Freigeben über

Microsoft Fabric–End-to-End-Sicherheitsszenario

  • Artikel

Sicherheit ist ein wichtiger Aspekt jeder Datenanalyselösung, insbesondere bei sensiblen oder vertraulichen Daten. Aus diesem Grund bietet Microsoft Fabric eine umfassende Reihe von Sicherheitsfeatures, mit denen Sie ruhende Daten und Übertragungsdaten schützen sowie den Zugriff und die Berechtigungen für Ihre Benutzer und Anwendungen steuern können.

In diesem Artikel erfahren Sie mehr über Fabric-Sicherheitskonzepte und -features, die Ihnen helfen können, Ihre eigene Analyselösung mit Fabric zu erstellen.

Hintergrund

In diesem Artikel wird ein Szenario beschrieben, in dem Sie Datentechniker sind, der für eine Gesundheitsorganisation in den USA arbeitet. Die Organisation sammelt und analysiert Patientendaten, die aus verschiedenen Systemen stammen, einschließlich elektronische Krankenakten, Laborergebnissen, Versicherungsansprüchen und tragbaren Geräten.

Sie planen, ein Lakehouse mit der Medaillon-Architektur in Fabric zu bauen, die aus drei Ebenen besteht: Bronze, Silber und Gold.

  • Die Bronzeebene speichert die Rohdaten, sobald sie aus den Datenquellen eingeht.
  • Die Silberebene wendet Datenqualitätsprüfungen und Transformationen an, um die Daten für die Analyse vorzubereiten.
  • Die Goldebene bietet aggregierte und angereicherte Daten für Berichte und Visualisierungen.

Während sich einige Datenquellen in Ihrem lokalen Netzwerk befinden, befinden sich andere hinter Firewalls und erfordern einen sicheren, authentifizierten Zugriff. Es gibt auch einige Datenquellen, die in Azure verwaltet werden, z. B. Azure SQL-Datenbank und Azure Storage. Sie müssen eine Verbindung mit diesen Azure-Datenquellen herstellen, sodass keine Daten für das öffentliche Internet verfügbar gemacht werden.

Sie haben sich entschieden, Fabric zu verwenden, da es Ihre Daten in der Cloud sicher aufnehmen, speichern, verarbeiten und analysieren kann. Wichtig ist, dass dies geschieht, während die Vorschriften Ihrer Branche und Richtlinien Ihrer Organisation eingehalten werden.

Da Fabric ein Software as a Service (SaaS) ist, müssen Sie keine einzelnen Ressourcen bereitstellen, z. B. Speicher- oder Compute-Ressourcen. Sie benötigen lediglich eine Fabric-Kapazität.

Sie müssen Datenzugriffsanforderungen einrichten. Insbesondere müssen Sie sicherstellen, dass nur Sie und Ihre technischen Fachkräfte für Daten Zugriff auf die Daten in den Bronze- und Silberebene des Lakehouse haben. Diese Ebenen sind der Ort, an dem Sie Datenbereinigung, -validierung, -transformation und -anreicherung durchführen möchten. Sie müssen auch den Zugriff auf die Daten in der Goldebene einschränken. Nur autorisierte Benutzer, einschließlich Data Analysts und im geschäftlichen Bereich tätige Personen, sollten Zugriff auf die Goldebene haben. Sie benötigen diesen Zugriff, um die Daten für verschiedene analytische Zwecke zu verwenden, z. B. Berichterstellung, Maschinelles Lernen und Predictive Analytics. Der Datenzugriff muss durch die Rolle und Abteilung des Benutzers weiter eingeschränkt werden.

Verbinden zu Fabric (Schutz für eingehenden Datenverkehr)

Sie richten zunächst den Schutz für eingehenden Datenverkehr ein, der sich darauf bezieht, wie Sie und andere Benutzer sich anmelden und Zugang zu Fabric erhalten.

Da Fabric in einem Microsoft Entra-Mandanten bereitgestellt wird, werden Authentifizierung und Autorisierung von Microsoft Entra gehandhabt. Sie melden sich mit einem Microsoft Entra-Organisationskonto (Geschäfts-, Schul- oder Unikonto) an. Als Nächstes überlegen Sie, wie andere Benutzer eine Verbindung mit Fabric herstellen.

Der Microsoft Entra- Mandant ist eine Identitätssicherheitsgrenze, die unter der Kontrolle Ihrer IT-Abteilung steht. Innerhalb dieser Sicherheitsgrenze werden die Verwaltung von Microsoft Entra-Objekten (z. B. Benutzerkonten) und die Konfiguration mandantenweiter Einstellungen von Ihren IT-Administratoren durchgeführt. Wie jeder SaaS-Dienst isoliert Fabric Mandanten logisch. Auf Daten und Ressourcen in Ihrem Mandanten kann niemals von anderen Mandanten zugegriffen werden, es sei denn, Sie autorisieren sie explizit dazu.

