Microsoft Fabric päästä päähän -suojausskenaario

Suojaus on tärkeä osa mitä tahansa tietoanalytiikkaratkaisua, erityisesti silloin, kun se sisältää arkaluonteisia tai luottamuksellisia tietoja. Tästä syystä Microsoft Fabric tarjoaa kattavan joukon suojausominaisuuksia, joiden avulla voit suojata lepääviä ja siirrossa olevia tietojasi, sekä valvoa käyttäjien ja sovellusten käyttöoikeuksia ja käyttöoikeuksia.

Tässä artikkelissa kerrotaan Fabric-suojauskäsitteistä ja -ominaisuuksista, joiden avulla voit luotettavasti luoda oman analyysiratkaisusi Fabricilla.

Tausta

Tässä artikkelissa esitellään skenaario, jossa olet tietoteknikko, joka työskentelee terveydenhuolto-organisaatiossa Yhdysvalloissa. Organisaatio kerää ja analysoi potilastietoja, jotka ovat peräisin eri järjestelmistä, mukaan lukien sähköiset terveystiedot, laboratoriotulokset, vakuutushakemukset ja puettavat laitteet.

Aiot rakentaa Lakehousen käyttämällä Fabric-mitalistiarkkitehtuuria , joka koostuu kolmesta kerroksesta: pronssi, hopea ja kulta.

• Pronssikerros tallentaa raakatiedot, kun ne saapuvat tietolähteistä.
• Hopeanvärinen kerros käyttää tietojen laadun tarkistuksia ja muunnoksia tietojen valmistelemiseksi analyysia varten.
• Kultakerros tarjoaa koostettuja ja täydennettyjä tietoja raportointia ja visualisointia varten.

Vaikka jotkin tietolähteet sijaitsevat paikallisessa verkossa, toiset ovat palomuurien takana ja vaativat suojatun ja todennetun käytön. On myös joitakin Azuressa hallittuja tietolähteitä, kuten Azure SQL -tietokanta ja Azure-tallennustila. Sinun on muodostettava yhteys näihin Azure-tietolähteisiin siten, että ne eivät paljasta tietoja julkisessa Internetissä.

Olet päättänyt käyttää Fabricia, koska se voi käyttää, varastoida, käsitellä ja analysoida tietojasi turvallisesti pilvipalvelussa. Mikä tärkeintä, se noudattaa samalla toimialasi säännöksiä ja organisaatiosi käytäntöjä.

Koska Fabric on saaS-ohjelmistopalvelu, sinun ei tarvitse valmistella yksittäisiä resursseja, kuten tallennus- tai käsittelyresursseja. Tarvitset vain Fabric-kapasiteetin.

Sinun on määritettävä tietojen käyttövaatimukset. Erityisesti sinun täytyy varmistaa, että vain sinä ja tietoteknikot pääsette käyttämään lakehousen pronssi- ja hopeakerroksissa olevia tietoja. Näissä kerroksissa aiot suorittaa tietojen puhdistamisen, vahvistamisen, muunnoksen ja täydentämisen. Sinun on myös rajoitettava kultakerroksen tietojen käyttöoikeuksia. Vain valtuutetuilla käyttäjillä, mukaan lukien tietoanalyytikoilla ja yrityskäyttäjillä, on oltava kultakerroksen käyttöoikeus. Ne edellyttävät, että tätä käyttöoikeutta käytetään erilaisissa analyysitarkoituksissa, kuten raportoinnissa, koneoppimisessa ja ennakoivassa analytiikassa. Käyttäjän roolin ja osaston on rajoitettava tietojen käyttöä entisestään.

Yhteyden muodostaminen Fabriciin (saapuva suojaus)

Olet ensin määrittänyt saapuvan suojauksen, joka koskee sitä, miten sinä ja muut käyttäjät kirjaudutte sisään ja miten he voivat käyttää Fabricia.

Koska Fabric on otettu käyttöön Microsoft Entra -vuokraajassa, Microsoft Entra käsittelee todentamisen ja käyttöoikeuksien myöntämisen. Kirjaudu sisään Microsoft Entra -organisaatiotilillä (työpaikan tai oppilaitoksen tili). Seuraavaksi pohdit, miten muut käyttäjät muodostavat yhteyden Fabriciin.

