שיפור האבטחה עם זהות מנוהלת שהוקצתה על ידי המערכת עבור מסד נתונים של Azure SQL
בעולם המחשוב בענן, אבטחת חיבורי מסד נתונים היא קריטית.
באופן מסורתי, נעשה שימוש באימות SQL כדי להתחבר למסדי נתונים של Azure SQL, מה שמחייב שימוש בשמות משתמש וסיסמאות.
עם זאת, שיטה זו מציבה סיכוני אבטחה, כגון דליפת פרטי גישה.
חלופה בטוחה יותר היא שימוש בזהות מנוהלת שהוקצתה על ידי המערכת (SMI – System-assigned Managed Identity).
מהי זהות מנוהלת שהוקצתה על ידי המערכת?
זהות מנוהלת שהוקצתה על ידי המערכת היא תכונה בAzure- המספקת זהות מנוהלת אוטומטית ב-Azure Active Directory לשימוש יישומים בעת חיבור למשאבים התומכים באימות Azure AD.
זהות זו קשורה למחזור החיים של מופע שירות Azure , כלומר היא נוצרת כאשר השירות נוצר ונמחקת כאשר השירות נמחק.
יתרונות השימוש בזהות מנוהלת שהוקצתה על ידי המערכת
- אבטחה משופרת: מבטלת את הצורך באחסון פרטי גישה בקוד האפליקציה או בקבצי התצורה, מה שמפחית את הסיכון לדליפת פרטי גישה.
- ניהול פשוט: Azure מנהל את מחזור החיים של הזהות המנוהלת, כולל שינוי פרטי גישה, מה שמפשט את ניהול הזהות.
- אינטגרציה חלקה: משתלבת בקלות עם שירותי Azure התומכים באימות Azure AD, כגון מסד נתונים של Azure SQL.
דוגמא לשימוש:
דרישה:
יצירת Pipeline ב-Azure Data Factory לטעינת קובץ בפורמט csv ל- Azure SQL DB, ללא צורך בהגדרת טבלה / סכמה מראש ב-DB.
תיאור תהליך ורכיבים: יצירת Storage account ובתוכו container – אליו מועלה קובץ csv לטעינה.

יצירת Azure SQL Database – לתוכו ייטען קובץ ה-csv לתוך טבלה חדשה שתיווצר בתהליך.

יצירת Pipeline ב-Azure Data Factory הכולל פעולת Copy.

הגדרת זהות מנוהלת שהוקצתה על ידי המערכת עבור מסד נתונים של Azure SQL
על מנת להשתמש בזהות מנוהלת, בדוגמא זו
1. הפעלת זהות מנוהלת:
ב-Azure Data Factory נגדיר Linked Service עבור Azure SQL Database
ובתוכו נגדיר את אופן החיבור לפי זהות מנוהלת:

2. הענקת גישה למסד הנתונים:
נקצה לזהות המנוהלת את ההרשאות הנדרשות לגישה למסד הנתונים של Azure SQL.
בדוגמא זו, לאחר התחברות ל-DB דרך כלי SSMS בעזרת זהות מנוהלת, נריץ פקודות המאפשרות לזהות המנוהלת לפעול על מסד הנתונים בתפקיד של db_owner, רק לצורך הדוגמא.

שינוי מחרוזת החיבור: עדכן את מחרוזת החיבור של היישום שלך כדי להשתמש באימות Azure AD עם הזהות המנוהלת.
למידע נוסף, פנו אלינו
כותב המאמר- יונתן יחזקאל, Cloud Data Engineer UBTECH