Βασικά στοιχεία ασφαλείας του Microsoft Fabric

Αυτό το άρθρο παρουσιάζει μια γενική προοπτική της αρχιτεκτονικής ασφαλείας Microsoft Fabric, περιγράφοντας τον τρόπο λειτουργίας των κύριων ροών ασφαλείας στο σύστημα. Περιγράφει επίσης τον τρόπο με τον οποίο οι χρήστες πραγματοποιούν έλεγχο ταυτότητας με το Fabric, πώς δημιουργούνται οι συνδέσεις δεδομένων και πώς το Fabric αποθηκεύει και μετακινεί δεδομένα μέσω της υπηρεσίας.

Το άρθρο απευθύνεται κυρίως σε διαχειριστές Fabric, οι οποίοι είναι υπεύθυνοι για την επίβλεψη του Fabric στον οργανισμό. Επίσης, είναι σχετικό με τους ενδιαφερόμενους εταιρικής ασφάλειας, συμπεριλαμβανομένων των διαχειριστών ασφαλείας, των διαχειριστών δικτύων, των διαχειριστών Azure, των διαχειριστών χώρων εργασίας και των διαχειριστών βάσεων δεδομένων.

Πλατφόρμα Fabric

Το Microsoft Fabric είναι μια λύση ανάλυσης όλα σε ένα για επιχειρήσεις που καλύπτει τα πάντα, από τη μετακίνηση δεδομένων έως την επιστήμη των δεδομένων, την ανάλυση σε πραγματικό χρόνο και την επιχειρηματική ευφυΐα (BI). Η πλατφόρμα Fabric αποτελείται από μια σειρά υπηρεσιών και στοιχείων υποδομής που υποστηρίζουν την κοινή λειτουργικότητα για όλες τις εμπειρίες Fabric. Συλλογικά, προσφέρουν ένα ολοκληρωμένο σύνολο εμπειριών ανάλυσης που έχουν σχεδιαστεί για να συνεργάζονται απρόσκοπτα. Οι εμπειρίες περιλαμβάνουν τα Lakehouse, Data Factory, Synapse Data Engineering, Synapse Data Warehouse, Power BI και άλλα.

Με το Fabric, δεν χρειάζεται να συνδυάσετε διαφορετικές υπηρεσίες από πολλούς προμηθευτές. Αντ' αυτού, επωφελείστε από ένα ιδιαίτερα ενσωματωμένο, ολοκληρωμένο και εύχρηστο προϊόν που έχει σχεδιαστεί για να απλοποιεί τις ανάγκες ανάλυσής σας. Το Fabric έχει σχεδιαστεί από την αρχή για την προστασία ευαίσθητων πόρων.

Η πλατφόρμα Fabric είναι δομημένη βάσει λογισμικού ως υπηρεσίας (SaaS), η οποία παρέχει αξιοπιστία, απλότητα και δυνατότητα κλιμάκωσης. Βασίζεται στο Azure, το οποίο είναι η δημόσια πλατφόρμα υπολογιστικού cloud της Microsoft. Κατά παράδοση, πολλά προϊόντα δεδομένων αποτελούν πλατφόρμα ως υπηρεσία (PaaS), απαιτώντας από έναν διαχειριστή της υπηρεσίας να ρυθμίσει την ασφάλεια, τη συμμόρφωση και τη διαχείριση για κάθε υπηρεσία. Επειδή το Fabric είναι μια υπηρεσία SaaS, πολλές από αυτές τις δυνατότητες είναι ενσωματωμένες στην πλατφόρμα SaaS και δεν απαιτούν εγκατάσταση ή ελάχιστη εγκατάσταση.

Αρχιτεκτονικό διάγραμμα

Το παρακάτω αρχιτεκτονικό διάγραμμα εμφανίζει μια αναπαράσταση υψηλού επιπέδου της αρχιτεκτονικής ασφαλείας Fabric.

