Jaa

Saapuvan liikenteen suojaaminen

  • Artikkeli

Saapuva liikenne on Liikennettä, joka tulee Fabriciin Internetistä. Tässä artikkelissa kerrotaan eri tavoista suojata saapuvaa liikennettä Microsoft Fabricissa, yksityisillä linkeillä ja Entran ehdollisella käyttöoikeudella. Tämän artikkelin avulla voit päättää, mikä menetelmä sopii parhaiten organisaatiollesi.

  • Yksityiset linkit (vaihtoehto 1, Asiakas vnet) – Fabric käyttää näennäisverkostasi yksityistä IP-osoitetta. Päätepisteen avulla verkkosi käyttäjät voivat viestiä Fabricin kanssa yksityisellä IP-osoitteella yksityisten linkkien avulla.

  • Entran ehdollinen käyttöoikeus – (vaihtoehto 2, käyttäjä) – Kun käyttäjä todentaa käyttöoikeuden, se määritetään käytäntöjen perusteella, jotka saattavat sisältää IP-osoitteita, sijaintia ja hallittuja laitteita.

Kaavio, joka näyttää kaksi todennusmenetelmää Fabriciin, Vnetsiin ja Microsoft Entra -tunnukseen saapuvalle liikenteelle.

Kun liikenne siirtyy Fabriciin, Se todennetaan Microsoft Entra -tunnuksella, joka on sama todennusmenetelmä kuin Microsoft 365, OneDrive ja Dynamics 365. Microsoft Entra ID -todennuksen avulla käyttäjät voivat turvallisesti muodostaa yhteyden pilvisovelluksiin mistä tahansa laitteesta ja verkosta, olivatpa he sitten kotona, etänä tai yrityksen toimistossa.

Fabric-taustaympäristö on suojattu näennäisverkolla, eikä sitä voi käyttää suoraan julkisesta Internetistä suojattujen päätepisteiden kautta. Jos haluat tietää, miten liikenne on suojattu Fabricilla, tutustu Fabricin arkkitehtoniseen kaavioon.

Fabric viestii oletusarvoisesti käyttökokemusten välillä käyttämällä Microsoftin sisäistä runkoverkkoa. Kun Power BI -raportti lataa tietoja OneLakesta, tiedot menevät Microsoftin sisäiseen verkkoon. Tämä määritys eroaa useista PaaS-palveluista, jotka muodostavat yhteyden toisiinsa yksityisessä verkossa. Asiakkaan, kuten selaimen tai SQL Server Management Studion (SSMS) ja Fabricin, saapuva tietoliikenne käyttää TLS 1.2 -protokollaa ja neuvottelee TLS 1.3:n kanssa, kun se on mahdollista.

Fabric:n oletussuojausasetukset ovat seuraavat:

  • Microsoft Entra -tunnus , jota käytetään jokaisen pyynnön todentamiseen.

  • Onnistuneen todentamisen jälkeen pyynnöt reititetään oikeaan taustapalveluun suojattujen Microsoftin hallitsemien päätepisteiden kautta.

  • Sisäinen liikenne fabric-käyttökokemusten välillä reititetään Microsoftin runkoon.

  • Asiakkaiden ja Fabricin välinen liikenne salataan käyttämällä vähintään TLS 1.2 -protokollaa ( Transport Layer Security).

Entran ehdollinen käyttöoikeus

Jokainen Fabric-vuorovaikutus todennetaan Microsoft Entra ID:n avulla. Microsoft Entra -tunnus perustuu täisusaldamatus suojausmalliin, jossa oletetaan, että et ole täysin suojattu organisaatiosi eteisverkossa. Sen sijaan, että täisusaldamatus tarkastella verkkoasi suojausrajana, hän pitää käyttäjätietoja ensisijaisena tietoturvan alueena.

Voit määrittää käyttöoikeuden todennuksen yhteydessä määrittämällä ja valvomalla ehdollisia käyttöoikeuskäytäntöjä käyttäjien käyttäjätietojen, laitekontekstin, sijainnin, verkon ja sovelluksen luottamuksellisuustietojen perusteella. Voit esimerkiksi edellyttää monimenetelmäistä todentamista, laitteiden yhteensopivuutta tai hyväksyttyjä sovelluksia tietoihisi ja resursseihisi Fabricissa. Voit myös estää tai rajoittaa pääsyä riskialttiista sijainneista, laitteista tai verkoista.

Ehdolliset käyttöoikeuskäytännöt auttavat suojaamaan tietojasi ja sovelluksiasi vaarantamatta käyttäjien tuottavuutta ja käyttökokemusta. Seuraavassa on muutama esimerkki käyttöoikeusrajoituksista, joita voit pakottaa ehdollisen käyttöoikeuden avulla.

  • Määritä IPS-luettelo Fabriciin saapuvaa yhteyttä varten.

