Dokumen resmi keamanan Azure Synapse Analytics: Pengantar

Artikel
06/01/2023

Ringkasan:Azure Synapse Analytics adalah platform analisis tak terbatas Microsoft yang mengintegrasikan pergudangan data perusahaan dan pemrosesan data besar ke dalam satu lingkungan terkelola tanpa memerlukan integrasi sistem. Azure Synapse memberikan alat menyeluruh untuk siklus hidup analitik Anda dengan:

Alur untuk integrasi data.
Kumpulan Apache Spark untuk pemrosesan data besar.
Data Explorer untuk analisis log dan rangkaian waktu.
Kumpulan SQL tanpa server untuk eksplorasi data melalui Azure Data Lake.
Kumpulan SQL khusus (sebelumnya SQL DW) untuk pergudangan data perusahaan.
Integrasi mendalam dengan Power BI, Azure Cosmos DB, dan Azure Machine Learning.

Keamanan dan privasi data Azure Synapse tidak dapat dinegosiasikan. Tujuan dari panduan ini adalah untuk memberikan gambaran menyeluruh tentang fitur keamanan Azure Synapse, yang bermutu perusahaan dan terdepan di industri. Dokumen resmi terdiri dari serangkaian artikel yang mencakup lima lapisan keamanan berikut:

Perlindungan data
Kontrol akses
Autentikasi
Keamanan jaringan
Perlindungan terhadap ancaman

Dokumen resmi ini menargetkan semua pemangku kepentingan keamanan perusahaan. Mereka termasuk administrator keamanan, administrasi jaringan, administrator Azure, administrator ruang kerja, dan administrator database.

Penulis: Vengatesh Parasuraman, Fretz Nuson, Ron Dunn, Khendr'a Reid, John Hoang, Nithesh Krishnappa, Mykola Kovalenko, Brad Schacht, Pedro Matinez, Mark Pryce-Maher, dan Arshad Ali.

Peninjau Teknis: Nandita Valsan, Rony Thomas, Abhishek Narain, Daniel Crawford, dan Tammy Richter Jones.

Berlaku untuk: Azure Synapse Analytics, kumpulan SQL khusus (sebelumnya SQL DW), kumpulan SQL tanpa server, dan kumpulan Apache Spark.

Penting

Dokumen resmi ini tidak berlaku untuk Azure SQL Database, Azure SQL Managed Instance, Azure Machine Learning, atau Azure Databricks.

Pengantar

Berita utama yang sering mengenai pelanggaran data, infeksi malware, dan injeksi kode berbahaya adalah di antara daftar ekstensif masalah keamanan bagi perusahaan yang ingin melakukan modernisasi cloud. Pelanggan perusahaan memerlukan penyedia cloud atau solusi layanan yang dapat mengatasi masalahnya karena mereka tidak bisa melakukan kesalahan.

Beberapa pertanyaan keamanan umum meliputi:

Bagaimana cara saya mengontrol siapa yang dapat melihat data apa?
Apa saja opsi untuk memverifikasi identitas pengguna?
Bagaimana data saya dilindungi?
Teknologi keamanan jaringan apa yang dapat saya gunakan untuk melindungi integritas, kerahasiaan, dan akses jaringan dan data saya?
Alat apa yang mendeteksi dan memberi tahu saya tentang ancaman?

Tujuan dari dokumen resmi ini adalah untuk memberikan jawaban atas pertanyaan keamanan umum ini, dan banyak lainnya.

Arsitektur komponen

Azure Synapse adalah layanan analitik Platform-as-a-service (PaaS) yang menyatukan beberapa komponen independen seperti kumpulan SQL khusus, kumpulan SQL tanpa server, kumpulan Apache Spark, dan alur integrasi data. Komponen-komponen ini dirancang untuk bekerja sama untuk memberikan pengalaman platform analitik yang mulus.

Kumpulan SQL khusus adalah kluster yang diprovisikan yang menyediakan kemampuan pergudangan data perusahaan untuk beban kerja SQL. Data diserap ke dalam penyimpanan terkelola yang didukung oleh Azure Storage, yang juga merupakan layanan PaaS. Komputasi diisolasi dari penyimpanan yang memungkinkan pelanggan menskalakan komputasi secara independen dari data mereka. Kumpulan SQL khusus juga menyediakan kemampuan untuk mengkueri file data secara langsung melalui akun Azure Storage yang dikelola pelanggan dengan menggunakan tabel eksternal.

Kumpulan SQL tanpa server adalah kluster sesuai permintaan yang menyediakan antarmuka SQL untuk mengkueri dan menganalisis data secara langsung melalui akun Azure Storage yang dikelola pelanggan. Karena tanpa server, tidak ada penyimpanan terkelola, dan node komputasi menskalakan secara otomatis sebagai respons terhadap beban kerja kueri.

