Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op:
Azure Data Factory Azure Synapse Analytics
Tip
Data Factory in Microsoft Fabric is de volgende generatie van Azure Data Factory, met een eenvoudigere architectuur, ingebouwde AI en nieuwe functies. Als u nieuw bent in gegevensintegratie, begint u met Fabric Data Factory. Bestaande ADF-workloads kunnen upgraden naar Fabric om toegang te krijgen tot nieuwe mogelijkheden voor gegevenswetenschap, realtime analyses en rapportage.
In dit artikel wordt de basisbeveiligingsinfrastructuur beschreven die services voor gegevensverplaatsing in Azure Data Factory gebruiken om uw gegevens te beveiligen. Data Factory-beheerbronnen zijn gebaseerd op Azure beveiligingsinfrastructuur en maken gebruik van alle mogelijke beveiligingsmaatregelen die worden aangeboden door Azure.
In een Data Factory-oplossing maakt u een of meer gegevenspijplijnen. Een pijplijn is een logische groep activiteiten die samen een taak uitvoeren. Deze pijplijnen bevinden zich in de regio waar de data factory is gecreëerd.
Hoewel Data Factory slechts in enkele regio's beschikbaar is, is de service voor gegevensverplaatsing wereldwijd beschikbaar om gegevenscompatibiliteit, efficiëntie en lagere kosten voor uitgaand netwerk te garanderen.
Azure Data Factory inclusief Azure Integration Runtime en zelf-gehoste Integration Runtime slaat geen tijdelijke gegevens, cachegegevens of logboeken op, met uitzondering van gekoppelde servicereferenties voor cloudgegevensarchieven, die via certificaten worden versleuteld. Met Data Factory maakt u gegevensgestuurde werkstromen om het verplaatsen van gegevens tussen ondersteunde gegevensarchieven en de verwerking van gegevens te organiseren met behulp van rekenservices in andere regio's of in een on-premises omgeving. U kunt ook werkstromen bewaken en beheren met behulp van SDK's en Azure Monitor.
Data Factory is gecertificeerd voor:
| CSA STAR-certificering |
|---|
| ISO 20000-1:2011 |
| ISO 22301:2012 |
| ISO 27001:2013 |
| ISO 27017:2015 |
| ISO 27018:2014 |
| ISO 9001:2015 |
| SOC 1, 2, 3 |
| HIPAA BAA |
| HITRUST |
Als u geïnteresseerd bent in Azure naleving en hoe Azure zijn eigen infrastructuur beveiligt, gaat u naar het Microsoft Trust Center. Raadpleeg https://aka.ms/AzureCompliance voor de meest recente lijst met alle Azure complianceaanbiedingen.
In dit artikel bekijken we beveiligingsoverwegingen in de volgende twee scenario's voor gegevensverplaatsing:
- Cloudscenario: In dit scenario zijn zowel uw bron als uw bestemming openbaar toegankelijk via internet. Deze omvatten beheerde cloudopslagservices zoals Azure Storage, Azure Synapse Analytics, Azure SQL Database, Azure Data Lake Store, Amazon S3, Amazon Redshift, SaaS-services zoals Salesforce en webprotocollen zoals FTP en OData. Zoek een volledige lijst met ondersteunde gegevensbronnen in ondersteunde gegevensarchieven en -indelingen.
- Hybride scenario: In dit scenario bevindt uw bron of bestemming zich achter een firewall of in een on-premises bedrijfsnetwerk. Of het gegevensarchief bevindt zich in een particulier netwerk of virtueel netwerk (meestal de bron) en is niet openbaar toegankelijk. Databaseservers die worden gehost op virtuele machines vallen ook onder dit scenario.
Notitie
U wordt aangeraden de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Install Azure PowerShell om aan de slag te gaan. Zie Migrate Azure PowerShell van AzureRM naar Az voor meer informatie over het migreren naar de Az PowerShell-module.
