Segurança de integração de dados para SAP no Azure
Este artigo faz parte da série de artigos "SAP extend and innovate data: Best practices".
- Identificar fontes de dados SAP
- Escolha o melhor conector SAP
- Desempenho e solução de problemas para extração de dados SAP
- Segurança de integração de dados para SAP no Azure
- Arquitetura genérica de integração de dados SAP
Este artigo descreve as camadas de segurança para cenários de extensão SAP, fornece um detalhamento de cada componente e oferece considerações e recomendações. Os recursos de gestão do Azure Data Factory são criados na infraestrutura de segurança do Azure e utilizam medidas de segurança do Azure.
A camada de ingestão de dados consiste em:
- SAP S/4HANA, SAP BW/4HANA ou SAP HANA Enterprise Edition
- Azure Data Lake Storage Gen2
- Data Factory
- Uma máquina virtual (VM) de tempo de execução de integração auto-hospedada (SHIR)
O diagrama a seguir é um exemplo de arquitetura de segurança de integração de dados SAP no Azure. Use a arquitetura de exemplo como ponto de partida.
Transfira um ficheiro do Visio desta arquitetura.
Considerações e recomendações
As seções a seguir descrevem considerações de segurança de integração de dados e recomendações para SAP no Azure.
Segurança SAP
O guia de segurança SAP tem orientações detalhadas para produtos SAP.
Segurança do Data Lake Storage Gen2
Consulte as seguintes considerações sobre a segurança do Data Lake Storage Gen2.
Autorizar o acesso aos dados no Armazenamento do Microsoft Azure
Quando você acessa dados em sua conta de armazenamento, seu aplicativo cliente faz uma solicitação por HTTP/HTTPS para armazenamento. Por padrão, todos os recursos no armazenamento são seguros e todas as solicitações para um recurso seguro devem ser autorizadas. O armazenamento oferece muitas opções para autorizar o acesso aos dados. Recomendamos o uso de credenciais do Microsoft Entra para autorizar solicitações de dados para segurança e simplicidade ideais. Para obter mais informações, consulte Proteger suas chaves de acesso.
Controlo de acesso baseado em funções do Azure (RBAC)
Use o RBAC para gerenciar as permissões de uma entidade de segurança para recursos de blob, fila e tabela em uma conta de armazenamento. Você também pode usar o controle de acesso baseado em atributos (ABAC) do Azure para adicionar condições às atribuições de função do Azure para recursos de blob. Para obter mais informações, consulte Autorizar o acesso ao Armazenamento de Blobs do Azure usando as condições de atribuição de função do Azure.
Segurança de armazenamento de Blob
Considere recomendações de segurança para armazenamento de blobs, como proteção de dados, gerenciamento de identidade e acesso, rede, registro em log e monitoramento. Para obter mais informações, consulte Recomendações de segurança para armazenamento de blobs.
Controle de acesso ao Data Lake Storage Gen2
O Data Lake Storage Gen2 suporta as seguintes estratégias de autorização:
- RBAC
- Listas de controlo de acesso (ACL)
- Grupos de segurança
- Autorização de chave compartilhada e assinatura de acesso compartilhado (SAS)
Há dois tipos de ACLs no Data Lake Storage Gen2:
- As ACLs de acesso controlam o acesso a um objeto. Arquivos e diretórios têm acesso a ACLs.
- As ACLs padrão são modelos de ACLs associadas a um diretório. Eles determinam as ACLs de acesso para quaisquer itens filho criados nesse diretório. Os arquivos não têm ACLs padrão.
Em uma entrada ACL, não atribua diretamente usuários individuais ou entidades de serviço. Use sempre os grupos de segurança do Microsoft Entra como a entidade de segurança atribuída. Essa prática permite adicionar e remover usuários ou entidades de serviço sem reaplicar ACLs a uma estrutura de diretórios inteira. Em vez disso, você pode adicionar ou remover usuários e entidades de serviço do grupo de segurança apropriado do Microsoft Entra. Para obter mais informações, consulte Listas de controle de acesso.
Segurança do Data Factory
Consulte as seguintes considerações sobre segurança do Data Factory.
Movimento de dados
Há dois cenários de movimentação de dados: um cenário de nuvem e um cenário híbrido. Para obter informações sobre segurança de movimentação de dados, consulte Considerações de segurança para movimentação de dados no Data Factory.