Microsoft Entra -vuokraaja on käyttäjätietojen suojausraja , joka on IT-osastosi hallinnassa. It-järjestelmänvalvojat voivat hallita Microsoft Entra -objekteja (kuten käyttäjätilejä) ja koko vuokraajan laajuisten asetusten määritystä tämän suojauksen sisällä. Kuten mikä tahansa SaaS-palvelu, Fabric eristää vuokraajat loogisesti. Muut vuokraajat eivät voi koskaan käyttää vuokraajasi tietoja ja resursseja, ellet nimenomaisesti anna heille lupaa käyttää niitä.

Näin tapahtuu, kun käyttäjä kirjautuu Sisään Fabriciin.

Kohde	Kuvaus
	Käyttäjä avaa selaimen (tai asiakassovelluksen) ja kirjautuu Sisään Fabric-portaaliin.
	Käyttäjä ohjataan välittömästi Microsoft Entra -tunnukseen, ja hänet on todennettava. Todentaminen varmistaa, että kirjautuminen on oikea henkilö.
	Kun todentaminen on onnistunut, verkon edusta vastaanottaa käyttäjän pyynnön ja toimittaa edustan (HTML ja CSS) sisällön lähimmästä sijainnista. Se myös reitittää pyynnön metatietoympäristöön ja taustan kapasiteettiympäristöön.
	Vuokraajan kotialueella sijaitseva metatietoympäristö tallentaa vuokraajan metatiedot, kuten työtilat ja käyttöoikeuksien ohjausobjektit. Tämä ympäristö varmistaa, että käyttäjällä on oikeus käyttää asianmukaisia työtiloja ja Fabric-kohteita.
	Taustakapasiteettiympäristö suorittaa käsittelytoimintoja ja tallentaa tiedot. Se sijaitsee kapasiteettialueella. Kun työtila on määritetty Fabric-kapasiteettiin, kaikki työtilassa sijaitsevat tiedot, mukaan lukien Data Lake OneLake, tallennetaan ja käsitellään kapasiteettialueella.

Metatietoympäristö ja taustakapasiteetin käyttöympäristö toimivat kumpikin suojatuissa näennäisverkoissa. Nämä verkot paljastavat Internetissä useita suojattuja päätepisteitä, jotta ne voivat vastaanottaa pyyntöjä käyttäjiltä ja muilta palveluilta. Näiden päätepisteiden lisäksi palvelut on suojattu verkon suojaussäännöillä, jotka estävät pääsyn julkisesta Internetistä.

Kun käyttäjät kirjautuvat Sisään Fabriciin, voit pakottaa muita suojauskerroksia. Tällä tavoin vuokraajasi on vain tiettyjen käyttäjien käytettävissä, ja kun muut ehdot, kuten verkon sijainti ja laitteen yhteensopivuus, täyttyvät. Tätä suojauskerrosta kutsutaan saapuvan suojauksena.

Tässä skenaariossa olet vastuussa Fabricin luottamuksellisista potilastiedoista. Organisaatiosi on siis valtuuttanut, että kaikkien Fabricia käyttävien käyttäjien on suoritettava monimenetelmäinen todentaminen (MFA) ja että heidän on oltava yritysverkossa – vain käyttäjätietojen suojaaminen ei riitä.

Organisaatiosi tarjoaa käyttäjille myös joustavuutta, koska he voivat työskennellä mistä tahansa ja käyttää henkilökohtaisia laitteitaan. Koska Microsoft Intune tukee Bring your own device (BYOD) -laitetta, rekisteröit hyväksytyt käyttäjälaitteet Intuneen.

Lisäksi sinun on varmistettava, että nämä laitteet noudattavat organisaation käytäntöjä. Nämä käytännöt edellyttävät erityisesti, että laitteet voivat muodostaa yhteyden vain, kun niihin on asennettu uusin käyttöjärjestelmä ja uusimmat suojauskorjaukset. Voit määrittää nämä suojausvaatimukset käyttämällä Microsoft Entran ehdollista käyttöoikeutta.

Ehdollinen käyttöoikeus tarjoaa useita tapoja suojata vuokraajasi. Voit tehdä seuraavia toimintoja:

• Myönnä tai estä käyttö verkkosijainnin mukaan.
• Estä käyttö laitteissa, joita ei tueta käyttöjärjestelmissä.
• Edellytä yhteensopiva laite, Intuneen yhdistetty laite tai monimenetelmäinen todentaminen kaikille käyttäjille.
• Ja paljon muuta.