Cloudscenario's
Beveiligen van inloggegevens voor datastore
- Versleutelde referenties opslaan in een door Azure Data Factory beheerde opslag. Data Factory maakt gebruik van uw gegevensopslagreferenties te beveiligen door ze te versleutelen met certificaten die worden beheerd door Microsoft. Deze certificaten worden elke twee jaar geroteerd (inclusief certificaatvernieuwing en de migratie van referenties). Zie Azure Storage beveiligingsoverzicht voor meer informatie over Azure Storage beveiliging.
- Referenties opslaan in Azure Key Vault. U kunt ook de referenties van het gegevensarchief opslaan in Azure Key Vault. Data Factory haalt de referentie op tijdens de uitvoering van een activiteit. Zie Store-referentie in Azure Key Vault voor meer informatie.
Door de opslag van toepassingsgeheimen in Azure Key Vault kunt u de distributie beheren. Key Vault vermindert de kans dat geheimen per ongeluk kunnen worden gelekt. In plaats van de connection string op te slaan in de code van de app, kunt u deze veilig opslaan in Key Vault. Met behulp van URI's hebben uw toepassingen veilig toegang tot de benodigde gegevens. Met deze URI's kunnen de toepassingen specifieke versies van een geheim ophalen. U hoeft geen aangepaste code te schrijven om de geheime gegevens te beveiligen die zijn opgeslagen in Key Vault.
Gegevensversleuteling tijdens overdracht
Als het cloudgegevensarchief HTTPS of TLS ondersteunt, worden alle gegevensoverdrachten tussen services voor gegevensverplaatsing in Data Factory en een cloudgegevensarchief uitgevoerd via een beveiligd kanaal met HTTPS of TLS.
Notitie
Alle verbindingen met Azure SQL Database en Azure Synapse Analytics vereisen versleuteling (SSL/TLS) terwijl gegevens worden overgedragen naar en van de database. Wanneer u een pijplijn ontwerpt met behulp van JSON, voegt u de versleutelingseigenschap toe en stelt u deze in op true in de connection string. Voor Azure Storage kunt u HTTPS in de connection string gebruiken.
Notitie
Volg een van de onderstaande opties om versleuteling in te schakelen tijdens het verplaatsen van gegevens van Oracle:
- Ga in Oracle Server naar Oracle Advanced Security (OAS) en configureer de versleutelingsinstellingen, die ondersteuning biedt voor Triple-DES Encryption (3DES) en Advanced Encryption Standard (AES), vindt u hier voor meer informatie. ADF onderhandelt automatisch over de versleutelingsmethode voor het gebruik van de methode die u in OAS configureert bij het tot stand brengen van verbinding met Oracle.
- In ADF kunt u EncryptionMethod=1 toevoegen in de connection string (in de gekoppelde service). Hiermee wordt SSL/TLS gebruikt als versleutelingsmethode. Als u dit wilt gebruiken, moet u niet-SSL-versleutelingsinstellingen uitschakelen in OAS aan de serverzijde van Oracle om versleutelingsconflicten te voorkomen.
Notitie
TLS-versie die wordt gebruikt, is 1.2.
Gegevensversleuteling in rust
Sommige gegevensarchieven ondersteunen versleuteling van gegevens in rust. U wordt aangeraden het mechanisme voor gegevensversleuteling in te schakelen voor deze gegevensarchieven.
Azure Synapse Analytics
Transparent Data Encryption (TDE) in Azure Synapse Analytics helpt beschermen tegen de bedreiging van kwaadaardige activiteiten door real-time versleuteling en ontsleuteling van uw gegevens in rusttoestand uit te voeren. Dit gedrag is transparant voor de client. Zie Secure a database in Azure Synapse Analytics voor meer informatie.
Azure SQL Database
Azure SQL Database biedt ook ondersteuning voor TDE (Transparent Data Encryption), waarmee u de bedreiging van schadelijke activiteiten kunt beschermen door realtime versleuteling en ontsleuteling van de gegevens uit te voeren, zonder dat er wijzigingen in de toepassing nodig zijn. Dit gedrag is transparant voor de client. Zie Versleuteling van transparente gegevens voor SQL Database en Data Warehouse voor meer informatie.