Το αρχιτεκτονικό διάγραμμα απεικονίζει τις ακόλουθες έννοιες.

1. Ένας χρήστης χρησιμοποιεί ένα πρόγραμμα περιήγησης ή μια εφαρμογή προγράμματος-πελάτη, όπως το Power BI Desktop, για να συνδεθεί στην υπηρεσία Fabric.

2. Ο έλεγχος ταυτότητας εκτελείται από το Αναγνωριστικό Microsoft Entra, γνωστό προηγουμένως ως Azure Active Directory, το οποίο είναι η υπηρεσία διαχείρισης ταυτότητας και πρόσβασης που βασίζεται στο cloud, η οποία ελέγχει την ταυτότητα του χρήστη ή της κύριας υπηρεσίας και διαχειρίζεται την πρόσβαση στο Fabric.

3. Το προσκήνιο web λαμβάνει αιτήσεις χρηστών και διευκολύνει την είσοδο. Δρομολογεί επίσης αιτήσεις και διανείμει περιεχόμενο προσκηνίου στον χρήστη.

4. Η πλατφόρμα μετα-δεδομένων αποθηκεύει μετα-δεδομένα μισθωτή, τα οποία μπορούν να περιλαμβάνουν δεδομένα πελατών. Οι υπηρεσίες Fabric υποβάλλουν ερώτημα σε αυτή την πλατφόρμα κατ' απαίτηση για να ανακτήσουν πληροφορίες εξουσιοδότησης και να εγκρίνουν και επικυρώσουν αιτήσεις χρηστών. Βρίσκεται στην αρχική περιοχή του μισθωτή.

5. Η πλατφόρμα εκχωρημένων πόρων παρασκηνίου είναι υπεύθυνη για τις υπολογιστικές λειτουργίες και την αποθήκευση δεδομένων πελατών, και βρίσκονται στην περιοχή εκχωρημένων πόρων. Αξιοποιεί τις βασικές υπηρεσίες Azure σε αυτή την περιοχή, όπως απαιτείται για συγκεκριμένες εμπειρίες Fabric.

Οι υπηρεσίες υποδομής πλατφόρμας Fabric είναι πολύτεκνες. Υπάρχει λογική απομόνωση μεταξύ των μισθωτών. Αυτές οι υπηρεσίες δεν επεξεργάζονται σύνθετα δεδομένα εισόδου χρήστη και συντάσσονται όλα σε διαχειριζόμενο κώδικα. Οι υπηρεσίες πλατφόρμας δεν εκτελούν ποτέ κώδικα που έχει συνταχθεί από τον χρήστη.

Η πλατφόρμα μετα-δεδομένων και η πλατφόρμα εκχωρημένων πόρων παρασκηνιού εκτελούνται σε ασφαλή εικονικά δίκτυα. Αυτά τα δίκτυα εμφανίζουν μια σειρά ασφαλών τελικών σημείων στο Internet, ώστε να μπορούν να λαμβάνουν αιτήσεις από πελάτες και άλλες υπηρεσίες. Εκτός από αυτά τα τελικά σημεία, οι υπηρεσίες προστατεύονται από κανόνες ασφάλειας δικτύου που αποκλείουν την πρόσβαση από το δημόσιο Internet. Η επικοινωνία εντός των εικονικών δικτύων περιορίζεται επίσης με βάση το δικαίωμα κάθε εσωτερικής υπηρεσίας.

Το επίπεδο εφαρμογής εξασφαλίζει ότι οι μισθωτές μπορούν να έχουν πρόσβαση μόνο σε δεδομένα μέσα από τον δικό τους μισθωτή.

Έλεγχος ταυτότητας

Το Fabric βασίζεται στο αναγνωριστικό Microsoft Entra για τον έλεγχο ταυτότητας χρηστών (ή οντοτήτων υπηρεσίας). Κατά τον έλεγχο ταυτότητας, οι χρήστες λαμβάνουν διακριτικά πρόσβασης από το Αναγνωριστικό Microsoft Entra. Το Fabric χρησιμοποιεί αυτά τα διακριτικά για την εκτέλεση λειτουργιών στο περιβάλλον του χρήστη.

