Biztonság a Microsoft Fabricben
A Microsoft Fabric egy szolgáltatásként nyújtott szoftverplatform (SaaS), amely lehetővé teszi a felhasználók számára az adatok lekérését, létrehozását, megosztását és vizualizációját.
SaaS-szolgáltatásként a Fabric teljes biztonsági csomagot kínál a teljes platformhoz. A Fabric eltávolítja a biztonsági megoldás fenntartásának költségeit és felelősségét, és átadja azt a felhőbe. A Fabric segítségével a Microsoft szakértelmével és erőforrásaival biztonságban tarthatja adatait, kijavíthatja a biztonsági réseket, monitorozhatja a fenyegetéseket, és betarthatja az előírásokat. A Fabric lehetővé teszi a biztonsági beállítások kezelését, ellenőrzését és naplózását a változó igényeknek és igényeknek megfelelően.
Amikor az adatokat a felhőbe hozza, és különböző elemzési funkciókkal, például a Power BI-val, a Data Factoryvel és a Synapse következő generációjával használja, a Microsoft gondoskodik arról, hogy a beépített biztonsági és megbízhatósági funkciók biztonságossá tegye az adatokat inaktív és átvitel közben. A Microsoft gondoskodik arról is, hogy az adatok helyreállíthatók legyenek infrastruktúra-meghibásodások vagy katasztrófák esetén.
A háló biztonsága a következő:
Always on – A Hálóval folytatott minden interakció alapértelmezés szerint titkosítva van, és a Microsoft Entra ID-val hitelesítve van. A Fabric-élmények közötti kommunikáció a Microsoft gerinchálózatán keresztül történik. A rendszer automatikusan titkosítva tárolja az inaktív adatokat. A Hálóhoz való hozzáférés szabályozásához további biztonsági funkciókat is hozzáadhat, például privát hivatkozásokat vagy Entra feltételes hozzáférést . A Fabric megbízható hozzáféréssel tűzfallal vagy magánhálózattal védett adatokhoz is csatlakozhat.
Megfelelő – A Fabric több földrajzi kapacitással rendelkező adatelkonvertitást biztosít a dobozból. A Fabric számos megfelelőségi szabványt is támogat.
Szabályozható – A Fabric olyan szabályozási eszközökkel rendelkezik, mint az adatkisorolás, az adatvédelmi címkék, az adatveszteség-megelőzés és a purview-integráció.
Konfigurálható – A Fabric biztonságát a szervezeti szabályzatoknak megfelelően konfigurálhatja.
Fejlesztés – A Microsoft folyamatosan fejleszti a Fabric biztonságát új funkciók és vezérlők hozzáadásával.
Hitelesítés
A Microsoft Fabric egy SaaS-platform, mint sok más Microsoft-szolgáltatások, például az Azure, a Microsoft Office, a OneDrive és a Dynamics. Ezek a Microsoft SaaS-szolgáltatások, beleértve a Fabricet, a Microsoft Entra ID-t használják felhőalapú identitásszolgáltatóként. A Microsoft Entra ID segítségével a felhasználók gyorsan és egyszerűen csatlakozhatnak ezekhez a szolgáltatásokhoz bármilyen eszközről és bármilyen hálózatról. A Fabrichez való csatlakozásra vonatkozó minden kérés a Microsoft Entra-azonosítóval van hitelesítve, így a felhasználók biztonságosan csatlakozhatnak a Fabrichez a vállalati irodájukból, otthonról vagy távoli helyről.
A hálózati biztonság ismertetése
A Fabric a Microsoft-felhőben futó SaaS-szolgáltatás. Egyes forgatókönyvek a Fabric platformon kívüli adatokhoz való csatlakozást is magukban foglalják. Például egy jelentés megtekintése a saját hálózatából, vagy egy másik szolgáltatásban lévő adatokhoz való csatlakozás. A Hálón belüli interakciók a Microsoft belső hálózatát használják, és a szolgáltatáson kívüli forgalom alapértelmezés szerint védett. További információkért és részletes leírásért tekintse meg az átvitt adatokat.