Num cenário de nuvem, a sua origem e o seu destino são acessíveis publicamente através da Internet. Sua origem ou destino podem ser serviços de armazenamento em nuvem gerenciados, como Armazenamento do Azure, Azure Synapse Analytics, Banco de Dados SQL do Azure, Data Lake Storage Gen2, Amazon S3, Amazon Redshift, serviços de software como serviço (SaaS), como Salesforce, ou protocolos da Web, como FTP (File Transfer Protocol) e OData (Open Data Protocol). Encontre uma lista completa de fontes de dados suportadas em armazenamentos e formatos de dados suportados.
Em um cenário híbrido, sua origem ou seu destino estão atrás de um firewall ou dentro de uma rede corporativa local. Ou o armazenamento de dados está em uma rede privada ou virtual e não é acessível publicamente. Nesse caso, o armazenamento de dados é geralmente a fonte. O cenário híbrido também inclui servidores de banco de dados hospedados em máquinas virtuais.
Estratégias de acesso a dados
Sua organização deseja proteger seus armazenamentos de dados, como armazenamentos de dados locais ou na nuvem/SaaS, contra acesso não autorizado via Internet. Você pode controlar o acesso em seu armazenamento de dados na nuvem usando:
- Um link privado de uma rede virtual para uma fonte de dados privada habilitada para ponto de extremidade.
- Regras de firewall que limitam a conectividade usando um endereço IP.
- Estratégias de autenticação que exigem que os usuários provem sua identidade.
- Estratégias de autorização que restringem os usuários a ações e dados específicos.
Para obter mais informações, consulte Estratégias de acesso a dados.
Armazenar credenciais no Azure Key Vault
Você pode armazenar credenciais para armazenamentos de dados e cálculos no Cofre de Chaves. O Data Factory recupera as credenciais quando é executada uma atividade que usa o armazenamento de dados ou a computação. Para obter mais informações, consulte Armazenar credenciais no Cofre da Chave e Usar segredos do Cofre da Chave em atividades de pipeline.
Criptografar credenciais
No Data Factory, considere criptografar credenciais para armazenamentos de dados locais. Em uma máquina com um SHIR, você pode criptografar e armazenar credenciais para qualquer um dos seus armazenamentos de dados locais, como serviços vinculados com informações confidenciais. Para obter mais informações, consulte Criptografar credenciais para armazenamentos de dados locais no Data Factory.
Utilizar uma identidade gerida
Quando você usa uma identidade gerenciada, não precisa gerenciar credenciais. Uma identidade gerenciada fornece uma identidade para a instância de serviço quando ela se conecta a recursos que oferecem suporte à autenticação do Microsoft Entra. Há dois tipos de identidades gerenciadas suportadas: identidades gerenciadas atribuídas pelo sistema e identidades gerenciadas atribuídas pelo usuário. Para obter mais informações, consulte Identidade gerenciada para o Data Factory.
Criptografar com chaves gerenciadas pelo cliente
Dependendo de suas políticas de segurança, considere criptografar o Data Factory com chaves gerenciadas pelo cliente. Para obter mais informações, consulte Criptografar o Data Factory com chaves gerenciadas pelo cliente.
Usar uma rede virtual gerenciada
Quando você cria um tempo de execução de integração do Azure em uma rede virtual gerenciada pelo Data Factory, o tempo de execução da integração é provisionado com a rede virtual gerenciada. Ele usa pontos de extremidade privados para se conectar com segurança aos armazenamentos de dados suportados. Um ponto final privado é um endereço IP privado numa rede virtual e sub-rede específicas. A rede virtual gerenciada só é suportada na mesma região que a região Data Factory. Para obter mais informações, consulte Rede virtual gerenciada pelo Data Factory.
Usar o Azure Private Link
Ao usar o Private Link, você pode se conectar a implantações de plataforma como serviço (PaaS) no Azure por meio de um ponto de extremidade privado. Para obter uma lista de implantações de PaaS que oferecem suporte ao Private Link, consulte Private Link for Data Factory.
Conexões SHIR VM e segurança
Consulte as considerações a seguir para conexões de VM SHIR e segurança.