  • Käytä monimenetelmäistä todentamista (MFA).

  • Rajoita liikennettä sellaisten parametrien perusteella, joita ovat esimerkiksi alkuperämaa tai laitetyyppi.

Fabric ei tue muita todennusmenetelmiä, kuten tiliavaimia tai SQL-todennusta, jotka käyttävät käyttäjänimiä ja salasanoja.

Ehdollisen käyttöoikeuden määrittäminen

Jotta voit määrittää ehdollisen käyttöoikeuden Fabricissa, sinun on valittava useita Fabriciin liittyviä Azure-palveluita, kuten Power BI, Azure Data Explorer, Azuren SQL-tietokanta ja Azure-tallennustila.

Muistiinpano

Ehdollista käyttöä voidaan pitää joillekin asiakkaille liian laajana, koska mitä tahansa käytäntöä sovelletaan Fabriciin ja siihen liittyviin Azure-palveluihin.

Käyttöoikeudet

Ehdollinen käyttö edellyttää Microsoft Entra ID P1 -käyttöoikeuksia. Usein nämä käyttöoikeudet ovat jo käytettävissä organisaatiossasi, koska ne on jaettu muiden Microsoft-tuotteiden, kuten Microsoft 365:n, kanssa. Löydät vaatimuksillesi sopivan käyttöoikeuden kohdasta Käyttöoikeusvaatimukset.

Luotettu käyttöoikeus

Fabricin ei tarvitse sijaita yksityisessä verkossa, vaikka tietosi olisi tallennettu sellaisen sisälle. PaaS-palveluissa käsittely on yleinen sijoittaa samaan yksityisverkkoon kuin tallennustili. Fabric-funktiolla tätä ei kuitenkaan tarvita. Jos haluat mahdollistaa luotetun pääsyn Fabriciin, voit käyttää ominaisuuksia, kuten paikallisia tietoyhdyskäytäviä, luotetun työtilan käyttöoikeutta ja hallittuja yksityisiä päätepisteitä. Lisätietoja on artikkelissa Microsoft Fabricin suojaus.

Yksityisten päätepisteiden avulla palvelullesi määritetään yksityinen IP-osoite näennäisverkostasi. Päätepisteen avulla verkon muut resurssit voivat viestiä palvelun kanssa käyttämällä yksityistä IP-osoitetta.

Yksityisten linkkien avulla tunneli palvelusta johonkin aliverkkoosi luo yksityisen kanavan. Tietoliikenne ulkoisista laitteista kulkee NIIDEN IP-osoitteesta yksityiseen päätepisteeseen kyseisessä aliverkossa tunnelin kautta ja palveluun.

Kun toteutat yksityisiä linkkejä, Fabric ei ole enää käytettävissä julkisen Internetin kautta. Fabricin käyttämiseksi kaikkien käyttäjien on muodostettava yhteys yksityisen verkon kautta. Yksityinen verkko on pakollinen kaikessa Fabric-viestinnässä, mukaan lukien Power BI -raportin tarkasteleminen selaimessa ja SQL Server Management Studion (SSMS) käyttäminen yhteyden muodostamiseksi SQL-yhteysmerkkijonoon, kuten <guid_unique_your_item>.datawarehouse.fabric.microsoft.com.

Paikalliset verkot

Jos käytät paikallisia verkkoja, voit laajentaa niitä Azure-näennäisverkkoon (VNet) ExpressRoute-piirin tai sivustolta paikan päällä olevan VPN:n avulla Fabricin käyttämiseksi yksityisten yhteyksien avulla.

Kaistanleveys

Yksityisten linkkien avulla kaikki Fabric-liikenne kulkee yksityisen päätepisteen kautta aiheuttaen mahdollisia kaistanleveysongelmia. Käyttäjät eivät enää pysty lataamaan alueeltaan Fabricin käyttämiä maailmanlaajuisia hajautettuja ei-tietoresursseja, kuten kuvia .css ja .html tiedostoja. Nämä resurssit ladataan yksityisen päätepisteen sijainnista. Esimerkiksi australialaisille käyttäjille, joilla on yhdysvaltalainen yksityinen päätepiste, liikenne kulkee ensin Yhdysvaltoihin. Tämä pidentää latausaikoja ja saattaa heikentää suorituskykyä.

Kustannus

Yksityisten linkkien kustannukset ja ExpressRoute-kaistanleveyden kasvu verkon yksityisen yhteyden mahdollistamiseksi saattavat aiheuttaa kustannuksia organisaatiollesi.

Huomioitavat asiat ja rajoitukset

Yksityisillä linkeillä suljet Fabricin julkiseen Internetiin. Tämän vuoksi sinun on otettava huomioon monia huomioon otettavia seikkoja ja rajoituksia.

Liittyvä sisältö