Bejövő hálózati biztonság
Előfordulhat, hogy a vállalat igényeinek megfelelően szeretné korlátozni és biztonságossá tenni a Fabricbe érkező hálózati forgalmat. A Microsoft Entra ID feltételes hozzáféréssel és privát hivatkozásokkal kiválaszthatja a megfelelő bejövő megoldást a szervezet számára.
Microsoft Entra ID feltételes hozzáférés
A Microsoft Entra ID feltételes hozzáférést biztosít a Fabric számára, amely lehetővé teszi a Fabrichez való hozzáférést minden kapcsolaton. Íme néhány példa a feltételes hozzáféréssel érvényesíthető hozzáférési korlátozásokra.
Adja meg a Fabrichez való bejövő kapcsolat ip-címeinek listáját.
Többtényezős hitelesítés (MFA) használata.
Korlátozza a forgalmat olyan paraméterek alapján, mint a származási ország vagy az eszköz típusa.
A feltételes hozzáférés konfigurálásához lásd : Feltételes hozzáférés a Hálóban.
A Fabricben történő hitelesítésről további információt a Microsoft Fabric biztonsági alapjaiban talál.
Privát hivatkozások
A privát hivatkozások lehetővé teszik a Fabrichez való biztonságos kapcsolatot azáltal, hogy korlátozza a Fabric-bérlőhöz való hozzáférést egy Azure-beli virtuális hálózatról (VNet), és letiltja az összes nyilvános hozzáférést. Ez biztosítja, hogy csak a virtuális hálózatról érkező hálózati forgalom férhessen hozzá a bérlő fabricfunkcióihoz, például jegyzetfüzeteihez, Lakehouse-jaihoz és adattárházaihoz.
A privát hivatkozások hálóban való konfigurálásához tekintse meg a Privát hivatkozások beállítása és használata című témakört.
Kimenő hálózati biztonság
A Fabric olyan eszközökkel rendelkezik, amelyekkel külső adatforrásokhoz csatlakozhat, és biztonságos módon hozhatja be az adatokat a Fabricbe. Ez a szakasz különböző módszereket sorol fel az adatok biztonságos hálózatból a hálóba való importálására és az adatokhoz való csatlakozásra.
Megbízható munkaterület-hozzáférés
A Fabric segítségével biztonságosan hozzáférhet a tűzfalon engedélyezett Azure Data Lake Gen 2-fiókokhoz. A munkaterületi identitással rendelkező háló-munkaterületek biztonságosan hozzáférhetnek a nyilvános hálózati hozzáféréssel rendelkező Azure Data Lake Gen 2-fiókokhoz a kiválasztott virtuális hálózatokról és IP-címekről. Az ADLS gen 2 hozzáférését bizonyos Fabric-munkaterületekre korlátozhatja. További információ: Megbízható munkaterület-hozzáférés.
Feljegyzés
Háló-munkaterületi identitások csak Háló F termékváltozat-kapacitáshoz társított munkaterületeken hozhatók létre. A Fabric-előfizetés vásárlásával kapcsolatos információkért lásd: Microsoft Fabric-előfizetés vásárlása.
Felügyelt privát végpontok
A felügyelt privát végpontok lehetővé teszik az adatforrásokhoz, például az Azure SQL-adatbázisokhoz való biztonságos kapcsolódást anélkül, hogy közzétenék őket a nyilvános hálózaton, vagy összetett hálózati konfigurációkat igényelnek.
Felügyelt virtuális hálózatok
A felügyelt virtuális hálózatok olyan virtuális hálózatok , amelyeket a Microsoft Fabric hoz létre és kezel minden Fabric-munkaterülethez. A felügyelt virtuális hálózatok hálózatelkülönítést biztosítanak a Fabric Spark számítási feladataihoz, ami azt jelenti, hogy a számítási fürtök dedikált hálózaton vannak üzembe helyezve, és már nem részei a megosztott virtuális hálózatnak.
A felügyelt virtuális hálózatok olyan hálózati biztonsági funkciókat is lehetővé tesznek, mint a felügyelt privát végpontok, valamint a privát kapcsolat támogatása az Apache Sparkot használó Microsoft Fabric-elemek adatmérnök és Adattudomány elemekhez.