Ένα βασικό χαρακτηριστικό του αναγνωριστικού Microsoft Entra είναι η πρόσβαση υπό όρους. Η πρόσβαση υπό όρους εξασφαλίζει ότι οι μισθωτές είναι ασφαλείς με την επιβολή ελέγχου ταυτότητας πολλών παραγόντων, επιτρέποντας μόνο στις εγγεγραμμένες συσκευές του Microsoft Intune να έχουν πρόσβαση σε συγκεκριμένες υπηρεσίες. Η πρόσβαση υπό όρους περιορίζει επίσης τις θέσεις χρηστών και τις περιοχές διευθύνσεων IP.

Εξουσιοδότηση

Όλα τα δικαιώματα Fabric αποθηκεύονται κεντρικά από την πλατφόρμα μετα-δεδομένων. Οι υπηρεσίες Fabric υποβάλλουν ερώτημα στην πλατφόρμα μετα-δεδομένων κατ' απαίτηση για να ανακτήσουν πληροφορίες εξουσιοδότησης και να εξουσιοδοτήσουν και επικυρώσουν αιτήσεις χρηστών.

Για λόγους επιδόσεων, το Fabric ορισμένες φορές συμπυκνώνει τις πληροφορίες εξουσιοδότησης σε υπογεγραμμένα διακριτικά. Τα υπογεγραμμένα διακριτικά εκδίδονται μόνο από την πλατφόρμα εκχωρημένων πόρων παρασκηνίου και περιλαμβάνουν το διακριτικό πρόσβασης, τις πληροφορίες εξουσιοδότησης και άλλα μετα-δεδομένα.

Αποθήκευση δεδομένων

Στο Fabric, ένας μισθωτής αντιστοιχίζεται σε ένα σύμπλεγμα πλατφόρμας μετα-δεδομένων αρχικής σελίδας, το οποίο βρίσκεται σε μία μόνο περιοχή που ικανοποιεί τις απαιτήσεις σημείου αποθήκευσης δεδομένων της γεωγραφικής τοποθεσίας αυτής της περιοχής. Τα μετα-δεδομένα μισθωτή, τα οποία μπορούν να περιλαμβάνουν δεδομένα πελατών, αποθηκεύονται σε αυτό το σύμπλεγμα.

Οι πελάτες μπορούν να ελέγξουν πού βρίσκονται οι χώροι εργασίας τους. Μπορούν να επιλέξουν να εντοπίσουν τους χώρους εργασίας τους στην ίδια γεωγραφική τοποθεσία με το σύμπλεγμα πλατφόρμας μετα-δεδομένων τους, είτε ρητά, εκχωρώντας τους χώρους εργασίας τους σε εκχωρημένους πόρους σε αυτή την περιοχή είτε έμμεσα, χρησιμοποιώντας τη δοκιμαστική έκδοση Fabric, το Power BI Pro ή τη λειτουργία άδειας χρήσης Power BI Premium ανά χρήστη. Στη δεύτερη περίπτωση, όλα τα δεδομένα πελατών αποθηκεύονται και επεξεργάζονται σε αυτήν τη μοναδική γεωγραφική τοποθεσία. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Έννοιες και άδειες χρήσης του Microsoft Fabric.

Οι πελάτες μπορούν επίσης να δημιουργήσουν εκχωρημένους πόρους Multi-Geo που βρίσκονται σε γεωγραφικές τοποθεσίες (γεωγραφικές τοποθεσίες) εκτός από την περιοχή τους. Σε αυτή την περίπτωση, ο υπολογισμός και ο χώρος αποθήκευσης (συμπεριλαμβανομένου του OneLake και του χώρου αποθήκευσης ειδικά για την εμπειρία) βρίσκονται στην περιοχή multi-geo, ωστόσο, τα μετα-δεδομένα μισθωτή παραμένουν στην αρχική περιοχή. Τα δεδομένα πελατών θα αποθηκεύονται και θα επεξεργάζονται μόνο σε αυτές τις δύο γεωγραφικές τοποθεσίες. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ρύθμιση παραμέτρων υποστήριξης Multi-Geo για Fabric.