Dies geschieht, wenn sich ein Benutzer bei Fabric anmeldet.

Das Diagramm zeigt eine allgemeine Darstellung der Fabric-Sicherheitsarchitektur. Elemente im Diagramm werden in der folgenden Tabelle beschrieben.

Element Beschreibung
Element 1 Der Benutzer öffnet einen Browser (oder eine Clientanwendung) und meldet sich beim Fabric-Portal an.
Element 2 Der Benutzer wird sofort an die Microsoft Entra-ID umgeleitet und muss sich authentifizieren. Die Authentifizierung überprüft, ob es sich um die richtige Person bei der Anmeldung handelt.
Element 3 Nachdem die Authentifizierung erfolgreich war, empfängt das Web-Front-End die Anforderung des Benutzers und übermittelt den Front-End-Inhalt (HTML und CSS) vom nächstgelegenen Speicherort. Außerdem wird die Anforderung an die Metadatenplattform und die Back-End-Kapazitätsplattform weitergeleitet.
Element 4 Die Metadatenplattform, die sich in der Heimregion Ihres Mandanten befindet, speichert die Metadaten Ihres Mandanten, z. B. Arbeitsbereiche und Zugriffssteuerungen. Diese Plattform stellt sicher, dass der Benutzer berechtigt ist, auf die relevanten Arbeitsbereiche und Fabric-Elemente zuzugreifen.
Element 5 Die Back-End-Kapazitätsplattform führt Compute-Operationen aus und speichert Ihre Daten. Sie befindet sich in der Kapazitätsregion. Wenn einer Fabric-Kapazität ein Arbeitsbereich zugewiesen ist, werden alle Daten, die sich im Arbeitsbereich befinden, einschließlich des Datensees OneLake, in der Kapazitätsregion gespeichert und verarbeitet.

Die Metadatenplattform und die Back-End-Kapazitätsplattform werden jeweils in gesicherten virtuellen Netzwerken ausgeführt. Diese Netzwerke machen eine Reihe sicherer Endpunkte für das Internet verfügbar, sodass sie Anfragen von Benutzern und anderen Diensten empfangen können. Abgesehen von diesen Endpunkten werden Dienste durch Netzwerksicherheitsregeln geschützt, die den Zugriff über das öffentliche Internet blockieren.

Wenn sich Benutzer bei Fabric anmelden, können Sie andere Schutzebenen erzwingen. Auf diese Weise ist Ihr Mandant nur für bestimmte Benutzer zugänglich, und wenn andere Bedingungen wie Netzwerkstandort und Gerätekompatibilität erfüllt sind. Diese Schutzebene wird als Schutz für eingehenden Datenverkehr bezeichnet.

In diesem Szenario sind Sie für vertrauliche Patienteninformationen in Fabric verantwortlich. Daher hat Ihre Organisation festgelegt, dass alle Benutzer, die auf Fabric zugreifen, mehrstufige Authentifizierung (MFA) ausführen müssen, und dass sie sich im Unternehmensnetzwerk befinden müssen – das Sichern der Benutzeridentität reicht nicht aus.

Ihre Organisation bietet auch Flexibilität für Benutzer, indem sie von überall aus arbeiten und ihre persönlichen Geräte verwenden können. Da Microsoft Intune bring-your-own-device (BYOD) unterstützt, registrieren Sie genehmigte Benutzergeräte in Intune.

Darüber hinaus müssen Sie sicherstellen, dass diese Geräte den Organisationsrichtlinien entsprechen. Insbesondere erfordern diese Richtlinien, dass Geräte nur eine Verbindung herstellen können, wenn das neueste Betriebssystem und die neuesten Sicherheits-Patches installiert sind. Sie richten diese Sicherheitsanforderungen mithilfe des bedingten Zugriffs von Microsoft Entra ein.

Bedingter Zugriff bietet mehrere Möglichkeiten zum Sichern Ihres Mandanten. Sie können Folgendes ausführen:

Wenn Sie den gesamten Fabric-Mandanten sperren müssen, können Sie ein virtuelles Netzwerk verwenden und den Zugriff auf das öffentliche Internet blockieren. Der Zugriff auf Fabric ist dann nur innerhalb dieses sicheren virtuellen Netzwerks zulässig. Diese Anforderung wird eingerichtet, indem private Links auf Mandantenebene für Fabric aktiviert werden. Dadurch wird sichergestellt, dass alle Fabric-Endpunkte in Ihrem virtuellen Netzwerk zu einer privaten IP-Adresse aufgelöst werden, einschließlich des Zugriffs auf alle Ihre Power BI-Berichte. (Das Aktivieren privater Endpunkte wirkt sich auf viele Fabric-Elemente aus, daher sollten Sie diesen Artikel gründlich lesen, bevor Sie sie aktivieren.)

