Azure Synapse Analytics güvenlik teknik incelemesi: Giriş

Makale
06/15/2023

Özet:Azure Synapse Analytics, kurumsal veri ambarı ve büyük veri işlemeyi sistem tümleştirmesi gerektirmeden tek bir yönetilen ortamla tümleştiren, sınırsız bir Microsoft analiz platformudur. Azure Synapse aşağıdakilerle analiz yaşam döngünüz için uçtan uca araçlar sağlar:

Veri tümleştirmesi için işlem hatları.
Büyük veri işleme için Apache Spark havuzu.
Günlük ve zaman serisi analizi için Veri Gezgini.
Azure Data Lake üzerinden veri keşfi için sunucusuz SQL havuzu.
Kurumsal veri ambarı için ayrılmış SQL havuzu (eski adıYLA SQL DW).
Power BI, Azure Cosmos DB ve Azure Machine Learning ile derin tümleştirme.

Azure Synapse veri güvenliği ve gizliliği tartışılamaz. Bu teknik incelemenin amacı, kurumsal düzeyde ve sektör lideri olan Azure Synapse güvenlik özelliklerine kapsamlı bir genel bakış sağlamaktır. Teknik inceleme, aşağıdaki beş güvenlik katmanını kapsayan bir dizi makaleden oluşur:

Veri koruma
Erişim denetimi
Kimlik Doğrulaması
Ağ güvenliği
Tehdit koruması

Bu teknik inceleme tüm kurumsal güvenlik paydaşlarını hedefler. Bunlar güvenlik yöneticilerini, ağ yönetimlerini, Azure yöneticilerini, çalışma alanı yöneticilerini ve veritabanı yöneticilerini içerir.

Yazar: Vengatesh Parasuraman, Fretz Nuson, Ron Dunn, Khendr'a Reid, John Hoang, Nithesh Krishnappa, Mykola Kovalenko, Brad Schacht, Pedro Martinez, Mark Pryce-Maher ve Arshad Ali.

Teknik Gözden Geçirenler: Nandita Valsan, Rony Thomas, Abhishek Narain, Daniel Crawford ve Tammy Richter Jones.

Şunlar için geçerlidir: Azure Synapse Analytics, ayrılmış SQL havuzu (eski adıYLA SQL DW), sunucusuz SQL havuzu ve Apache Spark havuzu.

Önemli

Bu teknik inceleme Azure SQL Veritabanı, Azure SQL Yönetilen Örneği, Azure Machine Learning veya Azure Databricks için geçerli değildir.

Giriş

Veri ihlalleri, kötü amaçlı yazılım bulaşmaları ve kötü amaçlı kod ekleme ile ilgili sık sık kullanılan başlıklar, bulut modernleştirmesi isteyen şirketlere yönelik kapsamlı güvenlik endişeleri listesinde yer alır. Kurumsal müşteri, endişelerini giderebilecek bir bulut sağlayıcısına veya hizmet çözümüne ihtiyaç duyar çünkü bu sorunu yanlış anlayamaz.

Bazı yaygın güvenlik soruları şunlardır:

Kimlerin hangi verileri görebileceğini nasıl denetleyebilirim?
Kullanıcının kimliğini doğrulama seçenekleri nelerdir?
Verilerim nasıl korunur?
Ağlarımın ve verilerimin bütünlüğünü, gizliliğini ve erişimini korumak için hangi ağ güvenlik teknolojisini kullanabilirim?
Tehditleri algılayıp bana bildiren araçlar nelerdir?

Bu teknik incelemenin amacı, bu yaygın güvenlik sorularına ve diğer birçok soruya yanıtlar sağlamaktır.

Bileşen mimarisi

Azure Synapse ayrılmış SQL havuzları, sunucusuz SQL havuzları, Apache Spark havuzları ve veri tümleştirme işlem hatları gibi birden çok bağımsız bileşeni bir araya getiren bir Hizmet olarak platform (PaaS) analiz hizmetidir. Bu bileşenler sorunsuz bir analiz platformu deneyimi sağlamak için birlikte çalışacak şekilde tasarlanmıştır.

Ayrılmış SQL havuzları , SQL iş yükleri için kurumsal veri ambarı özellikleri sağlayan sağlanan kümelerdir. Veriler, aynı zamanda bir PaaS hizmeti olan Azure Depolama tarafından desteklenen yönetilen depolama alanına aktarılır. İşlem, müşterilerin verilerine göre bağımsız olarak işlem ölçeklendirmesine olanak sağlayan depolama alanından yalıtılır. Ayrılmış SQL havuzları ayrıca dış tabloları kullanarak veri dosyalarını doğrudan müşteri tarafından yönetilen Azure Depolama hesapları üzerinden sorgulama olanağı sağlar.

Sunucusuz SQL havuzları , verileri doğrudan müşteri tarafından yönetilen Azure Depolama hesapları üzerinden sorgulamak ve analiz etmek için bir SQL arabirimi sağlayan isteğe bağlı kümelerdir. Sunucusuz olduklarından yönetilen depolama alanı yoktur ve işlem düğümleri sorgu iş yüküne yanıt olarak otomatik olarak ölçeklendirilir.