Jos haluat lukita koko Fabric-vuokraajan, voit käyttää näennäisverkkoa ja estää julkisen Internet-yhteyden. Fabric-käyttö sallitaan tämän jälkeen vain kyseisestä turvallisesta näennäisverkosta. Tämä vaatimus määritetään ottamalla käyttöön yksityiset linkit Fabricin vuokraajatasolla . Se varmistaa, että kaikki Fabric-päätepisteet ratkaistaan virtuaaliverkossasi yksityiseen IP-osoitteeseen, mukaan lukien kaikkien Power BI -raporttien käyttöoikeus. (Yksityisten päätepisteiden ottaminen käyttöön vaikuttaa moniin Fabric-kohteisiin, joten lue tämä artikkeli perusteellisesti ennen niiden käyttöönottoa.)

Suojattu pääsy Tietoihin Fabricin ulkopuolella (lähtevän liikenteen suojaus)

Seuraavaksi määrität lähtevän suojauksen, joka koskee palomuurien tai yksityisten päätepisteiden tietojen suojattua käyttöä.

Organisaatiollasi on joitakin tietolähteitä, jotka sijaitsevat paikallisessa verkossasi. Koska nämä tietolähteet ovat palomuurien takana, Fabric vaatii suojatun käytön. Jotta Fabric voi muodostaa turvallisen yhteyden paikalliseen tietolähteeseen, sinun on asennettava paikallinen tietoyhdyskäytävä.

Data Factory -tietovuot ja -putket voivat käyttää yhdyskäytävää paikallisten tietojen sisään, valmisteluun ja muuntamiseen, ja ladata sen sitten OneLakeen kopiointitoiminnon avulla. Data Factory tukee kattavaa liitinjoukkoa, jonka avulla voit muodostaa yhteyden yli 100 eri tietosäilöön.

Sen jälkeen voit luoda tietovoita Power Querylla, joka tarjoaa intuitiivisen käyttökokemuksen vähäisen koodin käyttöliittymässä. Sen avulla voit käsitellä tietolähteiden tietoja ja muuntaa niitä käyttämällä yli 300 tietojen muunnoksia. Sen jälkeen voit luoda ja järjestää monimutkaisen poiminta-, muuntamis- ja latausprosessin (ETL) tietoputkilla. ETL-prosessit voivat päivittää tietovoita ja suorittaa monia erilaisia tehtäviä suuressa mittakaavassa ja käsitellä petatavuja tietoja.

Tässä skenaariossa sinulla on jo useita ETL-prosesseja. Ensin sinulla on joitakin putkia Azure Data Factoryssa (ADF). Tällä hetkellä nämä putket käyttävät paikallisia tietoja ja lataavat ne Azure Storagen Data Lake -tallennustilaan käyttämällä itse isännöityä integraation suorituspalvelua. Toiseksi, Azure Databricksissä on tietojen käsittelykehys, joka on kirjoitettu Sparkissä.

Nyt kun käytät Fabricia, ohjaa ADF-putkien tuloskohde uudelleen lakehouse-liittimen käyttämiseksi. Azure Databricksin tietojen käsittelykehyksessä käytetään OneLake-ohjelmointirajapintoja , jotka tukevat Azure-blogitiedostojärjestelmää (ABFS), jotta OneLake voidaan integroida Azure Databricksiin. (Voit myös integroida saman menetelmänOneLake ja Azure Synapse Analytics käyttämällä Apache Sparkia.)

Sinulla on myös joitakin tietolähteitä, jotka ovat Azure SQL -tietokannassa. Sinun on muodostettava yhteys näihin tietolähteisiin yksityisten päätepisteiden avulla. Tässä tapauksessa päätät määrittää näennäisverkon (VNet) tietoyhdyskäytävän ja käyttää tietovoita azure-tietoihisi turvalliseen yhdistämiseen ja niiden lataamiseen Fabriciin. VNet-tietoyhdyskäytäviä käyttämällä sinun ei tarvitse valmistella ja hallita infrastruktuuria (kuten paikallisen tietoyhdyskäytävän kohdalla). Tämä johtuu siitä, että Fabric luo säilöt turvallisesti ja dynaamisesti Azure-näennäisverkkoosi.

Jos kehität tai siirrät tietojen käsittelykehystä Sparkissä, voit muodostaa yhteyden Azuren tietolähteisiin turvallisesti ja yksityisesti Fabric-muistikirjoista ja työpaikoista hallittujen yksityisten päätepisteiden avulla. Fabric-työtiloissa voidaan luoda hallittuja yksityisiä päätepisteitä, joiden avulla voit muodostaa yhteyden Azuren tietolähteisiin, jotka ovat estäneet julkisen Internet-yhteyden. Ne tukevat yksityisiä päätepisteitä, kuten Azuren SQL-tietokantaa ja Azure-tallennusta. Hallittuja yksityisiä päätepisteitä valmistellaan ja hallitaan hallitussa VNetissä , joka on omistettu Fabric-työtilalle. Toisin kuin tavalliset Azure-näennäisverkot, hallittuja VNets-verkkoja ja hallittuja yksityisiä päätepisteitä ei löydy Azure-portaalista. Tämä johtuu siitä, että Fabric hallitsee niitä täysin ja löydät ne työtilan asetuksista.