Sicherer Zugriff auf Daten außerhalb von Fabric (Schutz für ausgehenden Datenverkehr)

Als Nächstes richten Sie den Schutz für ausgehenden Datenverkehr ein, der sich mit dem sicheren Zugriff auf Daten hinter Firewalls oder privaten Endpunkten befasst.

Ihre Organisation verfügt über einige Datenquellen, die sich in Ihrem lokalen Netzwerk befinden. Da diese Datenquellen hinter Firewalls liegen, erfordert Fabric einen sicheren Zugriff. Damit Fabric eine sichere Verbindung mit Ihrer lokalen Datenquelle herstellen kann, installieren Sie ein lokales Datengateway.

Das Gateway kann von Data Factory-Dataflows und Datenpipelines verwendet werden, um die lokalen Daten aufzunehmen, vorzubereiten und zu transformieren sowie dann mit einer Copy-Aktivität in OneLake zu laden. Data Factory unterstützt einen umfassenden Satz von Connectors, mit denen Sie eine Verbindung mit mehr als 100 verschiedenen Datenspeichern herstellen können.

Anschließend erstellen Sie Dataflows mit Power Query, die eine intuitive Oberfläche mit einer Low-Code-Schnittstelle bieten. Sie verwenden sie, um Daten aus Ihren Datenquellen aufzunehmen und mithilfe von 300+ Datentransformationen zu transformieren. Anschließend erstellen und koordinieren Sie einen komplexen Prozess mit Extrahieren, Transformieren und Laden (ETL) mit Datenpipelines. ETL-Prozesse können Dataflows aktualisieren, viele verschiedene Aufgaben in großem Umfang ausführen und Petabyte-Daten verarbeiten.

In diesem Szenario verfügen Sie bereits über mehrere ETL-Prozesse. Zunächst verfügen Sie über einige Pipelines in Azure Data Factory (ADF). Derzeit erfassen diese Pipelines Ihre lokalen Daten und laden sie mithilfe der selbstgehosteten Integration Runtime in einen Data Lake in Azure Storage. Zweitens verfügen Sie über ein Datenerfassung-Framework in Azure Databricks, das in Spark geschrieben wurde.

Nachdem Sie Fabric verwendet haben, leiten Sie einfach das Ausgabeziel der ADF-Pipelines um, um den Lakehouse-Connector zu verwenden. Und für das Erfassung-Framework in Azure Databricks verwenden Sie die OneLake-APIs, die den Azure Blog Filesystem (ABFS)-Treiber unterstützen, um OneLake in Azure Databricks zu integrieren. (Sie können auch dieselbe Methode zum Integrieren von OneLake mit Azure Synapse Analytics mithilfe von Apache Spark verwenden.)

Sie haben auch einige Datenquellen, die sich in Azure SQL-Datenbank befinden. Sie müssen mithilfe privater Endpunkte eine Verbindung mit diesen Datenquellen herstellen. In diesem Fall entscheiden Sie sich, ein Virtual Network (VNet)-Datengateway einzurichten und Dataflows zu verwenden, um eine sichere Verbindung mit Ihren Azure-Daten herzustellen und in Fabric zu laden. Bei VNet-Datengateways müssen Sie die Infrastruktur nicht bereitstellen und verwalten (wie sie für das lokale Datengateway erforderlich sind). Das liegt daran, dass Fabric die Container in Ihrem virtuellen Azure-Netzwerk sicher und dynamisch erstellt.

Wenn Sie Ihr Datenerfassung-Framework in Spark entwickeln oder migrieren, können Sie mithilfe von verwalteten privaten Endpunkten von Fabric-Notebooks und -Jobs eine sichere und private Verbindung mit Datenquellen in Azure herstellen. Verwaltete private Endpunkte können in Ihren Fabric-Arbeitsbereichen erstellt werden, um eine Verbindung mit Datenquellen in Azure herzustellen, die den Zugriff auf das öffentliche Internet blockiert haben. Sie unterstützen private Endpunkte, z. B. Azure SQL-Datenbank und Azure Storage. Verwaltete private Endpunkte werden in einem verwalteten VNet bereitgestellt und verwaltet, das einem Fabric-Arbeitsbereich zugeordnet ist. Im Gegensatz zu Ihren typischen virtuellen Azure-Netzwerken werden verwaltete VNets und verwaltete private Endpunkte im Azure-Portal nicht gefunden. Das liegt daran, dass sie von Fabric vollständig verwaltet werden, und Sie finden sie in Ihren Arbeitsbereichseinstellungen.