Adatátjáró
Ha helyszíni adatforrásokhoz vagy tűzfallal vagy virtuális hálózattal védett adatforráshoz szeretne csatlakozni, az alábbi lehetőségek egyikét használhatja:
Helyszíni adatátjáró – Az átjáró hídként működik a helyszíni adatforrások és a Fabric között. Az átjáró a hálózaton belüli kiszolgálóra van telepítve, és lehetővé teszi, hogy a Fabric biztonságos csatornán keresztül csatlakozzon az adatforrásokhoz anélkül, hogy portokat kellene megnyitnia vagy módosítania a hálózatot.
Virtuális hálózati (VNet) adatátjáró – A virtuális hálózati átjáró lehetővé teszi, hogy helyszíni adatátjáró nélkül csatlakozzon a Microsoft Cloud-szolgáltatásokból az Azure-beli adatszolgáltatásokhoz egy virtuális hálózaton belül.
Csatlakozás a OneLake-hez egy meglévő szolgáltatásból
Csatlakozhat a Fabrichez a meglévő Azure Platform as a Service (PaaS) szolgáltatással. A Synapse és az Azure Data Factory (ADF) esetében az Azure Integration Runtime (IR) vagy az Azure Data Factory által felügyelt virtuális hálózat használható. Ezekhez a szolgáltatásokhoz és egyéb szolgáltatásokhoz, például az adatfolyamok leképezéséhez, a Synapse Spark-fürtökhöz, a Databricks Spark-fürtökhöz és az Azure HDInsighthoz oneLake API-k használatával is csatlakozhat.
Azure-szolgáltatáscímkék
Szolgáltatáscímkék használatával adatátjárók használata nélkül betölthet adatokat egy Azure-beli virtuális hálózaton üzembe helyezett adatforrásokból, például az Azure SQL Virtual Machinesből (VM-ekből), az Azure SQL Managed Instanceből (MI) és a REST API-kból. Szolgáltatáscímkék használatával is lekérheti a forgalmat egy virtuális hálózatról vagy egy Azure-tűzfalról. A szolgáltatáscímkék például lehetővé teszik a Fabric felé irányuló kimenő forgalmat, hogy a virtuális gépen lévő felhasználók SSMS-ből csatlakozhassanak a Fabric SQL-kapcsolati sztring- és más nyilvános internetes erőforrásokhoz.
IP-engedélyezési listák
Ha olyan adatokkal rendelkezik, amelyek nem az Azure-ban találhatók, engedélyezheti egy IP-engedélyezési listát a szervezet hálózatán, hogy engedélyezze a Fabricbe és onnan érkező forgalmat. Az IP-engedélyezési listák akkor hasznosak, ha olyan adatforrásokból kell adatokat lekérnie, amelyek nem támogatják a szolgáltatáscímkéket, például a helyszíni adatforrásokat. Ezekkel a billentyűparancsokkal anélkül kérhet le adatokat, hogy egy Lakehouse SQL Analytics-végpont vagy Direct Lake használatával átmásolja őket a OneLake-be.
A helyszíni szolgáltatáscímkékből lekérheti a Fabric IP-címek listáját. A lista JSON-fájlként vagy programozott módon érhető el REST API-kkal, PowerShell-lel és Azure Parancssori felülettel (CLI).
Adatok védelme
A Fabricben a OneLake-ben tárolt összes adat titkosítva van. Az inaktív adatok tárolása az otthoni régióban vagy az Ön egyik kapacitásában történik, egy tetszőleges távoli régióban, hogy megfeleljen az adatoknak a nyugalmi szuverenitásra vonatkozó előírásoknak. További információkért tekintse meg a Microsoft Fabric biztonsági alapjait.