Koska sinulla on jo paljon tietoja tallennettuna Azure Data Lake Storage (ADLS) Gen2 -tileille, sinun tarvitsee nyt yhdistää siihen vain Fabric-kuormitukset, kuten Spark ja Power BI. OneLakeN ADLS-pikakuvakkeiden avulla voit helposti muodostaa yhteyden olemassa oleviin tietoihisi mistä tahansa Fabric-kokemuksesta, kuten tietojen integrointiputkista, tietotekniikan muistikirjoista ja Power BI -raporteista.

Fabric-työtilat, joilla on työtilan käyttäjätiedot , voivat turvallisesti käyttää ADLS Gen2 -tallennustilejä, vaikka olisit poistanut julkisen verkon käytöstä. Tämän mahdollistaa luotetun työtilan käyttöoikeus. Sen avulla Fabric voi turvallisesti muodostaa yhteyden tallennustileihin Microsoftin runkoverkon avulla. Tämä tarkoittaa, että tietoliikenne ei käytä julkista Internetiä, minkä avulla voit poistaa tallennustilin julkisen verkkoyhteyden käytöstä, mutta silti sallia tiettyjen Fabric-työtilojen muodostaa yhteyden niihin.

Vaatimustenmukaisuus

Haluat käyttää Fabricia tietojen turvalliseen käyttämiseen, tallentamiseen, käsittelyyn ja analysoimiseen pilvipalvelussa säilyttäen samalla toimialasi säädösten ja organisaatiosi käytäntöjen noudattamisen.

Fabric on osa Microsoft Azure Core Servicesiä, ja sitä koskevat Microsoftin verkkopalvelujen ehdot ja Microsoftin yrityssuojan lausunto. Vaikka sertifioinnit tehdään yleensä tuotteen julkaisun jälkeen (yleisesti saatavilla tai yleisesti), Microsoft integroi yhteen yhteensopivuuden parhaat käytännöt alusta alkaen ja koko kehityksen elinkaaren ajan. Tämä ennakoiva lähestymistapa varmistaa vahvan perustan tuleville sertifioinneille, vaikka ne noudattavat vakiintuneita auditointijaksoja. Yksinkertaisemmassa mielessä priorisoimme vaatimustenmukaisuuden rakentamista alusta alkaen, vaikka virallinen sertifiointi tulee myöhemmin.

Kangas täyttää monia toimialastandardeja, kuten ISO 27001, 27017, 27018 ja 27701. Fabric on myös HIPAA-yhteensopiva , mikä on ensi tilassa terveydenhuollon tietosuojan ja turvallisuuden kannalta. Voit tarkistaa Microsoft Azure -yhteensopivuustarjouksien lisäyksessä A ja B tarkemmat tiedot siitä, mitkä pilvipalvelut sisältyvät sertifiointeihin. Voit myös käyttää valvontadokumentaatiota Service Trust Portalista (STP).

Vaatimustenmukaisuus on jaettu vastuu. Lakien ja säädösten noudattamiseksi pilvipalveluntarjoajat ja niiden asiakkaat vastaavat jaetusta vastuusta varmistaa, että kukin niistä tekee osansa. Kun harkitset ja arvioit julkisia pilvipalveluita, on tärkeää ymmärtää jaetun vastuun mallia ja sitä, mitä suojaustehtäviä pilvipalveluntarjoaja käsittelee ja mitä tehtäviä käsittelet.

Tietojen käsittely

Koska käsittelet luottamuksellisia potilastietoja, sinun on varmistettava, että kaikki tietosi ovat riittävän suojattuja sekä levossa että siirrossa.

Salaus levossa tarjoaa tietojen suojaamisen tallennetuille tiedoille (levossa). Levossa säilytettävien tietojen vastaisia hyökkäyksiä ovat esimerkiksi yritykset saada fyysinen käyttöoikeus laitteistoon, johon tiedot tallennetaan, ja tämän jälkeen ne vaarantavat kyseisen laitteiston tiedot. Salaus levossa on suunniteltu estämään hyökkääjää käyttämästä salaamattomia tietoja varmistamalla, että tiedot salataan levyllä ollessasi. Salaus levossa on pakollinen toimenpide, joka vaaditaan joidenkin alan standardien ja säädösten, kuten Kansainvälisen standardointijärjestön (ISO) ja sairausvakuutusten siirrettävyyttä ja vastuullisuutta koskevan lain (HIPAA) noudattamiseksi.

