Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Fabric je platforma SaaS (software jako služba), která umožňuje uživatelům získávat, vytvářet, sdílet a vizualizovat data.
Jako služba SaaS nabízí Fabric kompletní balíček zabezpečení pro celou platformu. Platforma Fabric odstraňuje náklady a odpovědnost za údržbu vašeho řešení zabezpečení a přesouvá je do cloudu. S Fabric můžete využít odborné znalosti a prostředky Microsoftu k zabezpečení dat, opravám ohrožení zabezpečení, monitorování hrozeb a dodržování předpisů. Architektura vám také umožňuje spravovat, řídit a auditovat nastavení zabezpečení v souladu s vašimi měnícími se potřebami a požadavky.
Když data přenesete do cloudu a použijete je s různými analytickými prostředími, jako jsou Power BI, Data Factory a další generace Synapse, Microsoft zajistí, aby integrované funkce zabezpečení a spolehlivosti zabezpečily neaktivní uložená a přenášená data. Microsoft také zajišťuje, aby se vaše data v případě selhání infrastruktury nebo havárií obnovila.
Zabezpečení prostředků infrastruktury je:
Always on – Každá interakce s Fabric je ve výchozím nastavení šifrovaná a ověřená pomocí ID Microsoft Entra. Veškerá komunikace mezi prostředími Fabric prochází přes páteřní internet Microsoftu. Data v klidu jsou automaticky ukládána v zašifrované podobě. Chcete-li regulovat přístup k Fabricu, můžete přidat další funkce zabezpečení, jako privátní odkazy nebo Entra Conditional Access. Fabric se může také připojit k datům chráněným firewallem nebo privátní sítí pomocí důvěryhodného přístupu.
Vyhovující – Fabric poskytuje suverenitu dat s možnostmi více geografických oblastí. Platforma Fabric také podporuje širokou škálu standardů shody.
Řízení – Fabric obsahuje sadu nástrojů pro zásady řízení, jako jsou data rodokmen, štítky ochrany informací, prevenci ztráty dat a integrace Purview.
Konfigurovatelné – Můžete nakonfigurovat zabezpečení Fabric v souladu se zásadami vaší organizace.
Vyvíjející se – Microsoft neustále vylepšuje zabezpečení systému Fabric přidáváním nových funkcí a kontrolních mechanismů.
Autentizovat
Microsoft Fabric je platforma SaaS, stejně jako řada dalších služby Microsoft, jako je Azure, systém systém Microsoft Office, OneDrive a Dynamics. Všechny tyto služby Microsoft SaaS, včetně Fabric, používají Microsoft Entra ID jako svého cloudového zprostředkovatele identity. Microsoft Entra ID pomáhá uživatelům připojit se k těmto službám rychle a snadno z libovolného zařízení a jakékoli sítě. Každý požadavek na připojení k Prostředkům infrastruktury se ověřuje pomocí Microsoft Entra ID, což uživatelům umožňuje bezpečné připojení k Prostředkům infrastruktury ze své firemní kanceláře, při práci doma nebo na vzdáleném místě.
Principy zabezpečení sítě
Fabric je služba SaaS, která běží v cloudu Microsoftu. Některé scénáře zahrnují připojení k datům mimo platformu Fabric. Například zobrazení sestavy z vlastní sítě nebo připojení k datům, jež jsou v jiné službě. Interakce v rámci systému Fabric používají interní síť Microsoftu a provoz mimo tuto službu je chráněný ve výchozím nastavení. Další informace a podrobný popis najdete v tématu Data při přenosu.
Zabezpečení příchozí sítě
Vaše organizace může chtít omezit a zabezpečit síťový provoz přicházející do Fabric podle požadavků vaší společnosti. Pomocí podmíněného přístupu Microsoft Entra ID a privátních odkazů můžete vybrat správné příchozí řešení pro vaši organizaci.
Podmíněný přístup Microsoft Entra ID
Microsoft Entra ID poskytuje systému Fabric podmíněný přístup, který umožňuje zabezpečit přístup k systému Fabric při každém připojení. Tady je několik příkladů omezení přístupu, která můžete vynutit pomocí podmíněného přístupu.
Definujte seznam IP adres pro příchozí připojení k Fabric.
Použití vícefaktorového ověřování (MFA).
Omezte provoz na základě parametrů, jako je země/oblast původu nebo typu zařízení.
Viz Podmíněný přístup ve Fabric pro konfiguraci podmíněného přístupu.
