Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek představuje rozsáhlou perspektivu architektury zabezpečení Microsoft Fabric tím, že popisuje, jak hlavní toky zabezpečení v systému fungují. Popisuje také, jak se uživatelé ověřují ve službě Fabric, jak se navazují datová připojení a jak Fabric ukládá a přesouvá data přes službu.
Tento článek je primárně zaměřený na správce služby Fabric, kteří zodpovídají za dohled nad její implementací v organizaci. Je také relevantní pro zúčastněné strany podnikového zabezpečení, včetně správců zabezpečení, správců sítě, správců Azure, správců pracovních prostorů a správců databází.
Platforma Fabric
Microsoft Fabric je all-in-one analytické řešení pro podniky, které pokrývá vše od přesunu dat až po datové vědy, analýzy v reálném čase a business intelligence (BI). Platforma Fabric se skládá z řady služeb a komponent infrastruktury, které podporují společné funkce pro všechny Fabric zkušenosti. Souhrnně nabízejí komplexní sadu analytických prostředí navržených pro bezproblémovou spolupráci. Mezi prostředí patří Lakehouse, Data Factory, Fabric Data Engineering, Fabric Data Warehouse, Power BI a další.
S Fabric nemusíte vytvářet různé služby od více dodavatelů. Místo toho můžete využívat vysoce integrovaný, ucelený a snadno použitelný produkt, který je navržený tak, aby zjednodušil vaše potřeby analýzy. Fabric byl navržen od samého počátku tak, aby chránil citlivé údaje.
Platforma Fabric je založená na základu softwaru jako služby (SaaS), který zajišťuje spolehlivost, jednoduchost a škálovatelnost. Je založená na Azure, což je platforma Microsoftu pro veřejné cloud computingy. Řada datových produktů byla tradičně platforma jako služba (PaaS), která vyžaduje, aby správce služby nastavil zabezpečení, dodržování předpisů a zásady správného řízení pro každou službu. Vzhledem k tomu, že Fabric je službou SaaS, mnohé z těchto funkcí jsou integrované do platformy SaaS a nevyžadují žádné nebo pouze minimální nastavení.
Diagram architektury
Následující diagram architektury znázorňuje vysokou reprezentaci architektury zabezpečení Fabric.
Diagram architektury znázorňuje následující koncepty.
Uživatel k připojení ke službě Fabric používá prohlížeč nebo klientskou aplikaci, jako je Power BI Desktop.
cs-CZ: Ověřování zajišťuje Microsoft Entra ID, dříve známé jako Azure Active Directory, což je cloudová služba pro správu identit a přístupu, která ověřuje uživatele nebo služební identitu a spravuje přístup k Fabric.
Webový front-end přijímá požadavky uživatelů a usnadňuje přihlášení. Také směruje požadavky a obsluhuje obsah na straně uživatele.
Platforma metadat ukládá metadata tenanta, která můžou zahrnovat zákaznická data. Služby Fabric se dotazují na tuto platformu na vyžádání, aby načítaly informace o autorizaci a následně autorizovaly a ověřovaly uživatelské požadavky. Nachází se v domovské oblasti tenanta.
Kapacita back-endové platformy zodpovídá za výpočetní operace a ukládání zákaznických dat. Nachází se v kapacitní oblasti. Využívá klíčové služby Azure v tomto regionu podle potřeby pro specifické prostředí Fabric.
Služby infrastruktury platformy Fabric jsou víceklientní. Mezi tenanty existuje logická izolace. Tyto služby nezpracovávají složitý uživatelský vstup a všechny jsou napsané ve spravovaném kódu. Služby platformy nikdy nespouštějí žádný uživatelem psaný kód.
