Partage via


Principes fondamentaux de la sécurité de Microsoft Fabric

Cet article présente une vue d’ensemble de l’architecture de sécurité de Microsoft Fabric en décrivant le fonctionnement des principaux flux de sécurité dans le système. Il décrit également comment les utilisateurs s’authentifient auprès de Fabric, comment les connexions de données sont établies et comment Fabric stocke et déplace les données via le service.

Cet article est principalement destiné aux administrateurs Fabric, qui sont chargés de superviser Fabric dans l’organisation. Il s’adresse également aux acteurs de la sécurité en entreprise, notamment les administrateurs de la sécurité, les administrateurs réseau, les administrateurs Azure, les administrateurs d’espace de travail et les administrateurs de base de données.

Plateforme Fabric

Microsoft Fabric est une solution d’analytique tout-en-un pour les entreprises qui couvre tout, du déplacement des données à la science des données, en passant par l’analyse en temps réel et la business intelligence (BI). La plateforme Fabric comprend une série de services et de composants d’infrastructure qui prennent en charge les fonctionnalités courantes de toutes les expériences Fabric. Ensemble, elles offrent un ensemble complet d’expériences d’analytique conçues pour fonctionner ensemble en toute transparence. Les expériences incluent Lakehouse, Data Factory, Synapse Data Engineering, Synapse Data Warehouse, Power BI et d’autres.

Avec Fabric, vous n’avez pas besoin de regrouper différents services à partir de plusieurs fournisseurs. Au lieu de cela, vous bénéficiez d’un produit hautement intégré, de bout en bout et facile à utiliser qui est conçu pour simplifier vos besoins d’analyse. Fabric a été conçu dès le départ pour protéger les ressources sensibles.

La plateforme Fabric repose sur une base de software as a service (SaaS), qui offre une fiabilité, une simplicité et une scalabilité. Elle est basée sur Azure, qui est la plateforme de cloud computing publique de Microsoft. Traditionnellement, de nombreux produits de données sont des platform as a service (PaaS), nécessitant qu’un administrateur du service configure la sécurité, la conformité et la gouvernance pour chaque service. Étant donné que Fabric est un service SaaS, la plupart de ces fonctionnalités sont intégrées à la plateforme SaaS et ne nécessitent aucune configuration ou configuration minimale.

Diagramme architectural

Le diagramme architectural ci-dessous montre une représentation générale de l’architecture de sécurité Fabric.

Le diagramme montre une représentation générale de l’architecture de sécurité Fabric.

Le diagramme architectural illustre les concepts suivants.

  1. Un utilisateur utilise un navigateur ou une application cliente, comme Power BI Desktop, pour se connecter au service Fabric.

  2. L'authentification est gérée par Microsoft Entra ID précédemment appelé Azure Active Directory, qui est le service de gestion des identités et des accès informatique qui authentifie l'utilisateur ou le principal de service et gère l'accès à Fabric.

  3. Le serveur front-end web reçoit les demandes des utilisateurs et facilite la connexion. Il achemine également les requêtes et sert du contenu front-end à l’utilisateur.

  4. La plateforme de métadonnées stocke les métadonnées du locataire, qui peuvent inclure des données client. Les services Fabric interrogent cette plateforme à la demande afin de récupérer les informations d’autorisation et d’autoriser et valider les demandes des utilisateurs. Elle se trouve dans la région d’origine du locataire.

  5. La plateforme de capacité back-end est responsable des opérations de calcul et du stockage des données client, et elle se trouve dans la région de capacité. Elle tire parti des services de base d’Azure dans cette région si nécessaire pour des expériences Fabric spécifiques.

Les services d’infrastructure de plateforme Fabric sont multi-locataires. Il existe une isolation logique entre les locataires. Ces services ne traitent pas d’entrée utilisateur complexe et sont tous écrits dans du code managé. Les services de plateforme n’exécutent jamais de code écrit par l’utilisateur.

La plateforme de métadonnées et la plateforme de capacité back-end s’exécutent chacune dans des réseaux virtuels sécurisés. Ces réseaux exposent une série de points de terminaison sécurisés sur Internet afin qu’ils puissent recevoir des demandes de clients et d’autres services. Outre ces points de terminaison, les services sont protégés par des règles de sécurité réseau qui bloquent l’accès à partir de l’Internet public. La communication au sein de réseaux virtuels est également limitée en fonction du privilège de chaque service interne.

La couche d’application garantit que les locataires ne sont en mesure d’accéder qu’aux données à partir de leur propre client.

Authentification

Fabric s’appuie sur Microsoft Entra ID pour authentifier les utilisateurs (ou les principaux de service). Lorsqu’ils sont authentifiés, les utilisateurs reçoivent des jetons d’accès de Microsoft Entra ID. Fabric utilise ces jetons pour effectuer des opérations dans le contexte de l’utilisateur.

L’accès conditionnel est une fonctionnalité clé de Microsoft Entra ID. L’accès conditionnel garantit que les locataires sont sécurisés en appliquant l’authentification multifacteur, ce qui permet uniquement aux appareils inscrits à Microsoft Intune d’accéder à des services spécifiques. L’accès conditionnel limite également les emplacements utilisateur et les plages d’adresses IP.

Autorisation

Toutes les autorisations Fabric sont stockées de manière centralisée par la plateforme de métadonnées. Les services Fabric interrogent la plateforme de métadonnées à la demande afin de récupérer les informations d’autorisation et d’autoriser et valider les demandes utilisateur.

Pour des raisons de performances, Fabric encapsule parfois des informations d’autorisation dans des jetons signés. Les jetons signés sont émis uniquement par la plateforme de capacité back-end et incluent le jeton d’accès, les informations d’autorisation et d’autres métadonnées.

