Azure Synapse Analytics biztonsági tanulmánya: Bevezetés

Cikk
06/01/2023

Összefoglalás:Azure Synapse Analytics egy Microsoft korlátlan elemzési platform, amely a vállalati adattárházakat és a big data-feldolgozást egyetlen felügyelt környezetbe integrálja, rendszerintegráció nélkül. Azure Synapse analitikus életciklusának végpontok közötti eszközeit a következőkkel biztosítja:

Folyamatok adatintegrációhoz.
Apache Spark-készlet big data-feldolgozáshoz.
Data Explorer napló- és idősorelemzéshez.
Kiszolgáló nélküli SQL-készlet az Azure Data Lake-en keresztüli adatfeltáráshoz.
Dedikált SQL-készlet (korábbi nevén SQL DW) vállalati adattárházakhoz.
Mély integráció a Power BI-val, az Azure Cosmos DB-vel és az Azure Machine Learninggel.

Azure Synapse adatbiztonság és adatvédelem nem tárgyalható. A tanulmány célja, hogy átfogó áttekintést nyújtson Azure Synapse biztonsági funkciókról, amelyek nagyvállalati szintűek és iparágvezetők. A tanulmány a következő öt biztonsági réteget lefedő cikksorozatból áll:

Adatvédelem
Hozzáférés-vezérlés
Hitelesítés
Hálózati biztonság
Fenyegetések elleni védelem

Ez a tanulmány az összes vállalati biztonsági érdekeltet célozza meg. Ezek közé tartoznak a biztonsági rendszergazdák, a hálózati rendszergazdák, az Azure-rendszergazdák, a munkaterület-rendszergazdák és az adatbázis-rendszergazdák.

Írók: Vengatesh Parasuraman, Fretz Nuson, Ron Dunn, Khendr'a Reid, John Hoang, Nithesh Krishnappa, Mykola Kovalenko, Brad Schacht, Pedro Martinez, Mark Pryce-Maher és Arshad Ali.

Műszaki felülvizsgálók: Nandita Valsan, Rony Thomas, Abhishek Narain, Daniel Crawford és Tammy Richter Jones.

A következőkre vonatkozik: Azure Synapse Analytics, dedikált SQL-készlet (korábbi nevén SQL DW), kiszolgáló nélküli SQL-készlet és Apache Spark-készlet.

Fontos

Ez a tanulmány nem vonatkozik Azure SQL Database-re, Azure SQL Managed Instance-ra, Az Azure Machine Learningre vagy az Azure Databricksre.

Bevezetés

Az adatszivárgások, a kártevőfertőzések és a rosszindulatú kódinjektálások gyakori főcímei a felhő modernizálását kereső vállalatok biztonsági problémáinak széles listában szerepelnek. A vállalati ügyfélnek olyan felhőszolgáltatóra vagy szolgáltatásmegoldásra van szüksége, amely kezelni tudja az aggályait, mivel nem engedheti meg magának, hogy hibát kapjon.

Néhány gyakori biztonsági kérdés:

Hogyan szabályozhatom, hogy ki milyen adatokat lát?
Milyen lehetőségek vannak a felhasználó identitásának ellenőrzésére?
Hogyan védik az adataimat?
Milyen hálózati biztonsági technológiát használhatok a hálózataim és adataim integritásának, titkosságának és hozzáférésének védelméhez?
Melyek azok az eszközök, amelyek észlelik és értesítik a fenyegetésekről?

Ennek a fehér könyvnek az a célja, hogy válaszokat adjon ezekre a gyakori biztonsági kérdésekre, és még sok másra.

Összetevő-architektúra

Azure Synapse egy szolgáltatásként nyújtott platform (PaaS) elemzési szolgáltatás, amely több független összetevőt tartalmaz, például dedikált SQL-készleteket, kiszolgáló nélküli SQL-készleteket, Apache Spark-készleteket és adatintegrációs folyamatokat. Ezeket az összetevőket úgy tervezték, hogy együttműködve zökkenőmentes elemzési platformélményt nyújtsanak.

A dedikált SQL-készletek olyan kiépített fürtök, amelyek vállalati adattárház-képességeket biztosítanak az SQL számítási feladatokhoz. Az adatok az Azure Storage által üzemeltetett felügyelt tárolóba kerülnek, amely egyben PaaS-szolgáltatás is. A számítás el van különítve a tárolótól, így az ügyfelek az adataiktól függetlenül méretezhetik a számításokat. A dedikált SQL-készletek emellett lehetővé teszik az adatfájlok közvetlen lekérdezését az ügyfél által felügyelt Azure Storage-fiókokon keresztül külső táblák használatával.

A kiszolgáló nélküli SQL-készletek igény szerinti fürtök, amelyek SQL-felületet biztosítanak az adatok közvetlenül az ügyfél által felügyelt Azure Storage-fiókokon keresztüli lekérdezéséhez és elemzéséhez. Mivel kiszolgáló nélküliek, nincs felügyelt tároló, és a számítási csomópontok automatikusan skálázhatók a lekérdezési számítási feladatra válaszul.