Da Sie bereits viele Daten in Azure Data Lake Storage (ADLS)-Gen2-Konten gespeichert haben, müssen Sie jetzt nur Fabric-Workloads wie Spark und Power BI mit ihnen verbinden. Dank OneLake ADLS-Verknüpfungen können Sie auch problemlos eine Verbindung mit Ihren vorhandenen Daten aus beliebigen Fabric-Oberflächen herstellen, z. B. Datenintegrationspipelinen, Datentechnik-Notebooks und Power BI-Berichte.

Fabric-Arbeitsbereiche mit einer Arbeitsbereichsidentität können sicher auf ADLS Gen2-Speicherkonten zugreifen, auch wenn Sie das öffentliche Netzwerk deaktiviert haben. Dies wird durch den Zugriff auf vertrauenswürdige Arbeitsbereiche ermöglicht. Es ermöglicht Fabric, mithilfe eines Microsoft-Backbone-Netzwerks sicher eine Verbindung mit den Speicherkonten herzustellen. Dies bedeutet, dass die Kommunikation nicht das öffentliche Internet verwendet, sodass Sie den Zugriff auf das öffentliche Netzwerk auf das Speicherkonto deaktivieren, bestimmte Fabric-Arbeitsbereiche jedoch weiterhin die Verbindung mit ihnen herstellen können.

Kompatibilität

Sie möchten Fabric verwenden, um Ihre Daten in der Cloud sicher zu erfassen, zu speichern, zu verarbeiten und zu analysieren sowie die Einhaltung der Vorschriften Ihrer Branche und der Richtlinien Ihrer Organisation zu wahren.

Fabric ist Teil der Kerndienste von Microsoft Azure und ist Gegenstand der Microsoft Online Services-Nutzungsbedingungen und der Datenschutzbestimmungen von Microsoft Enterprise. Während Zertifizierungen in der Regel nach einer Produkteinführung (Allgemein verfügbar, engl. Generally Available oder GA) erfolgen, integriert Microsoft bewährte Verfahren zur Einhaltung von Richtlinien von Anfang an und in den gesamten Entwicklungszyklus. Dieser proaktive Ansatz stellt eine starke Grundlage für zukünftige Zertifizierungen sicher, auch wenn sie etablierten Überwachungszyklen folgen. In einfacheren Worten priorisieren wir die Erstellung der Compliance von Anfang an, auch wenn die formale Zertifizierung später erfolgt.

Fabric ist mit vielen Branchenstandards wie ISO 27001, 27017, 27018 und 27701 kompatibel. Fabric ist auch HIPAA-konform, was für datenschutz- und sicherheitsrelevante Gesundheitsdaten von entscheidender Bedeutung ist. Sie können den Anhang A und B der Microsoft Azure-Complianceangebote überprüfen, um detaillierte Einblicke zu erhalten, welche Clouddienste für die Zertifizierungen gelten. Sie können auch über das Service Trust Portal (STP) auf die Überwachungsdokumentation zugreifen.

Compliance liegt in gemeinsamer Verantwortung. Um die Gesetze und Vorschriften einzuhalten, tragen Cloud-Service-Anbieter und ihre Kunden gemeinsam die Verantwortung dafür, dass jeder seinen Teil dazu beiträgt. Wenn Sie öffentliche Clouddienste erwägen und bewerten, ist es wichtig, das Modell der gemeinsamen Verantwortung zu verstehen und welche Sicherheitsaufgaben der Cloudanbieter durchführt und welche Aufgaben bei Ihnen verbleiben.

Datenhandhabung

Da Sie mit vertraulichen Patienteninformationen arbeiten, müssen Sie sicherstellen, dass alle Ihre Daten sowohl im Ruhezustand als auch während der Übertragung ausreichend geschützt sind.

Die Verschlüsselung ruhender Daten bietet Schutz für gespeicherte Daten (im Ruhezustand). Zu Angriffen auf ruhende Daten zählen Versuche, physischen Zugriff auf die Hardware zu erhalten, auf der die Daten gespeichert sind, und die Daten auf dieser Hardware zu kompromittieren. Die Verschlüsselung ruhender Daten wurde entwickelt, um ein Angreifer den Zugriff auf die unverschlüsselten Daten zu verwehren, indem die Daten auf der Festplatte verschlüsselt sind. Verschlüsselung im Ruhezustand ist eine obligatorische Maßnahme, die für die Einhaltung einiger branchenspezifischer Standards und Vorschriften erforderlich ist, z. B. der International Organization for Standardization (ISO) und des Health Insurance Portability and Accountability Act (HIPAA).