Résidence des données

Dans Fabric, un locataire est attribué à un cluster de plateforme de métadonnées d’accueil, qui se trouve dans une seule région qui répond aux exigences de résidence des données de la zone géographique de cette région. Les métadonnées de locataire, qui peuvent inclure des données client, sont stockées dans ce cluster.

Les clients peuvent contrôler l’emplacement de leurs espaces de travail. Ils peuvent choisir de localiser leurs espaces de travail dans la même zone géographique que leur cluster de plateforme de métadonnées, soit en attribuant explicitement leurs espaces de travail sur les capacités de cette région, soit implicitement à l’aide de la version d’évaluation de Fabric, de Power BI Pro ou du mode de licence Power BI Premium par utilisateur. Dans ce dernier cas, toutes les données client sont stockées et traitées dans cette zone géographique unique. Pour plus d’informations, consultez Concepts et licences Microsoft Fabric.

Les clients peuvent également créer des capacités multigéographiques situées dans des zones géographiques autres que leur région d’origine. Dans ce cas, le calcul et le stockage (y compris OneLake et le stockage spécifique à l’expérience) se trouvent dans la région multigéographique, mais les métadonnées du locataire restent dans la région d’origine. Les données client ne seront stockées et traitées que dans ces deux zones géographiques. Pour plus d’informations, consultez Configuration de la prise en charge multigéographique pour Fabric.

Gestion des données

Cette section fournit une vue d’ensemble du fonctionnement de la gestion des données dans Fabric. Elle décrit le stockage, le traitement et le déplacement des données client.

Données au repos

Tous les magasins de données Fabric sont chiffrés au repos à l’aide de clés gérées par Microsoft. Les données Fabric incluent les données client ainsi que les données système et les métadonnées.

Bien que les données puissent être traitées en mémoire dans un état non chiffré, elles ne sont jamais conservées dans un stockage permanent lorsqu’elles ne sont pas chiffrées.

Données en transit

Les données en transit entre les services Microsoft sont toujours chiffrées avec au moins TLS 1.2. Fabric négocie vers TLS 1.3 dans la mesure du possible. Le trafic entre les services Microsoft achemine toujours sur le réseau global Microsoft.

La communication Fabric entrante applique également TLS 1.2 et négocie vers TLS 1.3, dans la mesure du possible. La communication Fabric sortante vers l’infrastructure détenue par le client préfère les protocoles sécurisés, mais peut revenir aux protocoles plus anciens et non sécurisés (y compris TLS 1.0) quand les protocoles plus récents ne sont pas pris en charge.

Télémétrie

La télémétrie est utilisée pour maintenir les performances et la fiabilité de la plateforme Fabric. Le magasin de données de télémétrie de la plateforme Fabric est conçu pour être conforme aux réglementations en matière de données et de confidentialité des clients dans toutes les régions où Fabric est disponible, y compris l’Union européenne (UE). Pour plus d’informations, consultez Services de limite de données de l’UE.

OneLake

OneLake est un lac de données unique, unifié et logique pour l’ensemble de l’organisation, et il est automatiquement approvisionné pour chaque locataire Fabric. Il est basé sur Azure et peut stocker n'importe quel type de fichier, structuré ou non structuré. De plus, tous les éléments Fabric tels que les entrepôts de données et les lakehouses stockent automatiquement leurs données dans OneLake.

OneLake prend en charge les mêmes API et SDK Azure Data Lake Storage Gen2 (ADLS Gen2) pour être compatible avec les applications ADLS Gen2 existantes, y compris Azure Databricks.

Pour plus d’informations, consultez Fabric et sécurité OneLake.

Sécurité de l’espace de travail

Les espaces de travail représentent la limite de sécurité principale pour les données stockées dans OneLake. Chaque espace de travail représente un domaine ou une zone de projet unique dans lequel les équipes peuvent collaborer sur des données. Vous gérez la sécurité dans l’espace de travail en affectant des utilisateurs aux rôles d’espace de travail.

Pour plus d’informations, consultez Fabric et sécurité OneLake (Sécurité d’espace de travail).

Sécurité des éléments

Dans un espace de travail, vous pouvez attribuer des autorisations directement à des éléments Fabric, tels que des entrepôts et des lakehouses. La sécurité des éléments offre la possibilité de permettre d’accéder à un élément Fabric individuel sans accorder l’accès à l’ensemble de l’espace de travail. Les utilisateurs peuvent configurer des autorisations par élément en partageant un élément ou en gérant les autorisations d’un élément.

Ressources sur la conformité

Le service Fabric est régi par les Conditions d’utilisation de Microsoft Online Services et la Déclaration de confidentialité de Microsoft Enterprise.

Pour connaître l'emplacement du traitement des données, reportez-vous aux conditions relatives à l'emplacement du traitement des données dans les Conditions d’utilisation de Microsoft Online Services et à l'addendum sur la protection des données.

Pour les informations sur la conformité, le Centre de gestion de la confidentialité Microsoft est la ressource principale pour Fabric. Pour en savoir plus sur la conformité, consultez Offres de conformité Microsoft.

Le service Fabric suit le Security Development Lifecycle (SDL), un ensemble de pratiques de sécurité strictes qui prennent en charge les exigences de sécurité et de conformité. Le SDL aide les développeurs à créer des logiciels plus sécurisés en réduisant le nombre et la gravité des vulnérabilités des logiciels, tout en réduisant les coûts de développement. Pour plus d’informations, consultez le Pratiques du Microsoft Security Development Lifecycle.

Pour plus d’informations sur la sécurité Fabric, consultez les ressources suivantes :