Apache Spark di Azure Synapse adalah salah satu implementasi Microsoft dari Apache Spark sumber terbuka di cloud. Instans Spark diprovisikan sesuai permintaan berdasarkan konfigurasi metadata yang ditentukan dalam kumpulan Spark. Setiap pengguna mendapatkan instans Spark khusus mereka sendiri untuk menjalankan pekerjaan mereka. File data yang diproses oleh instans Spark dikelola oleh pelanggan di akun Azure Storage mereka sendiri.

Alur adalah pengelompokan logis aktivitas yang melakukan pergerakan data dan transformasi data dalam skala besar. Aliran data adalah aktivitas transformasi dalam alur yang dikembangkan dengan menggunakan antarmuka pengguna kode rendah. Ini dapat menjalankan transformasi data dalam skala besar. Di balik layar, aliran data menggunakan kluster Apache Spark dari Azure Synapse untuk menjalankan kode yang dihasilkan secara otomatis. Alur dan aliran data adalah layanan khusus komputasi, dan tidak memiliki penyimpanan terkelola yang terkait dengannya.

Alur menggunakan Integration Runtime (IR) sebagai infrastruktur komputasi yang scalable untuk melakukan aktivitas pergerakan dan pengiriman data. Aktivitas pergerakan data berjalan pada IR sedangkan aktivitas pengiriman berjalan pada berbagai mesin komputasi lainnya, termasuk Azure SQL Database, Azure HDInsight, Azure Databricks, kluster Apache Spark Azure Synapse, dan lainnya. Azure Synapse mendukung dua jenis IR: Azure Integration Runtime dan Integration Runtime yang dihost sendiri. Azure IR menyediakan infrastruktur komputasi yang dikelola sepenuhnya, scalable, dan sesuai permintaan. IR yang dihost sendiri diinstal dan dikonfigurasi oleh pelanggan di jaringan mereka sendiri, baik di komputer lokal atau di mesin virtual cloud Azure.

Pelanggan dapat memilih untuk mengaitkan ruang kerja Synapse mereka dengan jaringan virtual ruang kerja terkelola. Ketika dikaitkan dengan jaringan virtual ruang kerja terkelola, IR Azure dan kluster Apache Spark yang digunakan oleh alur, aliran data, dan kumpulan Apache Spark disebarkan di dalam jaringan virtual ruang kerja terkelola. Penyiapan ini memastikan isolasi jaringan antara ruang kerja untuk alur dan beban kerja Apache Spark.

Diagram berikut menggambarkan berbagai komponen Azure Synapse.

Diagram komponen Azure Synapse yang menunjukkan kumpulan SQL khusus, kumpulan SQL tanpa server, kumpulan Apache Spark, dan alur.

Isolasi komponen

Setiap komponen individu Azure Synapse yang digambarkan dalam diagram menyediakan fitur keamanannya sendiri. Fitur keamanan menyediakan perlindungan data, kontrol akses, autentikasi, keamanan jaringan, dan perlindungan ancaman untuk mengamankan komputasi dan data terkait yang diproses. Selain itu, Azure Storage, menjadi layanan PaaS, memberikan keamanan tambahan sendiri, yang disiapkan dan dikelola oleh pelanggan di akun penyimpanan mereka sendiri. Tingkat isolasi komponen ini membatasi dan meminimalkan paparan jika ada kerentanan keamanan di salah satu komponennya.

Lapisan keamanan

Azure Synapse menerapkan arsitektur keamanan berlapis untuk perlindungan data Anda secara menyeluruh. Ada lima lapisan:

Perlindungan data untuk mengidentifikasi dan mengklasifikasikan data sensitif, serta mengenkripsi data tidak aktif dan bergerak.
Kontrol akses untuk menentukan hak pengguna untuk berinteraksi dengan data.
Autentikasi untuk membuktikan identitas pengguna dan aplikasi.
Keamanan jaringan untuk mengisolasi lalu lintas jaringan dengan titik akhir privat dan jaringan privat virtual.
Perlindungan ancaman untuk mengidentifikasi potensi ancaman keamanan, seperti lokasi akses yang tidak biasa, serangan injeksi SQL, serangan autentikasi, dan banyak lagi.

Gambar memperlihatkan lima lapisan arsitektur keamanan Azure Synapse: Perlindungan data, Kontrol akses, Autentikasi, Keamanan jaringan, dan Perlindungan ancaman.

Langkah berikutnya

Pada artikel berikutnya dalam rangkaian dokumen resmi ini, pelajari tentang perlindungan data.