Alle Fabric-Datenspeicher werden im Ruhezustand mit von Microsoft verwalteten Schlüsseln verschlüsselt, die Schutz für Kundendaten sowie Systemdaten und Metadaten bieten. Daten werden niemals dauerhaft gespeichert, während sie sich in einem unverschlüsselten Zustand befinden. Mit von Microsoft verwalteten Schlüsseln profitieren Sie von der Verschlüsselung Ihrer ruhenden Daten ohne das Risiko oder die Kosten einer benutzerdefinierten Schlüsselverwaltungslösung.

Daten werden auch während der Übertragung verschlüsselt. Der gesamte eingehende Datenverkehr zu Fabric-Endpunkten von den Client-Systemen erzwingt ein Minimum von TLS (Transport Layer Security) 1.2. Außerdem wird, wenn möglich mit TLS 1.3 verhandelt. TLS bietet strenge Authentifizierung, Datenschutz von Nachrichten und Integrität (ermöglicht die Erkennung von Manipulation, Abfangen und Fälschung von Nachrichten), Interoperabilität, Algorithmusflexibilität sowie einfache Bereitstellung und Verwendung.

Zusätzlich zur Verschlüsselung wird der Netzwerkdatenverkehr zwischen Microsoft-Dienste immer über das globale Microsoft-Netzwerk weitergeleitet, das eines der größten Backbone-Netzwerke der Welt ist.

Vom Kunden verwaltete Schlüsselverschlüsselung (CMK) und Microsoft Fabric

Vom Kunden verwaltete Schlüssel (Customer-managed keys, CMK) ermöglicht es Ihnen, Daten im Ruhezustand mit Ihren eigenen Schlüsseln zu verschlüsseln. Standardmäßig verschlüsselt Microsoft Fabric Daten im Ruhezustand mit plattformverwalteten Schlüsseln. In diesem Modell ist Microsoft für alle Aspekte der Schlüsselverwaltung, und ruhende Daten auf OneLake sind mit seinen Schlüsseln verschlüsselt. Aus Compliance-Sicht haben Kunden möglicherweise eine Anforderung, CMK zum Verschlüsseln von ruhenden Daten zu verwenden. Beim CMK-Modell übernimmt der Kunde die volle Kontrolle über den Schlüssel und verwendet seine(n) Schlüssel zur Verschlüsselung von Daten im Ruhezustand.

Das Diagramm zeigt eine allgemeine Darstellung der Verwendung von CMK mithilfe von Fabric OneLake-Verknüpfungen.

Wenn Sie CMK zum Verschlüsseln ruhender Daten verwenden müssen, empfehlen wir die Verwendung von Cloudspeicherdiensten (ADLS Gen2, AWS S3, GCS) mit aktivierter CMK-Verschlüsselung und Zugriff auf Daten aus Microsoft Fabric mithilfe von OneLake-Verknüpfungen. In diesem Muster befinden sich Ihre Daten weiterhin in einem Cloudspeicherdienst oder in einer externen Speicherlösung, bei der die Verschlüsselung ruhender Daten mit CMK aktiviert ist. Sie können dann direkte Lesevorgänge aus Fabric ausführen, während Sie die Vorschriften einhalten. Sobald eine Verknüpfung erstellt wurde, kann in Fabric auf die Daten von anderen Fabric-Oberflächen zugegriffen werden.

Es gibt einige Überlegungen zur Verwendung dieses Musters:

  • Verwenden Sie das hier beschriebene Muster für Daten, die über die Verschlüsselungsanforderung für ruhende Daten mit CMK verfügt. Daten, die diese Anforderung nicht haben, können mit plattformverwalteten Schlüsseln verschlüsselt werden, und diese Daten können nativ in Microsoft Fabric OneLake gespeichert werden.
  • Fabric Lakehouse und KQL-Datenbank sind die beiden Workloads in Microsoft Fabric, die die Erstellung von Verknüpfungen unterstützen. In diesem Muster, in dem sich Daten weiterhin in einem externen Speicherdienst befinden, in dem CMK aktiviert ist, können Sie Verknüpfungen in Lakehouses- und KQL-Datenbanken verwenden, um Ihre Daten zur Analyse in Microsoft Fabric zu übertragen. Daten werden jedoch physisch außerhalb von OneLake gespeichert, wo die CMK-Verschlüsselung aktiviert ist.
  • ADLS Gen2-Verknüpfung unterstützt Schreib- und Verwendung dieses Verknüpfungstyps. Sie können Daten auch wieder in den Speicherdienst schreiben und mit CMK verschlüsseln. Bei der Verwendung von CMK mit ADLS Gen2 gelten die folgenden Überlegungen für Azure Key Vault (AKV) und Azure Storage .
  • Wenn Sie eine Drittanbieter-Speicherlösung verwenden, die AWS S3-kompatibel ist (Cloudflare, Qumolo Core mit öffentlichem Endpunkt, Public MinIO und Dell ECS mit öffentlichem Endpunkt) und CMK aktiviert ist, kann das hier in diesem Dokument beschriebene Muster auf diese Speicherlösungen von Drittanbietern erweitert werden. Mithilfe der mit Amazon S3 kompatiblen Verknüpfung können Sie Daten mithilfe einer Verknüpfung aus diesen Lösungen in Fabric übertragen. Wie bei Cloud-basierten Speicherdiensten können Sie die Daten auf einem externen Speicher mit CMK-Verschlüsselung speichern und Lesevorgänge an Ort und Stelle durchführen.
  • AWS S3 unterstützt die Verschlüsselung im Ruhezustand mit kundenseitig verwalteten Schlüsseln. Fabric kann direkte Lesevorgänge in S3-Buckets mithilfe der S3-Verknüpfung ausführen. Schreibvorgänge mit einer Verknüpfung zu AWS S3 werden jedoch nicht unterstützt.
  • Google Cloud Storage unterstützt die Datenverschlüsselung mithilfe von kundenseitig verwalteten Schlüsseln. Fabric kann lokale Lesevorgänge auf GCS durchführen; Schreibvorgänge mit einer Verknüpfung zu GCS werden jedoch nicht unterstützt.
  • Aktivieren Sie Überwachung für Microsoft Fabric, um Aktivitäten nachzuverfolgen.
  • In Microsoft Fabric unterstützt die Power BI-Umgebung kundenseitig verwaltete Schlüssel.

Datenresidenz

Während Sie mit Patientendaten umgehen, hat Ihre Organisation aus Compliance-Gründen festgelegt, dass Daten niemals die geografische Grenze der USA verlassen dürfen. Die Hauptoperationen Ihrer Organisation finden in New York und in Seattle statt. Beim Einrichten von Power BI hat Ihre Organisation die Region „Ost-USA“ als Mandanten-Heimregion ausgewählt. Für Ihre Operationen haben Sie eine Fabric-Kapazität in der Region West-USA erstellt, die ihren Datenquellen näher kommt. Da OneLake weltweit verfügbar ist, überlegen Sie, ob Sie die Datenresidenz-Richtlinien Ihrer Organisation erfüllen können, während Sie Fabric verwenden.

In Fabric erfahren Sie, dass Sie Multi-Geo-Kapazitäten erstellen können, die sich in anderen Regionen (Geos) als Ihrer Mandanten-Heimatregion befinden. Sie weisen diesen Kapazitäten Ihre Fabric-Arbeitsbereiche zu. In diesem Fall befinden sich Compute und Speicher (einschließlich OneLake und erfahrungsspezifischer Speicher) für alle Elemente im Workspace in der Multi-Geo-Region, während Ihre Mandantenmetadaten in der Heimatregion bleiben. Ihre Daten werden nur in diesen beiden Regionen gespeichert und verarbeitet, wodurch sichergestellt wird, dass die Datenresidenz-Anforderungen Ihrer Organisation erfüllt sind.

Zugriffssteuerung

Sie müssen sicherstellen, dass nur Sie und Ihre technischen Fachkräfte für Daten Vollzugriff auf die Daten in den Bronze- und Silberebenen des Lakehouse haben. Mit diesen Ebenen können Sie Datenbereinigung, -validierung, -transformation und -anreicherung durchführen. Sie müssen den Zugriff auf die Daten in der Goldebene nur auf autorisierte Benutzer beschränken, z. B. Data Analysts und im geschäftlichen Bereich tätige Personen, die die Daten für verschiedene analytische Zwecke verwenden können, z. B. Berichte und Analysen.