Kaikki Fabric-tietosäilöt salataan levossa Käyttämällä Microsoftin hallitsemia avaimia, mikä tarjoaa suojauksen asiakastiedoille sekä järjestelmätiedoille ja metatiedoille. Tietoja ei koskaan säilytetä pysyvään tallennustilaan salaamattomassa tilassa. Microsoftin hallitsemien avainten avulla voit hyödyntää lepäävien tietoidesi salausta ilman mukautetun avaimen hallintaratkaisun riskiä tai kustannuksia.

Tiedot salataan myös siirrossa. Kaikki saapuva liikenne Fabric-päätepisteisiin asiakasjärjestelmistä pakottaa vähimmäismäärän Transport Layer Security (TLS) 1.2:sta. Se myös neuvottelee TLS 1.3:n aina kun se on mahdollista. TLS tarjoaa vahvan todentamisen, sanoman tietosuojan ja eheyden (mahdollistaa viestien peukaloinnin, sieppauksen ja väärennöksen tunnistamisen), yhteentoimivuuden, algoritmin joustavuuden sekä käyttöönoton ja käytön helppouden.

Salauksen lisäksi verkkoliikenne Microsofti teenused välillä reititetään aina Microsoftin maailmanlaajuisen verkon kautta, joka on yksi maailman suurimmista runkoverkoista.

Asiakkaan hallitseman avaimen (CMK) salaus ja Microsoft Fabric

Asiakkaan hallitsemien avainten (CMK) avulla voit salata lepäävät tiedot omilla avaimillasi. Microsoft Fabric salaa oletusarvoisesti levossa olevat tiedot käyttöympäristön hallitsemien avainten avulla. Tässä mallissa Microsoft vastaa kaikista avainten hallinnasta ja siitä, että OneLakessa salataan avainten avulla. Vaatimustenmukaisuuden näkökulmasta asiakkailla saattaa olla vaatimuksena käyttää CMK:ta lepäävien tietojen salaamiseen. CMK-mallissa asiakas ottaa avaimen täysin hallintaan ja salaa lepäävät tiedot avaimiensa avulla.

Jos haluat salata lepäävät tiedot CMK:n avulla, suosittelemme käyttämään pilvitallennuspalveluja (ADLS Gen2, AWS S3, GCS), kun CMK-salaus on käytössä ja voit käyttää Microsoft Fabricin tietoja OneLake-pikakuvakkeiden avulla. Tässä mallissa tiedot sijaitsevat edelleen pilvitallennuspalvelussa tai ulkoisessa tallennusratkaisussa, jossa salaus lepäävät CMK:n avulla on käytössä ja voit suorittaa paikoillaan Lukutoimintoja Fabricista samalla kun noudatat vaatimuksia. Kun olet luonut pikakuvakkeen Fabricissa, tietoja voi käyttää myös muissa Fabric-käyttökokemuksissa.

Tämän mallin käyttämisessä on muutamia huomioon otettavia seikkoja:

• Käytä tässä kuvattua mallia tiedoille, joilla on salaus levossa -vaatimus CMK:n avulla. Tiedot, joilla ei ole tätä vaatimusta, voidaan salata levossa käyttöympäristön hallitsemilla avaimilla ja että tiedot voidaan tallentaa suoraan Microsoft Fabric OneLakeen.
• Fabric Lakehouse - ja KQL-tietokannat ovat microsoft Fabricin kaksi kuormitusta, jotka tukevat pikakuvakkeiden luomista. Tässä kuviossa, jossa tiedot sijaitsevat edelleen ulkoisessa tallennuspalvelussa, jossa CMK on käytössä, voit käyttää Lakehouse- ja KQL-tietokannoissa olevia pikakuvakkeita tietojen tuomiseksi Microsoft Fabriciin analysointia varten, mutta tiedot tallennetaan fyysisesti OneLaken ulkopuolelle, jossa CMK-salaus on käytössä.
• ADLS Gen2 -pikakuvake tukee kirjoittamista ja tämän pikakuvaketyypin käyttämistä. Voit myös kirjoittaa tietoja takaisin tallennuspalveluun, ja ne salataan levossa CMK:n avulla. Kun käytät CMK:ta ADLS Gen2:n kanssa, huomioi seuraavat seikat Azure võtmehoidla (AKV) ja Azure Storagessa.
• Jos käytät kolmannen osapuolen tallennusratkaisua, joka on AWS S3 -yhteensopiva (Cloudflare, Qumolo Core ja julkinen päätepiste, julkinen MinIO ja Dell ECS) ja jolla on CMK käytössä, tässä asiakirjassa kuvattu malli voidaan laajentaa koskemaan näitä kolmannen osapuolen tallennusratkaisuja. Amazon S3 -yhteensopivan pikakuvakkeen avulla voit tuoda tietoja Fabriciin käyttämällä pikakuvaketta näistä ratkaisuista. Pilvipohjaisten tallennuspalveluiden tavoin voit tallentaa tiedot ulkoiseen tallennustilaan CMK-salauksella ja suorittaa paikoillaan lukutoimintoja.
• AWS S3 tukee salausta levossa käyttämällä asiakkaan hallitsemia avaimia. Fabric voi suorittaa paikoillaan lukuja S3-säilöissä S3-pikakuvakkeen avulla. Kirjoittamistoimintoja AWS S3 :n pikakuvakkeella ei kuitenkaan tueta.
• Google-pilvitallennustila tukee tietojen salausta asiakkaan hallitsemien avainten avulla. Fabric voi suorittaa paikoillaan lukemista GCS:ssä; GCS-pikakuvaketta käyttäviä kirjoitustoimintoja ei kuitenkaan tueta.
• Ota Microsoft Fabric -valvonta käyttöön, jotta voit seurata toimintoja.
• Microsoft Fabricissa Power BI -kokemus tukee asiakkaan hallitsemaa avainta.

Tietojen sijainti

Kun käsittelet potilastietoja, organisaatiosi on määrittänyt vaatimustenmukaisuussyistä, että tietojen ei tulisi koskaan poistua Yhdysvaltojen maantieteellisilta rajoilta. Organisaatiosi päätoiminnot tapahtuvat New Yorkissa ja pääkonttorissasi Seattlessa. Määrittäessään Power BI:tä organisaatiosi on valinnut vuokraajan kotialueeksi Itä-Yhdysvaltain alueen. Olet luonut toimintaasi varten Fabric-kapasiteetin Länsi-Yhdysvaltain alueella, joka on lähempänä tietolähteitäsi. Koska OneLake on saatavilla ympäri maailmaa, olet huolissasi siitä, voitko täyttää organisaatiosi tietojen tallennuskäytännöt Fabric-käytön aikana.

Fabricissa opit luomaan Multi-Geo-kapasiteetteja, jotka ovat kapasiteetteja muilla maantieteellisillä alueilla kuin vuokraajan kotialueella. Voit määrittää Fabric-työtilat kyseisiin kapasiteetteihin. Tässä tapauksessa käsittely ja tallennus (mukaan lukien OneLake ja käyttökokemuskohtainen tallennus) kaikille työtilan kohteille sijaitsevat Multi-Geo-alueella, kun taas vuokraajan metatiedot pysyvät kotialueella. Tiedot tallennetaan ja käsitellään vain näillä kahdella maantieteellisellä alueella, mikä varmistaa, että organisaatiosi tietojen sijaintivaatimukset täyttyvät.

Käyttöoikeuksien hallinta

Sinun täytyy varmistaa, että vain sinulla ja tietoteknikoillasi on täydet käyttöoikeudet lakehousen pronssi- ja hopeakerroksien tietoihin. Näiden tasojen avulla voit suorittaa tietojen puhdistamisen, vahvistamisen, muunnoksen ja täydentämisen. Sinun on rajoitettava kultakerroksen tietojen käyttöoikeudet vain valtuutetuille käyttäjille, kuten tietoanalyytikoille ja yrityskäyttäjille, jotka voivat käyttää tietoja eri analyyttisiin tarkoituksiin, kuten raportointiin ja analyysiin.

Fabric tarjoaa joustavan käyttöoikeusmallin , jonka avulla voit hallita työtiloissasi olevien kohteiden ja tietojen käyttöä. Työtila on suojaava looginen entiteetti kohteiden ryhmittelylle Fabricissa. Työtilaroolien avulla voit hallita työtilojen kohteiden käyttöä. Työtilan neljä perusroolia ovat:

• Järjestelmänvalvoja: voi tarkastella, muokata, jakaa ja hallita kaikkea työtilan sisältöä, mukaan lukien käyttöoikeuksien hallintaa.
• Jäsen: Voi tarkastella, muokata ja jakaa kaikkea työtilan sisältöä.
• Osallistuja: voi tarkastella ja muokata kaikkea työtilan sisältöä.
• Katselija: Voi tarkastella kaikkea työtilan sisältöä, mutta ei voi muokata sitä.