Χειρισμός δεδομένων

Αυτή η ενότητα παρέχει μια επισκόπηση του τρόπου λειτουργίας του χειρισμού δεδομένων στο Fabric. Περιγράφει τον χώρο αποθήκευσης, την επεξεργασία και τη μετακίνηση των δεδομένων των πελατών.

Αδρανή δεδομένα

Όλοι οι χώροι αποθήκευσης δεδομένων Fabric κρυπτογραφούνται σε αδράνεια χρησιμοποιώντας διαχειριζόμενα κλειδιά της Microsoft. Τα δεδομένα Fabric περιλαμβάνουν δεδομένα πελατών, καθώς και δεδομένα συστήματος και μετα-δεδομένα.

Παρόλο που είναι δυνατή η επεξεργασία των δεδομένων στη μνήμη σε μη κρυπτογραφημένη κατάσταση, δεν διατηρούνται ποτέ σε μόνιμο χώρο αποθήκευσης ενώ βρίσκεστε σε μη κρυπτογραφημένη κατάσταση.

Δεδομένα σε διαμετακόμιση

Τα δεδομένα που μεταφέρονται μέσω του δημόσιου Internet μεταξύ των υπηρεσιών της Microsoft κρυπτογραφούνται πάντα με τουλάχιστον TLS 1.2. Το Fabric διαπραγματεύεται στο TLS 1.3 όποτε αυτό είναι εφικτό. Η κυκλοφορία μεταξύ των υπηρεσιών της Microsoft δρομολογεί πάντα μέσω του καθολικού δικτύου της Microsoft.

Η επικοινωνία Inbound Fabric επιβάλλει επίσης το TLS 1.2 και διαπραγματεύεται στο TLS 1.3, όποτε αυτό είναι εφικτό. Η εξερχόμενη επικοινωνία Fabric με την υποδομή που ανήκει στον πελάτη προτιμά τα ασφαλή πρωτόκολλα, αλλά μπορεί να επιστρέψει στα παλαιότερα, μη ασφαλή πρωτόκολλα (συμπεριλαμβανομένου του TLS 1.0) όταν δεν υποστηρίζονται νεότερα πρωτόκολλα.

Τηλεμετρία

Η τηλεμετρία χρησιμοποιείται για τη διατήρηση της απόδοσης και της αξιοπιστίας της πλατφόρμας Fabric. Ο χώρος αποθήκευσης τηλεμετρίας της πλατφόρμας Fabric έχει σχεδιαστεί ώστε να είναι συμβατός με τα δεδομένα και τους κανονισμούς προστασίας προσωπικών δεδομένων για πελάτες σε όλες τις περιοχές όπου είναι διαθέσιμο το Fabric, συμπεριλαμβανομένης της Ευρωπαϊκής Ένωσης (ΕΕ). Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Υπηρεσίες ορίων δεδομένων της ΕΕ.

OneLake

Το OneLake είναι μια ενιαία, ενοποιημένη, λογική λίμνη δεδομένων για ολόκληρο τον οργανισμό και παρέχεται αυτόματα για κάθε μισθωτή Fabric. Βασίζεται στο Azure και μπορεί να αποθηκεύσει οποιονδήποτε τύπο αρχείου, δομημένο ή μη δομημένο. Επίσης, όλα τα στοιχεία Fabric, όπως αποθήκες και lakehouses, αποθηκεύουν αυτόματα τα δεδομένα τους στο OneLake.