Credenciais de armazenamento de dados local
Você pode armazenar credenciais de armazenamento de dados locais no Data Factory ou fazer referência às credenciais usando o Data Factory durante o tempo de execução do Cofre da Chave. Se você armazenar credenciais no Data Factory, sempre criptografe-as em um SHIR. Para obter mais informações, consulte Credenciais de armazenamento de dados local.
Configure um SHIR com base na sua configuração de rede
Para um movimento de dados híbrido, a tabela a seguir resume as recomendações de configuração de rede e SHIR com base em diferentes combinações de locais de origem e destino.
Source | Destino | Configuração da rede | Configuração do tempo de execução da integração |
---|---|---|---|
No local | Máquinas virtuais e serviços de nuvem implantados em redes virtuais | VPN IPSec (ponto-a-site ou site-a-site) | Instalar um SHIR em uma máquina virtual do Azure na rede virtual |
No local | Máquinas virtuais e serviços de nuvem implantados em redes virtuais | Azure ExpressRoute (emparelhamento privado) | Instalar um SHIR em uma máquina virtual do Azure na rede virtual |
No local | Serviços baseados no Azure que têm um ponto de extremidade público | ExpressRoute (emparelhamento da Microsoft) | Instalar um SHIR no local ou em uma máquina virtual do Azure |
ExpressRoute ou VPN IPSec
As imagens a seguir mostram como usar um SHIR para mover dados entre um banco de dados local e um serviço do Azure usando a Rede Virtual do Azure e a Rota Expressa ou VPN IPSec.
Para configurações de firewall e configuração de lista de permissões para endereços IP, consulte Considerações de segurança para movimentação de dados no Data Factory.
Este diagrama mostra como mover dados usando o emparelhamento privado da Rota Expressa:
Este diagrama mostra como mover dados usando VPN IPSec:
No firewall, certifique-se de que o endereço IP da máquina SHIR é permitido e configurado adequadamente. Os seguintes armazenamentos de dados na nuvem exigem que você permita o endereço IP da máquina SHI. Por padrão, alguns desses armazenamentos de dados podem não exigir allowlist.
- Base de Dados SQL
- Azure Synapse Analytics
- Armazenamento do Data Lake Ger2
- BD do Cosmos para o Azure
- Amazon Redshift
Para obter mais informações, consulte Considerações de segurança para movimentação de dados no Data Factory e Criar e configurar um SHIR.
Segurança do Azure Databricks
Consulte as seguintes considerações sobre a segurança do Azure Databricks.
Linha de base de segurança do Azure para Azure Databricks
Considere a linha de base de segurança do Azure para o Azure Databricks. Esta linha de base de segurança aplica orientações do benchmark de segurança na nuvem da Microsoft versão 1.0 ao Azure Databricks. O benchmark de segurança na nuvem da Microsoft fornece recomendações sobre como proteger suas soluções de nuvem no Azure.
Segurança do Azure Synapse Analytics
O Azure Synapse Analytics implementa uma arquitetura de segurança em várias camadas para proteção de ponta a ponta dos seus dados. Existem cinco camadas:
A proteção de dados identifica e classifica dados sensíveis e criptografa dados em repouso e em movimento. Para obter recomendações de deteção e classificação de dados, governança e criptografia, consulte Proteção de dados.
O controle de acesso determina o direito do usuário de interagir com os dados. O Azure Synapse Analytics dá suporte a uma ampla gama de recursos para controlar quem pode acessar quais dados. Para obter mais informações, consulte Controle de acesso.
A autenticação comprova a identidade de usuários e aplicativos. A Auditoria SQL do Azure pode registrar atividades de autenticação e um administrador de TI pode configurar relatórios e alertas sempre que houver uma tentativa de entrada de um local suspeito. Para obter mais informações, veja Autenticação.
A segurança de rede isola o tráfego de rede com pontos de extremidade privados e redes virtuais privadas. Há muitas opções de segurança de rede para proteger o Azure Synapse Analytics. Para obter mais informações, consulte Segurança de rede.
A deteção de ameaças identifica possíveis ameaças à segurança, como locais de acesso incomuns, ataques de injeção de SQL e ataques de autenticação. Para obter mais informações, consulte Deteção de ameaças.
Camada de apresentação de dados
Considere como você pode usar os recursos de segurança para defender a camada de apresentação, incluindo o Power BI. Para obter mais informações, consulte Segurança do Power BI e Planejamento da implementação do Power BI: Segurança.