Tässä skenaariossa luot kolme työtilaa, yhden kutakin mitalilion kerrosta kohden (pronssi, hopea ja kulta). Koska loit työtilan, sinulle määritetään automaattisesti järjestelmänvalvojan rooli.

Sen jälkeen lisäät käyttöoikeusryhmän kyseisten kolmen työtilan Osallistuja-rooliin . Koska käyttöoikeusryhmä sisältää myös muita insinöörejä jäseninä, he voivat luoda ja muokata Kyseisten työtilojen Fabric-kohteita, mutta he eivät voi jakaa kohteita kenenkään muun kanssa. He eivät myöskään voi myöntää käyttöoikeutta muille käyttäjille.

Pronssi- ja hopeatyötiloissa sinä ja insinöörit luotte Fabric-kohteita tietojen käsittelyyn, tietojen tallentamiseen ja tietojen käsittelemiseen. Kangaskohteet koostuvat lakehousesta, putkista ja muistikirjoista. Kultaisessa työtilassa luot kaksi lakehouse-järveä, useita putkia ja muistikirjoja sekä Direct Lake -semanttisen mallin, joka tarjoaa nopean kyselyjen suorituskyvyn johonkin lakehouse-järjestelmään tallennetuista tiedoista.

Pohdit sitten tarkkaan, miten tietoanalyytikot ja yrityskäyttäjät voivat käyttää tietoja, joita heillä on oikeus käyttää. Tarkemmin sanottuna he voivat käyttää vain tietoja, jotka liittyvät hänen rooliinsa ja osastoonsa.

Ensimmäinen Lakehouse-järjestelmä sisältää todelliset tiedot, eikä se pakota mitään tietojen käyttöoikeuksia SQL-analytiikan päätepisteessään. Toinen Lakehouse-tallennustila sisältää ensimmäisen Lakehouse-pikakuvakkeen, ja se toteuttaa eriytettyjä tietojen käyttöoikeuksia SQL-analytiikan päätepisteessään. Semanttinen malli muodostaa yhteyden ensimmäiseen lakehouseen. Jotta käyttäjät voivat pakottaa asianmukaiset tietojen käyttöoikeudet (jotta he voivat käyttää vain heidän rooliinsa ja osastoonsa liittyviä tietoja), et jaa ensimmäistä Lakehousea käyttäjille. Sen sijaan voit jakaa vain semanttisen Direct Lake -mallin ja toisen Lakehousen, joka valvoo tietojen käyttöoikeuksia SQL-analytiikan päätepisteessään.

Määrität semanttisen mallin käyttämään kiinteitä käyttäjätietoja ja otat sitten käyttöön rivitason suojauksen (RLS) semanttisessa mallimallissa, jotta voit pakottaa käyttöön mallisäännöt, joilla hallitaan, mitä tietoja käyttäjät voivat käyttää. Sen jälkeen voit jakaa vain semanttisen mallin tietoanalyytikoille ja yrityskäyttäjille, koska heidän ei pitäisi käyttää muita työtilan kohteita, kuten putkia ja muistikirjoja. Lopuksi myönnät muodostamisoikeuden semanttiseen malliin, jotta käyttäjät voivat luoda Power BI -raportteja. Näin semanttisesta mallista tulee jaettu semanttinen malli ja lähde niiden Power BI -raporteille.

Tietoanalyytikot tarvitsevat pääsyn toiseen Lakehouse-tallennustilaan kultaisessa työtilassa. He muodostavat yhteyden lakehousen SQL-analytiikan päätepisteeseen ja kirjoittavat SQL-kyselyitä ja suorittavat analyyseja. Voit siis jakaa lakehousen heidän kanssaan ja antaa pääsyn vain niihin objekteihin, joita he tarvitsevat (esimerkiksi taulukoihin, riveihin ja sarakkeisiin, joissa on peittämissääntöjä) Lakehouse SQL -analytiikan päätepisteessä SQL-suojausmallin avulla. Tietoanalyytikot voivat nyt käyttää vain tietoja, jotka liittyvät heidän rooliinsa ja osastoonsa, eivätkä he voi käyttää muita työtilan kohteita, kuten putkia ja muistikirjoja.

Yleiset suojausskenaariot

Seuraavassa taulukossa on lueteltu yleiset suojausskenaariot ja työkalut, joiden avulla voit toteuttaa ne.