Το OneLake υποστηρίζει τα ίδια API Azure Data Lake Storage Gen2 (ADLS Gen2) και SDK, επομένως είναι συμβατό με υπάρχουσες εφαρμογές ADLS Gen2, συμπεριλαμβανομένων των Azure Databricks.

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ασφάλεια Fabric και OneLake.

Ασφάλεια χώρου εργασίας

Οι χώροι εργασίας αντιπροσωπεύουν το κύριο όριο ασφαλείας για τα δεδομένα που είναι αποθηκευμένα στο OneLake. Κάθε χώρος εργασίας αντιπροσωπεύει έναν μοναδικό τομέα ή μια περιοχή έργου όπου οι ομάδες μπορούν να συνεργαστούν σε δεδομένα. Μπορείτε να διαχειριστείτε την ασφάλεια στον χώρο εργασίας, αναθέτοντας χρήστες σε ρόλους χώρου εργασίας.

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ασφάλεια Fabric και OneLake (Ασφάλεια χώρου εργασίας).

Ασφάλεια στοιχείου

Μέσα σε έναν χώρο εργασίας, μπορείτε να εκχωρήσετε δικαιώματα απευθείας σε στοιχεία Fabric, όπως αποθήκες και lakehouses. Η ασφάλεια στοιχείων παρέχει την ευελιξία να εκχωρήσετε πρόσβαση σε ένα μεμονωμένο στοιχείο Fabric χωρίς να εκχωρήσετε πρόσβαση σε ολόκληρο τον χώρο εργασίας. Οι χρήστες μπορούν να ρυθμίσουν δικαιώματα ανά στοιχείο είτε με κοινή χρήση ενός στοιχείου είτε με τη διαχείριση των δικαιωμάτων ενός στοιχείου.

Πόροι συμμόρφωσης

Η υπηρεσία Fabric διέπεται από τους Όρους ηλεκτρονικών υπηρεσιών της Microsoft και τη Δήλωση προστασίας προσωπικών δεδομένων για μεγάλες επιχειρήσεις της Microsoft.

Για την τοποθεσία της επεξεργασίας δεδομένων, ανατρέξτε στους όρους της τοποθεσίας επεξεργασίας δεδομένων στους όρους των υπηρεσιών Microsoft Online Services και στο πρόσθετο προστασίας δεδομένων.

Για πληροφορίες συμμόρφωσης, το Κέντρο αξιοπιστίας της Microsoft είναι ο κύριος πόρος για το Fabric. Για περισσότερες πληροφορίες σχετικά με τη συμμόρφωση, ανατρέξτε στο θέμα Προσφορές συμμόρφωσης της Microsoft.

Η υπηρεσία Fabric ακολουθεί τον κύκλο ζωής ανάπτυξης ασφαλείας (SDL), ο οποίος αποτελείται από ένα σύνολο αυστηρών πρακτικών ασφαλείας που υποστηρίζουν απαιτήσεις ασφάλειας και συμμόρφωσης. Το SDL βοηθά τους προγραμματιστές να δημιουργήσουν πιο ασφαλές λογισμικό μειώνοντας τον αριθμό και τη σοβαρότητα των ευπάθειων στο λογισμικό, μειώνοντας παράλληλα το κόστος ανάπτυξης. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Πρακτικές κύκλου ζωής ανάπτυξης της Microsoft Security.

Σχετικό περιεχόμενο

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια Fabric, ανατρέξτε στους παρακάτω πόρους.

• Ασφάλεια στο Microsoft Fabric
• Σενάριο ασφάλειας από άκρο σε άκρο του Microsoft Fabric
• Επισκόπηση ασφάλειας OneLake
• Έννοιες και άδειες χρήσης του Microsoft Fabric
• Ερωτήσεις; Δοκιμάστε να ρωτήσετε την κοινότητα Microsoft Fabric.
• Προτάσεις? Συνεισφέρετε ιδέες για τη βελτίωση του Microsoft Fabric.