A Microsoft Fabric végpontok közötti biztonsági forgatókönyve
A biztonság minden adatelemzési megoldás kulcsfontosságú eleme, különösen akkor, ha bizalmas vagy bizalmas adatokat foglal magában. Ezért a Microsoft Fabric olyan biztonsági funkciók átfogó készletét biztosítja, amelyek lehetővé teszik az inaktív és az átvitel alatt álló adatok védelmét, valamint a felhasználók és alkalmazások hozzáférésének és engedélyeinek szabályozását.
Ebben a cikkben megismerheti a Fabric biztonsági fogalmait és funkcióit, amelyek segítségével magabiztosan hozhat létre saját elemzési megoldást a Fabric használatával.
Háttér
Ez a cikk egy olyan forgatókönyvet mutat be, amelyben Ön adatmérnök, aki egy egészségügyi szervezetnél dolgozik a Egyesült Államok. A szervezet összegyűjti és elemzi a különböző rendszerekből származó betegadatokat, beleértve az elektronikus egészségügyi nyilvántartásokat, a laboreredményeket, a biztosítási kárigényeket és a hordható eszközöket.
A fabrici medál architektúra segítségével tervez egy tóházat építeni, amely három rétegből áll: bronz, ezüst és arany.
- A bronz réteg az adatforrásokból érkező nyers adatokat tárolja.
- Az ezüstréteg adatminőség-ellenőrzéseket és átalakításokat alkalmaz az adatok elemzésre való előkészítéséhez.
- Az aranyréteg összesített és bővített adatokat biztosít a jelentéskészítéshez és a vizualizációhoz.
Míg egyes adatforrások a helyszíni hálózaton találhatók, mások tűzfalak mögött találhatók, és biztonságos, hitelesített hozzáférést igényelnek. Vannak olyan adatforrások is, amelyeket az Azure-ban kezelnek, például az Azure SQL Database-t és az Azure Storage-t. Olyan módon kell csatlakoznia ezekhez az Azure-adatforrásokhoz, hogy az ne tegye elérhetővé az adatokat a nyilvános interneten.
Úgy döntött, hogy a Fabricet használja, mert az biztonságosan betöltheti, tárolhatja, feldolgozhatja és elemezheti az adatokat a felhőben. Fontos, hogy ezt úgy teszi, hogy betartja az iparági előírásokat és a szervezet szabályzatait.
Mivel a Fabric szolgáltatásként szoftver (SaaS), nem kell külön erőforrásokat, például tárolási vagy számítási erőforrásokat kiépítenie. Mindössze egy hálókapacitásra van szüksége.
Be kell állítania az adathozzáférési követelményeket. Pontosabban gondoskodnia kell arról, hogy csak Ön és az adatmérnök társai férhessenek hozzá az adatokhoz a tóház bronz és ezüst rétegében. Ezekben a rétegekben tervezi elvégezni az adattisztítást, az ellenőrzést, az átalakítást és a bővítést. Az aranyrétegben lévő adatokhoz való hozzáférést is korlátoznia kell. Az aranyréteghez csak a jogosult felhasználóknak, köztük az adatelemzőknek és az üzleti felhasználóknak kell hozzáférniük. Ehhez a hozzáféréshez különböző elemzési célokra, például jelentéskészítésre, gépi tanulásra és prediktív elemzésre van szükségük. Az adathozzáférést a felhasználó szerepkörének és részlegének tovább kell korlátoznia.
Csatlakozás a Fabricbe (bejövő védelem)
Először be kell állítania a bejövő védelmet, amely azzal foglalkozik, hogy Ön és más felhasználók hogyan jelentkezhetnek be, és hogyan férhetnek hozzá a Fabrichez.
Mivel a Fabric egy Microsoft Entra-bérlőn van üzembe helyezve, a hitelesítést és az engedélyezést a Microsoft Entra kezeli. Microsoft Entra szervezeti fiókkal (munkahelyi vagy iskolai fiókkal) jelentkezik be. Ezután gondolja át, hogy más felhasználók hogyan csatlakoznak a Fabrichez.
A Microsoft Entra-bérlő egy identitásbiztonsági határ , amely az informatikai részleg felügyelete alatt áll. Ezen a biztonsági határon belül a Microsoft Entra-objektumok (például felhasználói fiókok) felügyeletét és a bérlőszintű beállítások konfigurálását a rendszergazdák végzik. Mint minden SaaS-szolgáltatás, a Fabric logikailag elkülöníti a bérlőket. A bérlőben lévő adatokhoz és erőforrásokhoz soha nem férhetnek hozzá más bérlők, kivéve, ha Ön kifejezetten engedélyezi őket erre.