Skenaario	Työkalut	Suunta
Olen ETL-kehittäjä ja haluan ladata suuria tietomääriä Fabriciin suuressa mittakaavassa useista lähdejärjestelmistä ja taulukoista. Lähdetiedot ovat paikallisia (tai muita pilvipalveluita), ja ne ovat palomuurien ja/tai Azure-tietolähteiden takana, joissa on yksityisiä päätepisteitä.	Käytä paikallista tietoyhdyskäytävää yhdessä tietoputkien kanssa (kopioi aktiviteetti).	Lähtevä
Olen tehokäyttäjä ja haluan ladata Fabriciin tietoja lähdejärjestelmistä, joihin minulla on käyttöoikeus. Koska en ole kehittäjä, minun on muuntava tiedot vähäisen koodin käyttöliittymän avulla. Lähdetiedot ovat paikallisia (tai muita pilvipalveluita) ja palomuurien takana.	Käytä paikallista tietoyhdyskäytävää tietovuon Gen 2 kanssa.	Lähtevä
Olen tehokäyttäjä ja haluan ladata Fabriciin tietoja lähdejärjestelmistä, joihin minulla on käyttöoikeus. Lähdetiedot ovat Azuressa yksityisten päätepisteiden takana, enkä halua asentaa ja ylläpitää paikallista tietoyhdyskäytäväinfrastruktuuria.	Käytä VNet-tietoyhdyskäytävää tietovuon Gen 2 kanssa.	Lähtevä
Olen kehittäjä , joka osaa kirjoittaa tietojen käsittelykoodia Spark-muistikirjojen avulla. Haluan ladata Fabriciin tietoja lähdejärjestelmistä, joihin minulla on käyttöoikeus. Lähdetiedot ovat Azuressa yksityisten päätepisteiden takana, enkä halua asentaa ja ylläpitää paikallista tietoyhdyskäytäväinfrastruktuuria.	Käytä Fabric-muistikirjoja ja Azuren yksityisiä päätepisteitä.	Lähtevä
Minulla on monia Azure Data Factory (ADF) - ja Synapse-putkia, jotka muodostavat yhteyden tietolähteisiini ja lataavat tietoja Azureen. Nyt haluan muokata näitä putkia ladatakseni tietoja Fabriciin.	Käytä Lakehouse-liitintä olemassa olevissa putkissa.	Lähtevä
Minulla on Sparkissä kehitetty tietojen käsittelykehys, joka muodostaa suojatun yhteyden tietolähteisiini ja lataa ne Azureen. Suoritan sen Azure Databricksissä ja/tai Synapse Sparkissä. Haluan jatkaa Azure Databricksin ja/tai Synapse Sparkin käyttöä tietojen lataamiseksi Fabriciin.	OneLaken ja Azure Data Lake Storagen (ADLS) Gen2-ohjelmointirajapinnan (Azure Blob -tiedostojärjestelmän ohjain) käyttäminen	Lähtevä
Haluan varmistaa, että Fabric-päätepisteet on suojattu julkiselta Internetiltä.	SaaS-palveluna Fabric-tausta on jo suojattu julkiselta Internetiltä. Jos haluat lisää suojausta, käytä Microsoft Entran ehdollisia käyttöoikeuskäytäntöjä Fabricille ja/tai ota käyttöön yksityiset linkit vuokraajatasolla Fabricille ja estä julkinen Internet-yhteys.	Saapuva
Haluan varmistaa, että Fabricia voi käyttää vain omasta yritysverkostani ja/tai yhteensopivista laitteista.	Käytä Fabricille Microsoft Entran ehdollisia käyttöoikeuskäytäntöjä.	Saapuva
Haluan varmistaa, että kaikkien Fabricia käyttävien on suoritettava monimenetelmäinen todentaminen.	Käytä Fabricille Microsoft Entran ehdollisia käyttöoikeuskäytäntöjä.	Saapuva
Haluan lukita koko Fabric-vuokraajani julkisesta Internetistä ja sallia käytön vain näennäisverkkojeni sisältä.	Ota käyttöön yksityiset linkit vuokraajatasolla Fabricille ja estä julkinen Internet-yhteys.	Saapuva

Liittyvä sisältö

Lisätietoja Fabric-suojauksesta on seuraavissa resursseissa.

• Microsoft Fabric -suojaus
• OneLake-suojauksen yleiskatsaus
• Microsoft Fabric -käsitteet ja -käyttöoikeudet
• Kysyttävää? Kysy Microsoft Fabric -yhteisöltä.
• Ehdotuksia? Kerro ideasi Microsoft Fabricin parantamiseksi.