Platforma metadat a back-endová kapacita platformy se spouští v zabezpečených virtuálních sítích. Tyto sítě zveřejňují řadu zabezpečených koncových bodů pro internet, aby mohly přijímat požadavky od zákazníků a dalších služeb. Kromě těchto koncových bodů jsou služby chráněné pravidly zabezpečení sítě, která blokují přístup z veřejného internetu. Komunikace v rámci virtuálních sítí je také omezena na základě oprávnění jednotlivých interních služeb.
Aplikační vrstva zajišťuje, aby tenanti měli přístup pouze k datům z vlastního tenanta.
Ověřování
Fabric spoléhá na Microsoft Entra ID k ověřování uživatelů (nebo hlavních služeb). Při ověření uživatelé obdrží přístupové tokeny z ID Microsoft Entra. Architektura používá tyto tokeny k provádění operací v kontextu uživatele.
Klíčovou funkcí Microsoft Entra ID je podmíněný přístup. Podmíněný přístup zajišťuje zabezpečení tenantů vynucením vícefaktorového ověřování a povolením přístupu ke konkrétním službám jenom zaregistrovaným zařízením Microsoft Intune . Podmíněný přístup také omezuje umístění uživatelů a rozsahy IP adres.
Autorizace
Všechna oprávnění platformy Fabric jsou centrálně uložena platformou metadat. Služby Fabric se dotazují na platformu metadat na vyžádání za účelem načtení informací o autorizaci a ověření uživatelských požadavků.
Z důvodů výkonu služba Fabric někdy zapouzdřuje autorizační informace do podepsaných tokenů. Podepsané tokeny vydává pouze back-endová kapacita platformy a zahrnují přístupový token, autorizační informace a další metadata.
Lokace dat
Ve Fabric je tenant přiřazen ke clusteru domovské platformy metadat, který se nachází v jedné oblasti splňující požadavky na rezidenci dat podle zeměpisné oblasti. Metadata tenanta, která můžou zahrnovat zákaznická data, jsou uložená v tomto clusteru.
Zákazníci můžou řídit, kde se nacházejí své pracovní prostory . Můžou se rozhodnout umístit své pracovní prostory ve stejné zeměpisné oblasti jako cluster platformy metadat, a to buď explicitním přiřazením pracovních prostorů na kapacity v dané oblasti, nebo implicitně pomocí zkušební verze Fabric, Power BI Pro nebo typu pracovního prostoru Power BI Premium Per-User (PPU). V druhém případě se všechna zákaznická data ukládají a zpracovávají v této jediné geografické oblasti. Další informace najdete v tématu Koncepty a licence Microsoft Fabric.
Zákazníci mohou také vytvářet kapacity Multi-Geo umístěné v jiných geografických oblastech než v jejich domovské oblasti. V tomto případě se výpočetní prostředky a úložiště (včetně OneLake a úložiště specifické pro prostředí) nacházejí ve více geografických oblastech. Metadata tenanta zůstávají v domovské oblasti. Zákaznická data se budou ukládat a zpracovávat pouze v těchto dvou zeměpisných oblastech. Další informace najdete v tématu Konfigurace podpory Multi-Geo pro Fabric.
Manipulace s daty
Tato část poskytuje přehled o fungování zpracování dat ve Fabricu. Popisuje úložiště, zpracování a přesun zákaznických dat.
Data v klidu
Všechna úložiště dat Infrastruktury se šifrují v klidovém stavu pomocí klíčů spravovaných Microsoftem. Data fabric zahrnují zákaznická data i systémová data a metadata.
I když se data dají zpracovat v paměti v nezašifrovaném stavu, nikdy se neuchovávají do trvalého úložiště v nešifrovaném stavu.
Pomocí klíčů spravovaných zákazníkem pracovního prostoru můžete také šifrovat šifrovací klíč v konkrétních pracovních prostorech Microsoftu pomocí vlastních klíčů služby Azure Key Vault .
Přenášená data
Přenášená data mezi služby Microsoft se vždy šifrují minimálně protokolem TLS 1.2. Systém provádí dohodu o použití protokolu TLS 1.3, kdykoli je to možné. Provoz mezi služby Microsoft vždy směruje přes globální síť Microsoftu.