Azure Data Lake Store
Azure Data Lake Store biedt ook versleuteling voor gegevens die zijn opgeslagen in het account. Wanneer deze optie is ingeschakeld, versleutelt Data Lake Store automatisch gegevens voordat ze worden bewaard en ontsleuteld voordat ze worden opgehaald, zodat deze transparant is voor de client die toegang heeft tot de gegevens. Zie Security in Azure Data Lake Store voor meer informatie.
Azure Blob Storage en Azure Table Storage
Azure Blob Storage en Azure Table Storage ondersteunen Storage Service Encryption (SSE), waarmee uw gegevens automatisch worden versleuteld voordat ze worden opgeslagen en ontsleuteld voordat ze worden opgehaald. Zie Azure Storage Service Encryption for Data at Rest voor meer informatie.
Amazon S3
Amazon S3 ondersteunt zowel client- als server-side encryptie van gegevens in rust. Zie Gegevens beveiligen met behulp van versleuteling voor meer informatie.
Amazon Redshift
Amazon Redshift ondersteunt clusterversleuteling voor data-at-rest. Zie Amazon Redshift Database Encryption voor meer informatie.
Salesforce
Salesforce ondersteunt Shield Platform Encryption waarmee versleuteling van alle bestanden, bijlagen en aangepaste velden mogelijk is. Voor meer informatie, zie De OAuth-authenticatiestroom van de webserver begrijpen.
Hybride scenario's
Voor hybride scenario's moet zelf-hostende Integration Runtime worden geïnstalleerd in een on-premises netwerk, in een virtueel netwerk (Azure) of in een virtuele privécloud (Amazon). De zelf-hostende Integration Runtime moet toegang hebben tot de lokale gegevensarchieven. Voor meer informatie over zelf-hostende Integration Runtime, zie Hoe maak en configureer je een zelf-hostende Integration Runtime.
Het opdrachtkanaal maakt communicatie mogelijk tussen services voor gegevensverplaatsing in Data Factory en zelf-hostende Integration Runtime. De communicatie bevat informatie met betrekking tot de activiteit. Het gegevenskanaal wordt gebruikt voor het overdragen van gegevens tussen on-premises gegevensarchieven en cloudgegevensarchieven.
Referenties voor on-premises gegevensopslag
De referenties kunnen worden opgeslagen in data factory of worden verwezen door data factory tijdens runtime vanuit Azure Key Vault. Als u referenties opslaat in Data Factory, worden deze altijd versleuteld opgeslagen in de self-hosted Integration Runtime.
Sla referenties lokaal op. Als u de cmdlet Set-AzDataFactoryV2LinkedService rechtstreeks gebruikt met de inline verbindingsreeksen en referenties in de JSON, wordt de gekoppelde service versleuteld en opgeslagen in de zelf-gehoste integratie-runtime. In dit geval gaan de referenties via de Azure back-end service, die zeer veilig is, naar de zelf-gehoste integratiemachine, waar ze uiteindelijk worden gecodeerd en opgeslagen. De zelf-hostende Integration Runtime maakt gebruik van Windows DPAPI om de gevoelige gegevens en referentiegegevens te versleutelen.
Referenties opslaan in Azure Key Vault. U kunt ook de referenties van het gegevensarchief opslaan in Azure Key Vault. Data Factory haalt de referentie op tijdens de uitvoering van een activiteit. Zie Store-referentie in Azure Key Vault voor meer informatie.
Bewaar referenties lokaal zonder dat de referenties via de Azure back-end naar de zelfgehoste integratieruntime stromen. Als u referenties lokaal wilt versleutelen en opslaan in de zelf-hostende Integration Runtime zonder dat u de referenties via de back-end van data factory hoeft te doorlopen, volgt u de stappen in Referenties versleutelen voor on-premises gegevensarchieven in Azure Data Factory. Alle connectors ondersteunen deze optie. De zelf-hostende Integration Runtime maakt gebruik van Windows DPAPI om de gevoelige gegevens en referentiegegevens te versleutelen.