Az Apache Spark a Azure Synapse-ben a Microsoft egyik implementációja a nyílt forráskódú Apache Sparknak a felhőben. A Spark-példányok igény szerint vannak kiépítve a Spark-készletekben meghatározott metaadat-konfigurációk alapján. Minden felhasználó saját dedikált Spark-példányt kap a feladatai futtatásához. A Spark-példányok által feldolgozott adatfájlokat az ügyfél a saját Azure Storage-fiókjaiban kezeli.

A folyamatok olyan tevékenységek logikai csoportosítását képezik, amelyek nagy léptékben végeznek adatáthelyezést és adatátalakítást. Az adatfolyam egy folyamat átalakítási tevékenysége, amelyet alacsony kódú felhasználói felülettel fejlesztettek ki. Nagy léptékben hajthat végre adatátalakításokat. A háttérben az adatfolyamok a Azure Synapse Apache Spark-fürtöit használják az automatikusan létrehozott kód végrehajtásához. A folyamatok és adatfolyamok csak számítási szolgáltatások, és nincs hozzájuk társítva felügyelt tároló.

A folyamatok a Integration Runtime (IR) skálázható számítási infrastruktúraként használják az adatáthelyezési és -kézbesítési tevékenységek végrehajtásához. Az adatáthelyezési tevékenységek az integrációs modulon futnak, míg a kézbesítési tevékenységek számos más számítási motoron futnak, például Azure SQL Database, Azure HDInsight, Azure Databricks, Azure Synapse Apache Spark-fürtök stb. Azure Synapse kétféle integrációs modult támogat: az Azure Integration Runtime és a saját üzemeltetésű Integration Runtime. Az Azure IR teljes körűen felügyelt, skálázható és igény szerinti számítási infrastruktúrát biztosít. A saját üzemeltetésű integrációs modult az ügyfél a saját hálózatában telepíti és konfigurálja, akár helyszíni gépeken, akár azure-beli felhőbeli virtuális gépeken.

Az ügyfelek dönthetnek úgy, hogy társítják a Synapse-munkaterületüket egy felügyelt munkaterületi virtuális hálózathoz. Felügyelt munkaterület virtuális hálózatához társítva a folyamatok, adatfolyamok és Apache Spark-készletek által használt Azure IRS- és Apache Spark-fürtök a felügyelt munkaterület virtuális hálózatán belül lesznek üzembe helyezve. Ez a beállítás biztosítja a hálózatok elkülönítését a folyamatok munkaterületei és az Apache Spark számítási feladatok között.

Az alábbi ábrán a Azure Synapse különböző összetevői láthatók.

Diagram Azure Synapse összetevőkről, amelyek dedikált SQL-készleteket, kiszolgáló nélküli SQL-készleteket, Apache Spark-készleteket és folyamatokat mutatnak be.

Összetevők elkülönítése

A diagramon ábrázolt Azure Synapse minden egyes összetevője saját biztonsági funkciókat biztosít. A biztonsági funkciók védelmet, hozzáférés-vezérlést, hitelesítést, hálózati biztonságot és fenyegetésvédelmet biztosítanak a számítási és a kapcsolódó feldolgozott adatok védelméhez. Emellett az Azure Storage, amely PaaS-szolgáltatás, további saját biztonságot nyújt, amelyet az ügyfél a saját tárfiókjaiban állít be és kezel. Az összetevők elkülönítésének ezen szintje korlátozza, és minimálisra csökkenti az expozíciót, ha bármelyik összetevőjében biztonsági rés áll fenn.

Biztonsági rétegek

Azure Synapse többrétegű biztonsági architektúrát implementál az adatok végpontok közötti védelméhez. Öt réteg van:

Adatvédelem a bizalmas adatok azonosításához és besorolásához, valamint az inaktív és mozgásban lévő adatok titkosításához.
Hozzáférés-vezérléssel meghatározhatja, hogy a felhasználó jogosult-e az adatokkal való interakcióra.
Hitelesítés a felhasználók és alkalmazások identitásának igazolásához.
Hálózati biztonság a hálózati forgalom privát végpontokkal és virtuális magánhálózatokkal való elkülönítéséhez.
Veszélyforrások elleni védelem a potenciális biztonsági fenyegetések, például a szokatlan hozzáférési helyek, az SQL-injektálási támadások, a hitelesítési támadások stb. azonosításához.

A képen a Azure Synapse biztonsági architektúra öt rétege látható: adatvédelem, hozzáférés-vezérlés, hitelesítés, hálózati biztonság és fenyegetésvédelem.

Következő lépések

A tanulmánysorozat következő cikkében megismerheti az adatvédelemmel kapcsolatos tudnivalókat.