Share via

Grundlæggende oplysninger om Microsoft Fabric-sikkerhed

  • Artikel

I denne artikel præsenteres et overblik over Microsoft Fabric-sikkerhedsarkitekturen ved at beskrive, hvordan de vigtigste sikkerhedsflows i systemet fungerer. Den beskriver også, hvordan brugerne godkender med Fabric, hvordan dataforbindelser oprettes, og hvordan Fabric gemmer og flytter data gennem tjenesten.

Artiklen henvender sig primært til Fabric-administratorer, der er ansvarlige for at lede Fabric i organisationen. Det er også relevant for virksomhedssikkerhedsaktører, herunder sikkerhedsadministratorer, netværksadministratorer, Azure-administratorer, arbejdsområdeadministratorer og databaseadministratorer.

Stofplatform

Microsoft Fabric er en alt i en-analyseløsning til virksomheder, der dækker alt fra dataflytning til datavidenskab, analyse i realtid og BI (business intelligence). Fabric-platformen består af en række tjenester og infrastrukturkomponenter, der understøtter den fælles funktionalitet for alle Fabric-oplevelser. Samlet set tilbyder de et omfattende sæt analyseoplevelser, der er designet til at arbejde problemfrit sammen. Oplevelserne omfatter Lakehouse, Data Factory, Synapse Dataudvikler ing, Synapse Data Warehouse, Power BI og andre.

Med Fabric behøver du ikke at samle forskellige tjenester fra flere leverandører. I stedet kan du drage fordel af et yderst integreret, brugervenligt produkt, der er udviklet til at forenkle dine analysebehov. Fabric blev designet fra starten for at beskytte følsomme aktiver.

Fabric-platformen er bygget på et fundament af software as a service (SaaS), som leverer pålidelighed, enkelhed og skalerbarhed. Den er bygget på Azure, som er Microsofts offentlige cloudcomputingplatform. Traditionelt har mange dataprodukter været PaaS (platform as a service), hvilket kræver, at en administrator af tjenesten konfigurerer sikkerhed, overholdelse af angivne standarder og styring for hver tjeneste. Da Fabric er en SaaS-tjeneste, er mange af disse funktioner indbygget i SaaS-platformen og kræver ingen konfiguration eller minimal konfiguration.

Arkitektonisk diagram

Det arkitektoniske diagram nedenfor viser en repræsentation på højt niveau af Fabric-sikkerhedsarkitekturen.

Diagram, der viser en repræsentation på højt niveau af Fabric-sikkerhedsarkitekturen.

Det arkitektoniske diagram viser følgende begreber.

  1. En bruger bruger en browser eller et klientprogram, f.eks. Power BI Desktop, til at oprette forbindelse til Fabric-tjenesten.

  2. Godkendelse håndteres af Microsoft Entra ID, tidligere kendt som Azure Active Directory, som er den cloudbaserede identitets- og adgangsstyringstjeneste, der godkender brugeren eller tjenesteprincipalen og administrerer adgangen til Fabric.

  3. Webfrontend modtager brugeranmodninger og faciliterer logon. Det distribuerer også anmodninger og serverer front-end-indhold til brugeren.

  4. Metadataplatformen gemmer lejermetadata, som kan indeholde kundedata. Fabric-tjenester forespørger denne platform efter behov for at hente godkendelsesoplysninger og godkende og validere brugeranmodninger. Det er placeret i lejerens lokale område.

  5. Back end-kapacitetsplatformen er ansvarlig for beregningshandlinger og for lagring af kundedata, og den er placeret i kapacitetsområdet. Det udnytter Azure Core-tjenester i det pågældende område, som det er nødvendigt for specifikke Fabric-oplevelser.

Fabric platform infrastruktur tjenester er multitenant. Der er logisk isolation mellem lejere. Disse tjenester behandler ikke komplekse brugerinput og skrives alle i administreret kode. Platformtjenester kører aldrig nogen brugerskrevet kode.

Metadataplatformen og back end-kapacitetsplatformen kører hver især i sikre virtuelle netværk. Disse netværk fremviser en række sikre slutpunkter på internettet, så de kan modtage anmodninger fra kunder og andre tjenester. Bortset fra disse slutpunkter er tjenester beskyttet af regler for netværkssikkerhed, der blokerer adgang fra det offentlige internet. Kommunikation inden for virtuelle netværk er også begrænset baseret på rettigheden til hver intern tjeneste.

Programlaget sikrer, at lejere kun kan få adgang til data fra deres egen lejer.

Godkendelse

Fabric er afhængig af Microsoft Entra ID for at godkende brugere (eller tjenesteprincipaler). Når de godkendes, modtager brugerne adgangstokens fra Microsoft Entra ID. Fabric bruger disse tokens til at udføre handlinger i brugerens kontekst.

En vigtig funktion i Microsoft Entra ID er betinget adgang. Betinget adgang sikrer, at lejere er sikre ved at gennemtvinge multifaktorgodkendelse, så det kun er Microsoft Intune-tilmeldte enheder, der har adgang til bestemte tjenester. Betinget adgang begrænser også brugerplaceringer og IP-intervaller.

Autorisation

Alle Fabric-tilladelser gemmes centralt af metadataplatformen. Fabric-tjenester forespørger metadataplatformen efter behov for at hente godkendelsesoplysninger og godkende og validere brugeranmodninger.

Af hensyn til ydeevnen indkapsler Fabric nogle gange godkendelsesoplysninger i signerede tokens. Signerede tokens udstedes kun af back end-kapacitetsplatformen, og de omfatter adgangstoken, godkendelsesoplysninger og andre metadata.

Dataopbevaring

I Fabric tildeles en lejer til en hjemmemetadataplatformsklynge, som er placeret i et enkelt område, der opfylder kravene til dataopbevaring i områdets geografi. Lejermetadata, som kan indeholde kundedata, gemmes i denne klynge.

Kunderne kan styre, hvor deres arbejdsområder er placeret. De kan vælge at finde deres arbejdsområder i samme geografiske område som deres klynge af metadataplatform enten eksplicit ved at tildele deres arbejdsområder på kapaciteter i det pågældende område eller implicit ved hjælp af Fabric Trial, Power BI Pro eller Power BI Premium pr. bruger-licenstilstand. I sidstnævnte tilfælde gemmes og behandles alle kundedata i dette enkelte geografiske område. Du kan få flere oplysninger under Microsoft Fabric-begreber og -licenser.

Kunder kan også oprette Multi-Geo-kapaciteter , der er placeret i geografiske områder (geos) ud over deres hjemmeområde. I dette tilfælde er beregning og lager (herunder OneLake og erfaringsspecifikt lager) placeret i det multi-geo-område, men lejermetadata forbliver i hjemmeområdet. Kundedata gemmes og behandles kun i disse to geografiske områder. Du kan få flere oplysninger under Konfigurer Multi-Geo-understøttelse af Fabric.

Datahåndtering

Dette afsnit indeholder en oversigt over, hvordan datahåndtering fungerer i Fabric. Den beskriver lagring, behandling og flytning af kundedata.

Inaktive data

Alle Fabric-datalagre krypteres inaktivt ved hjælp af Microsoft-administrerede nøgler. Fabric-data omfatter kundedata samt systemdata og metadata.

Selvom data kan behandles i hukommelsen i ukrypteret tilstand, bevares de aldrig til permanent lagring, mens de er i ukrypteret tilstand.

Data i transit

Data, der overføres via det offentlige internet mellem Microsoft-tjenester, krypteres altid med mindst TLS 1.2. Fabric forhandler til TLS 1.3, når det er muligt. Trafikken mellem Microsoft-tjenester altid dirigeres over Microsofts globale netværk.

Indgående Fabric-kommunikation gennemtvinger også TLS 1.2 og forhandler til TLS 1.3, når det er muligt. Udgående fabric-kommunikation til kundeejet infrastruktur foretrækker sikre protokoller, men kan falde tilbage til ældre, usikre protokoller (herunder TLS 1.0), når nyere protokoller ikke understøttes.

Telemetri

Telemetri bruges til at opretholde Fabric-platformens ydeevne og pålidelighed. Fabric-platformtelemetrilageret er designet til at overholde reglerne om data og beskyttelse af personlige oplysninger for kunder i alle områder, hvor Fabric er tilgængelig, herunder EU. Du kan få flere oplysninger under EU-datagrænsetjenester.

OneLake

OneLake er en enkelt, samlet, logisk datasø for hele organisationen, og den klargøres automatisk for hver Fabric-lejer. Den er bygget på Azure, og den kan gemme alle typer filer, strukturerede eller ustrukturerede. Alle Fabric-elementer, f.eks. varehuse og lakehouses, gemmer også automatisk deres data i OneLake.

OneLake understøtter de samme AZURE Data Lake Storage Gen2-API'er (ADLS Gen2)API'er og SDK'er, og den er derfor kompatibel med eksisterende ADLS Gen2-programmer, herunder Azure Databricks.

Du kan få flere oplysninger under Fabric- og OneLake-sikkerhed.

Sikkerhed i arbejdsområde

Arbejdsområder repræsenterer den primære sikkerhedsgrænse for data, der er gemt i OneLake. Hvert arbejdsområde repræsenterer et enkelt domæne eller projektområde, hvor teams kan samarbejde om data. Du administrerer sikkerheden i arbejdsområdet ved at tildele brugere til arbejdsområderoller.

Du kan få flere oplysninger under Fabric- og OneLake-sikkerhed (sikkerhed i arbejdsområdet).

Elementsikkerhed

I et arbejdsområde kan du tildele tilladelser direkte til Fabric-elementer, f.eks. lagre og lakehouses. Elementsikkerhed giver fleksibiliteten til at give adgang til et individuelt Fabric-element uden at give adgang til hele arbejdsområdet. Brugerne kan konfigurere tilladelser pr. element enten ved at dele et element eller ved at administrere tilladelserne for et element.

Ressourcer til overholdelse af angivne standarder

Fabric-tjenesten er underlagt Vilkårene for Microsoft Online Services og Erklæringen om beskyttelse af personlige oplysninger for Microsoft Enterprise.

Du kan finde placeringen af databehandlingen under Vilkår for databehandlingsplacering i Vilkårene for Microsoft Online-tjenester og i tilføjelsesprogrammet Databeskyttelse.

Microsoft Trust Center er den primære ressource for Fabric for at få oplysninger om overholdelse af angivne standarder. Du kan få flere oplysninger om overholdelse af angivne standarder under Microsofts tilbud om overholdelse af angivne standarder.

Fabric-tjenesten følger SDL (Security Development Lifecycle), som består af en række strenge sikkerhedspraksisser, der understøtter krav til sikkerhed og overholdelse af angivne standarder. SDL hjælper udviklere med at bygge mere sikker software ved at reducere antallet og alvorsgraden af sårbarheder i software, samtidig med at udviklingsomkostningerne reduceres. Du kan få flere oplysninger under Microsofts praksis for sikkerhedsudviklingslivscyklus.

Relateret indhold

Du kan få flere oplysninger om Fabric security i følgende ressourcer.