Azure Synapse'de Apache Spark, Microsoft'un buluttaki açık kaynak Apache Spark uygulamalarından biridir. Spark örnekleri, Spark havuzlarında tanımlanan meta veri yapılandırmalarına göre isteğe bağlı olarak sağlanır. Her kullanıcı işlerini çalıştırmak için kendi ayrılmış Spark örneğine sahip olur. Spark örnekleri tarafından işlenen veri dosyaları müşteri tarafından kendi Azure Depolama hesaplarında yönetilir.

İşlem hatları , büyük ölçekte veri taşıma ve veri dönüştürme gerçekleştiren etkinliklerin mantıksal bir gruplandırma işlemidir. Veri akışı , düşük kodlu bir kullanıcı arabirimi kullanılarak geliştirilen bir işlem hattındaki dönüştürme etkinliğidir. Büyük ölçekte veri dönüştürmeleri yürütebilir. Veri akışları, otomatik olarak oluşturulan kodu yürütmek için arka planda Azure Synapse Apache Spark kümelerini kullanır. İşlem hatları ve veri akışları yalnızca işlem hizmetleridir ve bunlarla ilişkilendirilmiş yönetilen depolama alanı yoktur.

İşlem hatları, veri taşıma ve dağıtma etkinliklerini gerçekleştirmek için ölçeklenebilir işlem altyapısı olarak Integration Runtime (IR) kullanır. Veri taşıma etkinlikleri IR üzerinde çalışırken, gönderme etkinlikleri Azure SQL Veritabanı, Azure HDInsight, Azure Databricks, Azure Synapse Apache Spark kümeleri ve diğerleri gibi çeşitli işlem altyapılarında çalışır. Azure Synapse iki tür IR'i destekler: Azure Integration Runtime ve Şirket içinde barındırılan Integration Runtime. Azure IR tam olarak yönetilen, ölçeklenebilir ve isteğe bağlı bir işlem altyapısı sağlar. Şirket içinde barındırılan IR, müşteri tarafından şirket içi makinelerde veya Azure bulut sanal makinelerinde kendi ağında yüklenir ve yapılandırılır.

Müşteriler Synapse çalışma alanlarını yönetilen çalışma alanı sanal ağıyla ilişkilendirmeyi seçebilir. Yönetilen çalışma alanı sanal ağıyla ilişkilendirildiğinde, işlem hatları, veri akışları ve Apache Spark havuzları tarafından kullanılan Azure IR'leri ve Apache Spark kümeleri yönetilen çalışma alanı sanal ağı içinde dağıtılır. Bu kurulum, işlem hatları ve Apache Spark iş yükleri için çalışma alanları arasında ağ yalıtımı sağlar.

Aşağıdaki diyagramda Azure Synapse çeşitli bileşenleri gösterilmiştir.

Ayrılmış SQL havuzlarını, sunucusuz SQL havuzlarını, Apache Spark havuzlarını ve işlem hatlarını gösteren Azure Synapse bileşenlerinin diyagramı.

Bileşen yalıtımı

Diyagramda gösterilen Azure Synapse her bir bileşeni kendi güvenlik özelliklerini sağlar. Güvenlik özellikleri, işlemin ve işlenen ilişkili verilerin güvenliğini sağlamak için veri koruma, erişim denetimi, kimlik doğrulaması, ağ güvenliği ve tehdit koruması sağlar. Buna ek olarak, PaaS hizmeti olan Azure Depolama kendi depolama hesaplarında müşteri tarafından ayarlanan ve yönetilen ek güvenlik sağlar. Bu bileşen yalıtım düzeyi, bileşenlerinden herhangi birinde güvenlik açığı varsa maruz kalma süresini en aza indirir.

Güvenlik katmanları

Azure Synapse, verilerinizin uçtan uca korunması için çok katmanlı bir güvenlik mimarisi uygular. Beş katman vardır:

Hassas verileri tanımlamak ve sınıflandırmak ve bekleyen ve hareket halindeki verileri şifrelemek için veri koruması.
Kullanıcının verilerle etkileşim kurma hakkını belirlemek için erişim denetimi.
Kullanıcıların ve uygulamaların kimliğini kanıtlamak için kimlik doğrulaması.
Ağ trafiğini özel uç noktalar ve sanal özel ağlarla yalıtmak için ağ güvenliği.
Olağan dışı erişim konumları, SQL ekleme saldırıları, kimlik doğrulama saldırıları ve daha fazlası gibi olası güvenlik tehditlerini belirlemek için tehdit koruması.

Görüntüde Azure Synapse güvenlik mimarisinin beş katmanı gösterilmektedir: Veri koruma, Erişim denetimi, Kimlik Doğrulaması, Ağ güvenliği ve Tehdit koruması.

Sonraki adımlar

Bu teknik inceleme serisinin sonraki makalesinde veri koruma hakkında bilgi edinin.