Fabric bietet ein flexibles Berechtigungsmodell, mit dem Sie den Zugriff auf Elemente und Daten in Ihren Arbeitsbereichen steuern können. Ein Arbeitsbereich ist eine sicherungsfähige logische Entität zum Gruppieren von Elementen in Fabric. Sie verwenden Arbeitsbereichsrollen, um den Zugriff auf Elemente in den Arbeitsbereichen zu steuern. Die vier grundlegenden Rollen eines Arbeitsbereichs sind:

  • Admin: Kann sich alle Inhalte im Arbeitsbereich anzeigen lassen, diese ändern, für andere freigeben und verwalten, einschließlich der Berechtigungen.
  • Mitglied: Kann sich alle Inhalte im Arbeitsbereich anzeigen lassen, diese ändern und für andere freigeben.
  • Mitwirkender: Kann sich alle Inhalte im Arbeitsbereich anzeigen lassen und diese ändern.
  • Zuschauer: Kann sich alle Inhalte im Arbeitsbereich anzeigen lassen, diese aber nicht ändern.

In diesem Szenario erstellen Sie drei Arbeitsbereiche, eine für jede der Medaillenebenen (Bronze, Silber und Gold). Da Sie den Arbeitsbereich erstellt haben, werden Sie automatisch der Rolle Administrator zugewiesen.

Anschließend fügen Sie der Rolle Mitwirkender dieser drei Arbeitsbereiche eine Sicherheitsgruppe hinzu. Da die Sicherheitsgruppe Ihre Kollegen als Mitglieder enthält, können sie Fabric-Elemente in diesen Arbeitsbereichen erstellen und ändern – sie können jedoch keine Elemente für andere Personen freigeben. Noch können sie anderen Benutzern Zugriff gewähren.

In den Bronze- und Silberarbeitsbereichen erstellen Sie und Ihre Kollegen Fabric-Elemente, um Daten zu erfassen, die Daten zu speichern und die Daten zu verarbeiten. Fabric-Elemente umfassen ein Lakehouse, Pipelines und Notebooks. Im Goldarbeitsbereich erstellen Sie zwei Lakehouses, mehrere Pipelines und Notebooks sowie ein Direct Lake-Semantikmodell, das schnelle Abfrageleistung von Daten liefert, die in einem der Lakehouses gespeichert sind.

Anschließend berücksichtigen Sie sorgfältig, wie die Data Analysts und im geschäftlichen Bereich tätigen Personen auf die Daten zugreifen können, auf die sie zugreifen dürfen. Insbesondere können sie nur auf Daten zugreifen, die für ihre Rolle und Abteilung relevant sind.

Das erste Lakehouse enthält die tatsächlichen Daten und erzwingt keine Datenberechtigungen in seinem SQL-Analyse-Endpunkt. Das zweite Lakehouse enthält Verknüpfungen zum ersten Lakehouse und erzwingt granulare Datenberechtigungen in seinem SQL-Analyse-Endpunkt. Das semantische Modell verbindet sich mit dem ersten Lakehouse. Um geeignete Datenberechtigungen für die Benutzer zu erzwingen (damit sie nur auf Daten zugreifen können, die für ihre Rolle und Abteilung relevant sind), geben Sie das erste Lakehouse nicht für die Benutzer frei. Stattdessen geben Sie nur das Direct Lake-Semantikmodell und das zweite Lakehouse frei, das Datenberechtigungen in seinem SQL-Analyse-Endpunkt erzwingt.

Sie richten das Semantikmodell für die Verwendung einer festen Identität ein und implementieren dann die Sicherheit auf Zeilenebene (RLS) im semantischen Modell, um Modellregeln zu erzwingen, und um zu steuern, auf welche Daten die Benutzer zugreifen können. Anschließend teilen Sie nur das semantische Modell mit den Data Analysts und im geschäftlichen Bereich tätigen Personen, da sie nicht auf die anderen Elemente im Arbeitsbereich zugreifen sollten, z. B. die Pipelines und Notebooks. Schließlich weisen Sie Build-Berechtigungen für das semantische Modell zu, damit die Benutzer Power BI-Berichte erstellen können. Auf diese Weise wird das Semantikmodell zu einem freigegebenen Semantikmodell und zu einer Quelle für ihre Power BI-Berichte.

Ihre Data Analysts benötigen Zugriff auf das zweite Lakehouse im Gold-Arbeitsbereich. Sie stellen eine Verbindung mit dem SQL-Analyse-Endpunkt dieses Lakehouse her, um SQL-Abfragen zu schreiben und Analysen durchzuführen. Sie teilen also dieses Lakehouse mit ihnen und bieten nur Zugriff auf Objekte, die sie benötigen (z. B. Tabellen, Zeilen und Spalten mit Maskierungsregeln) im Lakehouse SQL-Analyse-Endpunkt des Lakehouse mithilfe des SQL-Sicherheitsmodells. Data Analysts können jetzt nur auf Daten zugreifen, die für ihre Rolle und Abteilung relevant sind, und sie können nicht auf die anderen Elemente im Arbeitsbereich zugreifen, z. B. auf die Pipelines und Notebooks.