Další informace o ověřování v Microsoft Fabric najdete v tématu Základy zabezpečení Microsoft Fabric.
Privátní propojení
Privátní propojení umožňují zabezpečené připojení k Fabric tím, že omezí přístup k vašemu tenantovi Fabric z virtuální sítě Azure (VNet) a zablokují veškerý veřejný přístup. Tím se zajistí, že k funkcím Infrastruktury, jako jsou pozmánkové bloky, Lakehouses, datové sklady a databáze ve vašem tenantovi, bude mít povolený přístup pouze síťový provoz z této virtuální sítě (VNet).
Informace o konfiguraci privátních propojení ve službě Fabric najdete v tématu Nastavení a použití privátních propojení.
Zabezpečení odchozí sítě
Rozhraní Fabric má sadu nástrojů, které umožňují připojit se k externím zdrojům dat a bezpečným způsobem tato data přenést do Fabric. Tato část obsahuje různé způsoby importu a připojení k datům ze zabezpečené sítě do prostředků infrastruktury.
Důvěryhodný přístup k pracovnímu prostoru
S platformou Fabric můžete bezpečně přistupovat k účtům Azure Data Lake Gen 2 s povoleným firewallem. Pracovní prostory typu Fabric, které mají identitu pracovního prostoru, mohou bezpečně přistupovat k účtům Azure Data Lake Gen2 s povoleným přístupem k veřejné síti z vybraných virtuálních sítí a IP adres. Přístup k ADLS Gen2 můžete omezit na konkrétní pracovní prostory Fabric. Další informace naleznete v tématu Důvěryhodný přístup k pracovnímu prostoru.
Poznámka:
Identity pracovního prostoru služby Fabric lze vytvářet pouze v pracovních prostorech, které jsou přidruženy ke kapacitě typu Fabric F SKU. Informace o nákupu předplatného Fabric najdete v tématu Zakoupení předplatného Microsoft Fabric.
Spravované privátní koncové body
Spravované privátní koncové body umožňují zabezpečená připojení ke zdrojům dat, jako jsou databáze Azure SQL, aniž by je zpřístupňovaly veřejné síti nebo vyžadovaly složité konfigurace sítě.
Spravované virtuální sítě
Spravované virtuální sítě jsou virtuální sítě , které vytváří a spravuje Microsoft Fabric pro každý pracovní prostor Fabric. Spravované virtuální sítě poskytují izolaci sítě pro úlohy Fabric Spark, což znamená, že výpočetní clustery jsou nasazené ve vyhrazené síti a už nejsou součástí sdílené virtuální sítě.
Spravované virtuální sítě také umožňují funkce zabezpečení sítě, jako jsou spravované privátní koncové body a podpora privátního propojení pro objekty datového inženýrství a datové vědy v Microsoft Fabric, které používají Apache Spark.
Brána dat
Pokud se chcete připojit k místním zdrojům dat nebo ke zdroji dat, který může být chráněný bránou firewall nebo virtuální sítí, můžete použít jednu z těchto možností:
Místní datová brána – Brána funguje jako most mezi vašimi místními zdroji dat a systémem Fabric. Brána je nainstalovaná na serveru v síti a umožňuje fabric připojit se ke zdrojům dat prostřednictvím zabezpečeného kanálu, aniž by bylo nutné otevírat porty nebo provádět změny v síti.
Brána dat virtuální sítě – Brána virtuální sítě umožňuje připojení z cloudových služeb Microsoftu k datovým službám Azure v rámci virtuální sítě bez nutnosti místní brány dat.
Připojení k OneLake z existující služby
K Fabric se můžete připojit pomocí stávající služby Azure Platform as a Service (PaaS). Pro Synapse a Azure Data Factory (ADF) můžete použít prostředí Azure Integration Runtime (IR) nebo spravovanou virtuální síť azure Data Factory. Můžete se také připojit k těmto službám a dalším službám, jako jsou mapování toků dat, clustery Synapse Spark, clustery Databricks Spark a Azure HDInsight pomocí rozhraní ONELake API.
Značky služeb Azure
Pomocí značek služeb můžete ingestovat data bez použití bran dat ze zdrojů dat nasazených ve virtuální síti Azure, jako jsou virtuální počítače Azure SQL, azure SQL Managed Instance (MI) a rozhraní REST API. Značky služeb můžete použít také k získání provozu z virtuální sítě nebo brány Azure Firewall. Značky služeb mohou například umožnit odchozí provoz do služby Fabric, aby se uživatel na virtuálním počítači mohl připojit k připojovacím řetězcům SQL služby Fabric z SSMS, zatímco je blokován přístup k jiným veřejným internetovým prostředkům.