Příchozí komunikace Fabric také vynucuje TLS 1.2 a vyjednává na TLS 1.3, kdykoli je to možné. Odchozí komunikace s infrastrukturou vlastněnou zákazníkem teď vyžaduje protokol TLS 1.2 a novější; starší verze protokolu (včetně TLS 1.0 a TLS 1.1) se už nepodporují.
Telemetrie
Telemetrie se používá k udržení výkonu a spolehlivosti platformy Fabric. Úložiště telemetrie platformy Fabric je navržené tak, aby vyhovovalo předpisům pro data a ochranu osobních údajů pro zákazníky ve všech oblastech, kde je služba Fabric dostupná, včetně Evropské unie (EU). Další informace naleznete v tématu EU Data Boundary Services.
OneLake
OneLake je jedno jednotné logické datové jezero pro celou organizaci a automaticky se zřizuje pro každého tenanta Fabric. Je založená na Azure a může ukládat jakýkoli typ souboru, strukturovaného nebo nestrukturovaného souboru. Všechny položky infrastruktury, jako jsou sklady a jezero, také automaticky ukládají data do OneLake.
OneLake podporuje stejná rozhraní API a sady SDK Azure Data Lake Storage Gen2 (ADLS Gen2), proto je kompatibilní se stávajícími aplikacemi ADLS Gen2, včetně Azure Databricks.
Další informace najdete v tématu Zabezpečení Fabric a OneLake.
Zabezpečení pracovního prostoru
Pracovní prostory představují primární hranici zabezpečení pro data uložená ve OneLake. Každý pracovní prostor představuje jednu doménu nebo oblast projektu, kde týmy můžou spolupracovat na datech. Zabezpečení v pracovním prostoru spravujete přiřazením uživatelů k rolím pracovního prostoru.
Další informace najdete v tématu Zabezpečení Fabric a OneLake (zabezpečení pracovního prostoru).
Zabezpečení položek
V rámci pracovního prostoru můžete přiřadit oprávnění přímo k položkám Infrastruktury, jako jsou sklady a jezera. Zabezpečení položek poskytuje flexibilitu pro udělení přístupu k jednotlivé položce Fabric bez udělení přístupu k celému pracovnímu prostoru. Uživatelé můžou nastavit oprávnění pro jednotlivé položky buď sdílením položky , nebo správou oprávnění položky.
Zdroje informací o dodržování předpisů
Služba Fabric se řídí podmínkami služeb Microsoft Online Services a prohlášením o zásadách ochrany osobních údajů společnosti Microsoft Enterprise.
Informace o umístění zpracování dat najdete v podmínkách služeb Microsoft Online Services a v dodatku k ochraně osobních údajů.
V případě informací o dodržování předpisů je Microsoft Trust Center primárním zdrojem pro Fabric. Další informace o dodržování předpisů najdete v nabídkách dodržování předpisů společnosti Microsoft.
Služba Fabric se řídí životním cyklem vývoje zabezpečení (SDL), který se skládá ze sady striktních postupů zabezpečení, které podporují požadavky na zajištění zabezpečení a dodržování předpisů. SDL pomáhá vývojářům vytvářet bezpečnější software snížením počtu a závažnosti ohrožení zabezpečení v softwaru a snížením nákladů na vývoj. Další informace naleznete v tématu Microsoft Security Development Lifecycle Practices.
Související obsah
Další informace o zabezpečení Fabric najdete v následujících zdrojích informací.
- Zabezpečení v Microsoft Fabric
- Kompletní scénář zabezpečení Microsoft Fabric
- Přehled zabezpečení OneLake
- Koncepty a licence Microsoft Fabric
- Otázky? Zkuste se zeptat komunity Microsoft Fabric.
- Návrhy? Přispějte nápady ke zlepšení Microsoft Fabric.