Häufige Sicherheitsszenarien

In der folgenden Tabelle sind allgemeine Sicherheitsszenarien und die Tools aufgeführt, mit denen Sie sie erreichen können.

Szenario Extras Richtung
Ich bin ETL-Fachkraft in der Entwicklung und möchte große Datenmengen aus mehreren Quellsystemen und Tabellen in Fabric laden. Die Quelldaten sind lokal (oder andere Cloud) und hinter Firewalls und/oder Azure-Datenquellen mit privaten Endpunkten. Verwenden des lokalen Datengateways mit Daten-Pipelines (Copy-Aktivität). Ausgehend
Ich bin ein Hauptbenutzer und möchte Daten aus Quellsystemen, auf die ich Zugriff habe, in Fabric laden. Da ich keine Fachkraft in der Entwicklung bin, muss ich die Daten mithilfe einer Low-Code-Schnittstelle transformieren. Die Quelldaten sind lokal (oder eine andere Cloud) und hinter Firewalls. Verwenden Sie Lokales Daten-Gateway mit Dataflow Gen 2. Ausgehend
Ich bin ein Hauptbenutzer und möchte Daten in Fabric aus Quellsystemen laden, auf die ich Zugriff habe. Die Quelldaten befinden sich in Azure hinter privaten Endpunkten, und ich möchte keine lokale Datengateway-Infrastruktur installieren und pflegen. Verwenden Sie ein VNet-Datengateway mit Dataflow Gen 2. Ausgehend
Ich bin Fachkraft in der Entwicklung, der Datenaufnahmecode mithilfe von Spark-Notebooks schreiben kann. Ich möchte Daten in Fabric aus Quellsystemen laden, auf die ich Zugriff habe. Die Quelldaten befinden sich in Azure hinter privaten Endpunkten, und ich möchte keine lokale Datengateway-Infrastruktur installieren und pflegen. Verwenden Sie Fabric-Notebooks mit privaten Azure-Endpunkten. Ausgehend
Ich habe viele vorhandene Pipelines in Azure Data Factory (ADF) und Synapse-Pipelines, die eine Verbindung zu meinen Datenquellen herstellen und Daten in Azure laden. Ich möchte diese Pipelines jetzt ändern, um Daten in Fabric zu laden. Verwenden Sie den Lakehouse-Konnektor in vorhandenen Pipelines. Ausgehend
Ich habe ein Datenerfassung-Framework in Spark entwickelt, das eine sichere Verbindung mit meinen Datenquellen herstellt und diese in Azure lädt. Ich habe es auf Azure Databricks und/oder Synapse Spark ausgeführt. Ich möchte weiterhin Azure Databricks und/oder Synapse Spark verwenden, um Daten in Fabric zu laden. Verwenden der OneLake und die Azure Data Lake Storage ADLS-GEN2-API (Azure Blob Filesystem-Treiber) Ausgehend
Ich möchte sicherstellen, dass meine Fabric-Endpunkte vor dem öffentlichen Internet geschützt sind. Als SaaS-Dienst ist das Fabric-Back-End bereits vor dem öffentlichen Internet geschützt. Um mehr Schutz zu gewährleisten, verwenden Sie Microsoft Entra-Richtlinien für bedingten Zugriff für Fabric und/oder aktivieren Sie private Links auf Mandantenebene für Fabric, und blockieren Sie den öffentlichen Internetzugriff. Eingehend
Ich möchte sicherstellen, dass Fabric nur innerhalb meines Unternehmensnetzwerks und/oder von kompatiblen Geräten aus aufgerufen werden kann. Verwenden Sie Microsoft Entra-Richtlinien für bedingten Zugriff in Fabric. Eingehend
Ich möchte sicherstellen, dass jeder, der auf Fabric zugreift, eine mehrstufige Authentifizierung durchführen muss. Verwenden Sie Microsoft Entra-Richtlinien für bedingten Zugriff in Fabric. Eingehend
Ich möchte meinen gesamten Fabric-Mandanten aus dem öffentlichen Internet sperren und den Zugriff nur aus meinen virtuellen Netzwerken zulassen. Aktivieren Sie private Links auf Mandantenebene für Fabric, und blockieren Sie den öffentlichen Internetzugriff. Eingehend

Zugehöriger Inhalt

Weitere Informationen zur Fabric-Sicherheit finden Sie in folgenden Ressourcen: