, toky dat a fondy Apache Sparku, nasadí do virtuální sítě spravovaného pracovního prostoru. Toto nastavení zajišťuje izolaci sítě mezi pracovními prostory pro kanály a úlohami Apache Sparku.

Následující diagram znázorňuje různé součásti Azure Synapse.

Diagram komponent Azure Synapse zobrazující vyhrazené fondy SQL, bezserverové fondy SQL, fondy Apache Sparku a kanály

Izolace komponent

Každá jednotlivá komponenta Azure Synapse znázorněná v diagramu poskytuje vlastní funkce zabezpečení. Funkce zabezpečení poskytují ochranu dat, řízení přístupu, ověřování, zabezpečení sítě a ochranu před hrozbami pro zabezpečení výpočetních prostředků a souvisejících zpracovávaných dat. Služba Azure Storage, která je službou PaaS, navíc poskytuje vlastní dodatečné zabezpečení, které nastavuje a spravuje zákazník ve svých vlastních účtech úložiště. Tato úroveň izolace komponent omezuje a minimalizuje ohrožení zabezpečení v případě, že by v některé z jejích součástí došlo k ohrožení zabezpečení.

Vrstvy zabezpečení

Azure Synapse implementuje vícevrstou architekturu zabezpečení pro komplexní ochranu vašich dat. Existuje pět vrstev:

Ochrana dat k identifikaci a klasifikaci citlivých dat a šifrování neaktivních uložených dat a přenášených dat
Řízení přístupu k určení práva uživatele na interakci s daty.
Ověřování k prokázání identity uživatelů a aplikací
Zabezpečení sítě pro izolaci síťového provozu pomocí privátních koncových bodů a virtuálních privátních sítí.
Ochrana před hrozbami k identifikaci potenciálních bezpečnostních hrozeb, jako jsou neobvyklá umístění přístupu, útoky prostřednictvím injektáže SQL, ověřovací útoky a další.

Obrázek znázorňuje pět vrstev architektury zabezpečení Azure Synapse: ochrana dat, řízení přístupu, ověřování, zabezpečení sítě a ochrana před hrozbami.

Další kroky

V dalším článku této řady white paper se dozvíte o ochraně dat.