Több földrajzi helyen lévő bérlők ismertetése
Számos szervezet rendelkezik globális jelenléttel, és több Azure-beli földrajzi helyen igényel szolgáltatásokat. Egy vállalat például a Egyesült Államok rendelkezhet központjával, miközben más földrajzi területeken, például Ausztráliában is üzletel. A helyi előírásoknak való megfelelés érdekében a globális jelenléttel rendelkező vállalkozásoknak biztosítaniuk kell, hogy az adatok több régióban is inaktív állapotban legyenek tárolva. A Fabricben ezt multi-geo-nak nevezzük.
A több földrajzi munkaterülethez rendelt lekérdezés-végrehajtási réteg, lekérdezésgyorsítótárak és elemadatok a létrehozásuk Azure-beli földrajzi területén maradnak. Néhány metaadatot és feldolgozást azonban a bérlő otthoni földrajzi területén tárol.
A Fabric egy nagyobb Microsoft-ökoszisztéma része. Ha szervezete már használ más felhőalapú előfizetési szolgáltatásokat, például az Azure-t, a Microsoft 365-öt vagy a Dynamics 365-öt, akkor a Fabric ugyanazon a Microsoft Entra-bérlőn belül működik. A szervezeti tartomány (például contoso.com) a Microsoft Entra-azonosítóhoz van társítva. Mint minden Microsoft-felhőszolgáltatás.
A Fabric biztosítja, hogy az adatok biztonságosak legyen a régiók között, ha több bérlővel dolgozik, amelyek több kapacitással rendelkeznek számos földrajzi régióban.
Adatlogikus elkülönítés – A Fabric platform logikai elkülönítést biztosít a bérlők között az adatok védelme érdekében.
Adatelkülönítés – A multi-geo használatának megkezdéséhez tekintse meg a Fabric multi-geo támogatásának konfigurálását.
Adatok elérése
A Háló munkaterületek használatával szabályozza az adathozzáférést. A munkaterületeken az adatok Hálóelemek formájában jelennek meg, és a felhasználók csak akkor tekinthetik meg és használhatják az elemeket (adatokat), ha ön hozzáférést ad nekik a munkaterülethez. A munkaterületre és az elemengedélyre vonatkozó további információk az Engedélymodellben találhatók.
Munkaterületi szerepkörök
A munkaterület-hozzáférés az alábbi táblázatban látható. Ez magában foglalja a munkaterületi szerepköröket , valamint a Fabric és a OneLake biztonságát. A megtekintői szerepkörrel rendelkező felhasználók sql- vagy adatelemzési kifejezéseket (DAX) vagy többdimenziós kifejezéseket (MDX) futtathatnak, de nem férnek hozzá a Fabric-elemekhez, és nem futtathatnak jegyzetfüzetet.
| Szerepkör | Munkaterület-hozzáférés | OneLake-hozzáférés |
|---|---|---|
| Rendszergazda, tag és közreműködő | A munkaterület összes elemét használhatja | ✅ |
| Megtekintő | Megtekintheti a munkaterület összes elemét | ❌ |
Elemek megosztása
Megoszthatja a Fabric-elemeket a szervezet azon felhasználóival, akiknek nincs munkaterületi szerepkörük. A megosztási elemek korlátozott hozzáférést biztosítanak, így a felhasználók csak a munkaterület megosztott eleméhez férhetnek hozzá.
Hozzáférés korlátozása
Az adatokhoz való hozzáférést a sorszintű biztonság (RLS), az oszlopszintű biztonság (CLS) és az objektumszintű biztonság (OLS) használatával korlátozhatja. Az RLS, a CLS és az OLS használatával olyan felhasználói identitásokat hozhat létre, amelyek hozzáféréssel rendelkeznek az adatok bizonyos részeihez, és korlátozhatja az SQL-eredményeket, amelyek csak azt adják vissza, amelyhez a felhasználó identitása hozzáfér.
RLS-t is hozzáadhat DirectLake-adatkészletekhez. Ha az SQL és a DAX biztonságát is definiálja, a DirectLake visszaesik a DirectQueryre azoknál a tábláknál, amelyek RLS-et használnak az SQL-ben. Ilyen esetekben a DAX- vagy MDX-eredmények a felhasználó identitására korlátozódnak.