Seznamy povolených IP adres
Pokud máte data, která se nenachází v Azure, můžete povolit seznam povolených IP adres v síti vaší organizace a povolit tak provoz do a z prostředků infrastruktury. Seznam povolených IP adres je užitečný, pokud potřebujete získat data ze zdrojů dat, které nepodporují značky služeb, jako jsou místní zdroje dat. Pomocí těchto zkratek můžete získat data bez jejich kopírování do OneLake pomocí koncového bodu analýzy SQL Lakehouse nebo Direct Lake.
Seznam Fabric IPs můžete získat z Service tags on-premises. Seznam je k dispozici jako soubor JSON nebo programově s rozhraními REST API, PowerShellem a rozhraním příkazového řádku Azure (CLI).
Zabezpečení dat
Ve Fabricu jsou všechna data uložená v OneLake šifrována v klidu. Všechna data v klidu jsou uložena ve vaší domácí oblasti nebo v jedné z kapacit v jakékoli vzdálené oblasti, kterou si zvolíte, abyste mohli splňovat předpisy o suverenitě dat v klidu. Další informace najdete v tématu Základy zabezpečení Microsoft Fabric.
Klíče spravované zákazníkem pracovního prostoru můžete použít k přidání další vrstvy šifrování k datům v pracovních prostorech platformy Fabric. Pomocí klíčů spravovaných zákazníkem pracovního prostoru můžete k šifrování šifrovacího klíče Microsoftu použít klíče služby Azure Key Vault .
Porozumět tenantům v různých geografických oblastech
Mnoho organizací má globální přítomnost a vyžaduje služby v několika geografických oblastech Azure. Například společnost může mít své ústředí v USA a současně podnikat v jiných geografických oblastech, jako je Austrálie. Aby byly v souladu s místními předpisy, musí firmy s globální přítomností zajistit, aby data zůstala uložená v několika oblastech. Ve Fabricu se tomu říká multi-geo.
Vrstva spouštění dotazů, ukládání dotazů do mezipaměti a data položek přiřazená k pracovnímu prostoru s více geografickými oblastmi zůstávají v geografické oblasti Azure při jejich vytváření. Některá metadata a zpracování se ale ukládají v klidovém stavu v domovské geografické oblasti tenanta.
Fabric je součástí většího ekosystému Microsoftu. Pokud už vaše organizace používá jiné cloudové služby předplatného, jako jsou Azure, Microsoft 365 nebo Dynamics 365, pak Fabric funguje ve stejném tenantovi Microsoft Entra. Vaše organizační doména (například contoso.com) je přidružená k ID Microsoft Entra. Stejně jako všechny cloudové služby Microsoftu.
Fabric zajišťuje, že vaše data jsou bezpečně chráněna napříč regiony, když pracujete s více tenanty, kteří mají různé kapacity v několika geografických oblastech.
Logické oddělení dat – Platforma Fabric poskytuje logickou izolaci mezi tenanty za účelem ochrany dat.
Suverenita dat – Pokud chcete začít pracovat s více geografickými oblastmi, přečtěte si téma Konfigurace podpory Multi-Geo pro Fabric.
Přístup k datům
Fabric řídí přístup k datům pomocí pracovních prostorů. V pracovních prostorech se data zobrazují ve formě položek infrastruktury a uživatelé nemůžou zobrazit nebo používat položky (data), pokud jim neudělíte přístup k pracovnímu prostoru. Další informace o oprávněních pracovních prostorů a položek najdete v modelu oprávnění.
Role pracovního prostoru
Přístup k pracovnímu prostoru je uvedený v následující tabulce. Zahrnuje role pracovního prostoru a ochranu Fabric a OneLake. Uživatelé s rolí prohlížeče můžou spouštět dotazy SQL, Data Analysis Expressions (DAX) nebo MDX (Multidimensional Expressions), ale nemají přístup k položkám prostředků infrastruktury ani nemůžou spustit poznámkový blok.
| Role | Přístup k pracovnímu prostoru | Přístup k OneLake |
|---|---|---|
| Správce, člen a přispěvatel | Může použít všechny položky v pracovním prostoru. | ✅ |
| Prohlížeč | Může zobrazit všechny položky v pracovním prostoru. | ❌ |
Sdílení položek
Můžete sdílet položky Fabric s uživateli ve vaší organizaci, kteří nemají žádnou roli ve pracovním prostoru. Sdílení položek poskytuje omezený přístup, což uživatelům umožňuje přístup jenom ke sdílené položce v pracovním prostoru.