Gebruik de cmdlet New-AzDataFactoryV2LinkedServiceEncryptedCredential om gekoppelde servicereferenties en gevoelige details in de gekoppelde service te versleutelen. Vervolgens kunt u de geretourneerde JSON (met het EncryptedCredential element in de connection string) gebruiken om een gekoppelde service te maken met behulp van de cmdlet Set-AzDataFactoryV2LinkedService.
Poorten die worden gebruikt bij het versleutelen van de gekoppelde service op een zelfgehoste Integration Runtime
Wanneer externe toegang vanaf intranet is ingeschakeld, gebruikt PowerShell standaard poort 8060 op de computer met zelf-hostende Integration Runtime voor beveiligde communicatie. Indien nodig kan deze poort worden gewijzigd vanuit het Integration Runtime Configuration Manager op het tabblad Instellingen:
Versleuteling tijdens overdracht
Alle gegevensoverdrachten zijn via https en TLS via beveiligde kanalen via TCP om man-in-the-middle-aanvallen te voorkomen tijdens communicatie met Azure-services.
U kunt ook IPsec VPN of Azure ExpressRoute gebruiken om het communicatiekanaal tussen uw on-premises netwerk en Azure verder te beveiligen.
Azure Virtual Network is een logische weergave van uw netwerk in de cloud. U kunt een on-premises netwerk verbinden met uw virtuele netwerk door IPsec VPN (site-naar-site) of ExpressRoute (privépeering) in te stellen.
De volgende tabel bevat een overzicht van de aanbevelingen voor de configuratie van de netwerk- en zelf-hostende Integration Runtime op basis van verschillende combinaties van bron- en doellocaties voor hybride gegevensverplaatsing.
| Bron | Bestemming | Netwerkconfiguratie | Installatie van integratieruntime |
|---|---|---|---|
| Op locatie | Virtuele machines en cloudservices die zijn geïmplementeerd in virtuele netwerken | IPsec VPN (punt-naar-site of site-naar-site) | De zelf-hostende Integration Runtime moet worden geïnstalleerd op een Azure virtuele machine in het virtuele netwerk. |
| Op locatie | Virtuele machines en cloudservices die zijn geïmplementeerd in virtuele netwerken | ExpressRoute (persoonlijke peering) | De zelf-hostende Integration Runtime moet worden geïnstalleerd op een Azure virtuele machine in het virtuele netwerk. |
| Op locatie | op Azure gebaseerde services met een openbaar eindpunt | ExpressRoute (Microsoft-peering) | De zelf-hostende Integration Runtime kan on-premises of op een Azure virtuele machine worden geïnstalleerd. |
In de volgende afbeeldingen ziet u het gebruik van zelf-hostende Integration Runtime voor het verplaatsen van gegevens tussen een on-premises database en Azure-services met behulp van ExpressRoute en IPsec VPN (met Azure Virtual Network):
ExpressRoute
IPsec VPN
Firewallconfiguraties en acceptatielijst instellen voor IP-adressen
Notitie
Mogelijk moet u poorten beheren of een acceptatielijst instellen voor domeinen op het niveau van de bedrijfsfirewall, zoals vereist voor de respectieve gegevensbronnen. In deze tabel worden alleen Azure SQL Database, Azure Synapse Analytics en Azure Data Lake Store gebruikt als voorbeelden.
Notitie
Zie dit artikel voor meer informatie over strategieën voor gegevenstoegang via Azure Data Factory.
Firewallvereisten voor on-premises/particulier netwerk
In een onderneming wordt een bedrijfsfirewall uitgevoerd op de centrale router van de organisatie. Windows Firewall wordt uitgevoerd als een daemon op de lokale computer waarop de zelf-hostende Integration Runtime is geïnstalleerd.