Ha DirectLake-adatkészlettel és RLS-sel szeretne jelentéseket elérhetővé tenni DirectQuery-tartalék nélkül, használja a közvetlen adathalmaz-megosztást vagy -alkalmazásokat a Power BI-ban. A Power BI-ban elérhető alkalmazásokkal nézői hozzáférés nélkül is hozzáférhet a jelentésekhez. Az ilyen típusú hozzáférés azt jelenti, hogy a felhasználók nem használhatják az SQL-t. Ahhoz, hogy a DirectLake beolvassa az adatokat, át kell állítania az adatforrás hitelesítő adatait Egyszeri bejelentkezés (SSO) egy rögzített identitásra, amely hozzáfér a tóban lévő fájlokhoz.
Adatok védelme
A Fabric támogatja a Microsoft Purview információvédelem bizalmassági címkéinek használatát. Ezek azok a címkék, mint például az Általános, a Bizalmas és a Szigorúan bizalmas, amelyeket széles körben használnak a Microsoft Office-app, például a Wordben, a PowerPointban és az Excelben a bizalmas információk védelme érdekében. A Hálóban ugyanezekkel a bizalmassági címkékkel osztályozhatja a bizalmas adatokat tartalmazó elemeket. A bizalmassági címkék ezután automatikusan követik az adatokat elemről elemre, miközben a Hálón halad végig, egészen az adatforrástól az üzleti felhasználóig. A bizalmassági címke akkor is követi az adatokat, ha az adatok támogatott formátumokba( például PBIX, Excel, PowerPoint és PDF) kerülnek exportálásra, így biztosítva az adatok védelmét. A fájlt csak a jogosult felhasználók nyithatják meg. További információ: Irányítás és megfelelőség a Microsoft Fabricben.
Az adatok szabályozásához, védelméhez és kezeléséhez használhatja a Microsoft Purview-t. A Microsoft Purview és a Fabric együttműködve egyetlen helyről, a Microsoft Purview hubról tárolhatja, elemezheti és szabályozhatja adatait.
Adatok helyreállítása
A hálóadatok rugalmassága biztosítja, hogy az adatok rendelkezésre álljanak katasztrófa esetén. A Fabric emellett lehetővé teszi az adatok helyreállítását vészhelyreállítás, vészhelyreállítás esetén. További információ: Megbízhatóság a Microsoft Fabricben.
Háló felügyelete
A Fabric rendszergazdájaként a teljes szervezet képességeit szabályozhatja. A Háló lehetővé teszi a rendszergazdai szerepkör kapacitásokra, munkaterületekre és tartományokra való delegálását. A rendszergazdai feladatok megfelelő személyekre való delegálásával olyan modellt valósíthat meg, amely lehetővé teszi, hogy több fő rendszergazda vezérelje az általános hálóbeállításokat a szervezetben, míg más rendszergazdák, akik az adott területekhez kapcsolódó beállításokért felelősek.
A rendszergazdák különböző eszközökkel figyelhetik a key Fabric-szempontokat is, például a kapacitáshasználatot.
Naplók
Az auditnaplók megtekintéséhez kövesse a Felhasználói tevékenységek nyomon követése a Microsoft Fabricben című témakör utasításait. A műveletlistára is hivatkozva megtekintheti, hogy mely tevékenységek érhetők el a naplókban való kereséshez.
Képességek
Tekintse át ezt a szakaszt a Microsoft Fabricben elérhető biztonsági funkciók listájáért.
| Funkció | Leírás |
|---|---|
| Feltételes hozzáférés | Alkalmazások védelme a Microsoft Entra ID használatával |
| Vaskazetta | Annak szabályozása, hogy a Microsoft mérnökei hogyan férnek hozzá az adataihoz |
| Fabric és OneLake biztonság | Megtudhatja, hogyan védheti meg adatait a Fabricben és a OneLake-ben. |
| Rugalmasság | Megbízhatóság és regionális rugalmasság az Azure rendelkezésre állási zónáival |
| Szolgáltatáscímkék | Felügyelt Azure SQL-példány (MI) engedélyezése a Microsoft Fabric bejövő kapcsolatainak engedélyezéséhez |