Omezení přístupu
Přístup prohlížeče k datům můžete omezit pomocí zabezpečení na úrovni řádků (RLS), zabezpečení na úrovni sloupců (CLS) a zabezpečení na úrovni objektů (OLS). Pomocí RLS, CLS a OLS můžete vytvářet identity uživatelů, které mají přístup k určitým částem dat, a omezit výsledky SQL, které vracejí jenom to, k čemu má identita uživatele přístup.
RLS můžete také přidat do datové sady DirectLake. Pokud definujete zabezpečení pro SQL i DAX, DirectLake se vrátí do DirectQuery pro tabulky, které mají RLS (zabezpečení na úrovni řádků) v SQL. V takových případech jsou výsledky DAX nebo MDX omezené identitou uživatele.
Pokud chcete zpřístupnit sestavy využívající datovou sadu DirectLake s RLS bez záložního režimu DirectQuery, použijte přímé sdílení datových sad nebo aplikace v Power BI. S aplikacemi v Power BI můžete udělit přístup k sestavám bez přístupu prohlížeče. Tento typ přístupu znamená, že uživatelé nemůžou používat SQL. Pokud chcete directLake povolit čtení dat, musíte přepnout přihlašovací údaje ke zdroji dat z Jednotné přihlašování (SSO) na pevnou identitu, která má přístup k souborům v jezeře.
Ochrana dat
Systém podporuje označení citlivosti z Microsoft Purview Information Protection. Jedná se o popisky, jako jsou Obecné, Důvěrné a Vysoce důvěrné, které se běžně používají v aplikacích systém systém Microsoft Office, jako jsou Word, PowerPoint a Excel, k ochraně citlivých informací. V systému Fabric můžete klasifikovat položky, které obsahují citlivá data, pomocí stejných štítků citlivosti. Popisky citlivosti pak automaticky sledují data během jejich toku v rámci Fabricu, od zdroje dat až k firemnímu uživateli. Popisek citlivosti je zachován i v případě, že se data exportují do podporovaných formátů, jako jsou PBIX, Excel, PowerPoint a PDF, což zajistí, že vaše data zůstanou chráněná. Soubor můžou otevřít jenom oprávnění uživatelé. Další informace najdete v tématu Zásady správného řízení a dodržování předpisů v Microsoft Fabric.
K řízení, ochraně a správě dat můžete použít Microsoft Purview. Microsoft Purview a Fabric spolupracují a umožňují ukládat, analyzovat a řídit vaše data z jednoho umístění, centra Microsoft Purview.
Obnovení dat
Odolnost dat v síťové architektuře zajišťuje, že jsou vaše data dostupná, pokud dojde k havárii. Technologie Fabric také umožňuje obnovit data v případě havárie, včetně obnovy po havárii. Další informace naleznete v tématu Spolehlivost v Microsoft Fabric.
Správa sítě Fabric
Jako správce v Fabric můžete řídit možnosti pro celou organizaci. Fabric umožňuje delegování role správce na kapacity, pracovní prostory a domény. Delegováním odpovědností správce správným lidem můžete implementovat model, který umožňuje několika klíčovým správcům řídit obecná nastavení Fabric v celé organizaci, zatímco jiní správci řídí nastavení související s konkrétními oblastmi.
Pomocí různých nástrojů můžou správci také monitorovat klíčové aspekty Fabric, jako je spotřeba kapacity.
Protokoly auditu
Pokud chcete zobrazit protokoly auditu, postupujte podle pokynů v tématu Sledování aktivit uživatelů v Microsoft Fabric. Můžete se také podívat na seznam operací a zjistit, které aktivity jsou k dispozici pro vyhledávání v protokolech auditu.
Možnosti
V této části najdete seznam některých funkcí zabezpečení dostupných v Microsoft Fabric.
| Schopnost | Popis |
|---|---|
| Podmíněný přístup | Zabezpečení aplikací pomocí Microsoft Entra ID |
| Trezor | Řízení přístupu techniků Microsoftu k vašim datům |
| Zabezpečení Fabric a OneLake | Zjistěte, jak zabezpečit data v prostředcích Fabric a OneLake. |
| Odolnost | Spolehlivost a regionální odolnost se zónami dostupnosti Azure |
| Značky služeb | Povolení služby Azure SQL Managed Instance (MI) pro povolení příchozích připojení z Microsoft Fabric |