De volgende tabel bevat uitgaande poort- en domeinvereisten voor bedrijfsfirewalls:
| Domeinnamen | Uitgaande poorten | Beschrijving |
|---|---|---|
*.servicebus.windows.net |
443 | Vereist door de zelf-hostende integration runtime voor interactief ontwerpen. |
{datafactory}.{region}.datafactory.azure.netof *.frontend.clouddatahub.net |
443 | Vereist door de zelf-hostende Integration Runtime om verbinding te maken met de Data Factory-service. Voor een nieuw aangemaakte Data Factory vindt u de volledig gekwalificeerde domeinnaam (FQDN) van uw zelf-gehoste Integration Runtime-sleutel, die het formaat {datafactory}.{region}.datafactory.azure.net heeft. Gebruik voor een oude Data factory, als u de FQDN niet ziet in uw zelf-hostende Integration-sleutel, in plaats daarvan *.frontend.clouddatahub.net. |
download.microsoft.com |
443 | Vereist door de zelf-hostende Integration Runtime voor het downloaden van de updates. Als u automatische updates heb uitgeschakeld, kunt u het configureren van dit domein overslaan. |
*.core.windows.net |
443 | Wordt gebruikt door de zelf-hostende Integration Runtime om verbinding te maken met het Azure-opslagaccount wanneer u de functie staged kopie gebruikt. |
*.database.windows.net |
1433 | Alleen vereist wanneer u kopieert van of naar Azure SQL Database of Azure Synapse Analytics en optioneel anders. Gebruik de functie voor gefaseerd kopiëren om gegevens te kopiëren naar SQL Database of Azure Synapse Analytics zonder poort 1433 te openen. |
*.azuredatalakestore.netlogin.microsoftonline.com/<tenant>/oauth2/token |
443 | Alleen vereist wanneer u kopieert van of naar Azure Data Lake Store en optioneel, anders. |
Notitie
Mogelijk moet u poorten beheren of een acceptatielijst instellen voor domeinen op het niveau van de bedrijfsfirewall, zoals vereist voor de respectieve gegevensbronnen. In deze tabel worden alleen Azure SQL Database, Azure Synapse Analytics en Azure Data Lake Store gebruikt als voorbeelden.
De volgende tabel bevat vereisten voor binnenkomende poorten voor Windows Firewall:
| Poorten voor inkomend verkeer | Beschrijving |
|---|---|
| 8060 (TCP) | Vereist door de PowerShell-versleutelings-cmdlet, zoals beschreven in Versleutelingsreferenties voor on-premises gegevensarchieven in Azure Data Factory en door de referentiebeheertoepassing om veilig referenties in te stellen voor on-premises gegevensarchieven in de zelf-hostende Integration Runtime. |
IP-configuraties en acceptatielijst instellen in gegevensarchieven
Voor sommige gegevensarchieven in de cloud is ook vereist dat u het IP-adres van de computer die toegang heeft tot het archief toestaat. Zorg ervoor dat het IP-adres van de zelf-gehoste Integration Runtime-machine in de firewall is toegestaan of geconfigureerd.
Voor de volgende cloudgegevensarchieven moet u het IP-adres van de zelf-hostende Integration Runtime-machine toestaan. Voor sommige van deze gegevensarchieven is standaard geen acceptatielijst vereist.
Veelgestelde vragen
Kan de zelf-hostende Integration Runtime worden gedeeld in verschillende data factory's?
Ja. Hier vindt u meer informatie.
Wat zijn de poortvereisten voor de zelf-gehoste Integration Runtime om te werken?
De zelf-hostende Integration Runtime maakt HTTP-verbindingen voor toegang tot internet. De uitgaande poorten 443 moeten worden geopend voor de zelfgehoste Integration Runtime om deze verbinding te maken. Open binnenkomende poort 8060 alleen op computerniveau (niet op het niveau van de bedrijfsfirewall) voor de referentiebeheertoepassing. Als Azure SQL Database of Azure Synapse Analytics als bron of doel wordt gebruikt, moet u ook poort 1433 openen. Zie de firewallconfiguraties en de acceptatielijst voor de sectie IP-adressen voor meer informatie.
Gerelateerde inhoud
Zie Copy Activity Performance and Tuning Guide voor meer informatie over de prestaties van Azure Data Factory kopieeractiviteit.