你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

保护 Azure 数据工厂部署

Azure 数据工厂是一种基于云的数据集成服务，可用于创建用于协调和自动化数据移动和数据转换的工作流。保护 Azure 数据工厂对于保护敏感数据、确保合规性和维护数据工作流的完整性至关重要。

本文提供有关如何最好地保护 Azure 数据工厂部署的指导。

网络安全

网络安全对于保护 Azure 数据工厂免受未经授权的访问和潜在威胁以及保护移动中的数据至关重要。实施可靠的网络安全措施有助于隔离和保护数据集成过程。

使用虚拟网络（VNet）隔离和分段工作负荷：使用 VNet 为数据工厂和数据源创建隔离的网络环境，从而根据风险对工作负荷进行分段。 VNet 有助于控制云基础结构中的流量。根据您所处的源位置，请查看：
- 将 Azure-SSIS 集成运行时加入虚拟网络
- 将 Azure 集成运行时加入托管虚拟网络

使用网络安全组（NSG）控制流量流：目前，这仅适用于 SSIS 集成运行时和虚拟网络的自承载集成运行时，不适用于托管虚拟网络。应用 NSG 来控制 VNet 中虚拟机和子网的入站和出站流量。使用“默认拒绝，允许例外”方法来限制流量流和保护敏感资源。如果已将 Azure 数据工厂加入虚拟网络，则默认情况下，在 Azure 数据工厂自动创建的 NSG 上，端口 3389 将打开所有流量。将此端口锁定，确保只有管理员才有访问权限。若要管理 NSG，请参阅网络安全组。

使用 TLS/SSL 证书从 Intranet 启用远程访问来保护自承载集成运行时节点 - 可以部署多个自承载集成运行时节点来平衡负载并提供高可用性，并通过 TLS/SSL 证书从 Intranet 启用远程访问可确保集成运行时节点之间的安全通信。
使用私有链接保护服务访问权限：通过自托管集成运行时以及Azure平台资源安全连接到Azure数据工厂，从而防止暴露到公网互联网。这将增强数据隐私并减少攻击途径。通过使用 Azure 专用链接，可以通过专用终结点连接到 Azure 中各种平台即服务（PaaS）部署。请参阅数据工厂的 Azure 专用链接。

标识管理

标识管理可确保只有经过授权的用户和服务才能访问 Azure 数据工厂。实施强标识管理做法有助于防止未经授权的访问和保护敏感数据。

应用最低特权原则：使用 Azure 数据工厂的基于角色的访问控制（RBAC）为用户和服务分配最低必要权限，确保他们仅有权访问执行其职责所需的权限。定期评审和调整角色，以符合最低特权原则。请参阅 Azure 数据工厂中的角色和权限。
在不使用凭据的情况下使用托管标识进行安全访问：在 Azure 中使用托管标识通过 Azure 服务安全地对 Azure 数据工厂进行身份验证，而无需管理凭据。这提供了访问 Azure Key Vault 或 Azure SQL 数据库等资源的安全和简化方法。请参阅 Azure 数据工厂的托管标识。

数据保护

实施可靠的数据保护措施有助于保护敏感信息并符合法规要求。 Azure 数据工厂不存储数据本身，因此实现网络安全和标识管理对于保护传输中的数据至关重要。但是，可以使用某些工具和做法进一步保护处理中的数据。

使用 Microsoft Purview 识别和跟踪敏感数据：将 Azure 数据工厂与 Microsoft Purview 集成，以在其生命周期内发现、分类和管理敏感数据。这有助于确保适当地处理敏感信息并符合数据保护法规。请参阅 Microsoft Purview 与数据工厂的集成。
加密静态数据和传输中的数据：Azure 数据工厂对静态数据进行加密，包括实体定义以及运行过程中缓存的任何数据。默认情况下，使用随机生成并由 Microsoft 管理的密钥加密数据，该密钥只会分配到数据工厂。为了获得额外的安全保证，现在可以通过 Azure 数据工厂客户管理的密钥功能启用“创建自己的密钥”(BYOK)。请参阅使用客户管理的密钥加密 Azure 数据工厂
限制凭据和机密的公开：使用 Azure Key Vault 安全地存储和管理敏感信息，例如连接字符串、机密和证书。将 Azure 数据工厂与 Azure Key Vault 集成，在运行时检索机密，确保敏感数据不会在管道或数据集中硬编码。请参阅 Azure Key Vault 与数据工厂的集成。
使用 Azure Policy 强制实施数据保护标准：应用 Azure Policy 以在整个 Azure 数据工厂部署中强制实施数据保护标准。这有助于确保符合组织和法规要求。请参阅数据工厂的 Azure Policy 内置定义。

备份和恢复

备份和恢复对于确保 Azure 数据工厂中的数据和配置在发生故障或灾难时受保护且可恢复至关重要。

实现 Azure 数据工厂的源代码管理：使用 Azure Repos 或 GitHub 管理 Azure 数据工厂配置和管道。这样，就可以对数据工厂资源、跟踪更改和协作进行版本控制。请参阅 Azure 数据工厂的源代码管理。
实现持续集成和持续交付（CI/CD）：Azure 数据工厂利用 Azure 资源管理器模板来存储各种 ADF 实体（管道、数据集、数据流等）的配置。这样可以保护生产部署免受意外更改，并可以提供环境的可部署备份。请查看 Azure 数据工厂中的 CI/CD。

有关基于方案的安全注意事项，请参阅 Azure 数据工厂的安全注意事项。

反馈

此页面是否有帮助？

Last updated on 2025-07-22