Ez történik, ha egy felhasználó bejelentkezik a Fabricbe.
| Cikk | Leírás |
|---|---|
 |
A felhasználó megnyit egy böngészőt (vagy egy ügyfélalkalmazást), és bejelentkezik a Háló portálra. |
 |
A rendszer azonnal átirányítja a felhasználót a Microsoft Entra-azonosítóra, és hitelesítésre van szükség. A hitelesítés ellenőrzi, hogy a megfelelő személy-e bejelentkezni. |
 |
A hitelesítés sikerességét követően a webes előtér megkapja a felhasználó kérését, és a legközelebbi helyről kézbesíti az előtérbeli (HTML- és CSS-) tartalmat. A kérést a metaadat-platformra és a háttérkapacitásplatformra is irányítja. |
 |
A bérlő otthoni régiójában található metaadat-platform tárolja a bérlő metaadatait, például a munkaterületeket és a hozzáférési vezérlőket. Ez a platform biztosítja, hogy a felhasználó hozzáférhessen a megfelelő munkaterületekhez és hálóelemekhez. |
 |
A háttérkapacitásplatform számítási műveleteket hajt végre, és tárolja az adatokat. A kapacitási régióban található. Ha egy munkaterület a Fabric-kapacitáshoz van rendelve, a munkaterületen található összes adat, beleértve a OneLake-adattavat is, a kapacitásrégióban lesz tárolva és feldolgozva. |
A metaadatplatform és a háttérkapacitási platform mindegyike biztonságos virtuális hálózatokban fut. Ezek a hálózatok biztonságos végpontok sorozatát teszik elérhetővé az interneten, hogy fogadhassák a felhasználóktól és más szolgáltatásoktól érkező kéréseket. Ezeken a végpontokon kívül a szolgáltatásokat olyan hálózati biztonsági szabályok védik, amelyek letiltják a nyilvános internetről való hozzáférést.
Amikor a felhasználók bejelentkeznek a Hálóba, más védelmi rétegeket is kényszeríthet. Így a bérlő csak bizonyos felhasználók számára érhető el, és ha más feltételek, például a hálózati hely és az eszközmegfeleltség teljesülnek. Ezt a védelmi réteget bejövő védelemnek nevezzük.
Ebben a forgatókönyvben Ön a felelős a Fabric bizalmas betegadataiért. A szervezet ezért arra kötelezte a Fabricet elérő összes felhasználót, hogy végezzen többtényezős hitelesítést (MFA), és hogy a vállalati hálózaton kell lenniük – csak a felhasználói identitás védelme nem elég.
A szervezet emellett rugalmasságot biztosít a felhasználók számára, mivel lehetővé teszi számukra, hogy bárhonnan dolgozhassanak, és használhassák személyes eszközeiket. Mivel a Microsoft Intune támogatja a saját eszközök (BYOD) használatát, ön jóváhagyott felhasználói eszközöket regisztrál az Intune-ban.
Emellett gondoskodnia kell arról, hogy ezek az eszközök megfeleljenek a szervezeti szabályzatoknak. Ezek a szabályzatok megkövetelik, hogy az eszközök csak akkor csatlakozzanak, ha telepítve van a legújabb operációs rendszer és a legújabb biztonsági javítások. Ezeket a biztonsági követelményeket a Microsoft Entra feltételes hozzáféréssel állíthatja be.
A feltételes hozzáférés számos módot kínál a bérlő védelmére. A következőket teheti:
- Hozzáférés engedélyezése vagy letiltása hálózati hely alapján.
- Tiltsa le a nem támogatott operációs rendszereken futó eszközök elérését.
- Megfelelő eszköz, Intune-csatlakoztatott eszköz vagy MFA megkövetelése minden felhasználó számára.
- És még sok más.
Abban az esetben, ha a teljes Fabric-bérlőt le kell zárnia, használhat egy virtuális hálózatot, és letilthatja a nyilvános internet-hozzáférést. A Hálóhoz való hozzáférés ezután csak ezen a biztonságos virtuális hálózaton belül engedélyezett. Ezt a követelményt úgy kell beállítani, hogy engedélyezi a privát kapcsolatokat a Fabric bérlői szintjén . Biztosítja, hogy a Fabric-végpontok egy privát IP-címre oldódjanak fel a virtuális hálózaton, beleértve az összes Power BI-jelentéshez való hozzáférést is. (A privát végpontok engedélyezése sok Fabric-elemre hatással van, ezért az engedélyezés előtt alaposan olvassa el ezt a cikket .)
Biztonságos hozzáférés a Hálón kívüli adatokhoz (kimenő védelem)
Ezután beállítja a kimenő védelmet, amely a tűzfalak vagy privát végpontok mögötti adatok biztonságos elérésére vonatkozik.
A szervezetnek vannak olyan adatforrásai, amelyek a helyszíni hálózaton találhatók. Mivel ezek az adatforrások tűzfalak mögött találhatók, a Fabricnek biztonságos hozzáférésre van szüksége. Annak érdekében, hogy a Fabric biztonságosan csatlakozzon a helyszíni adatforráshoz, telepítsen egy helyszíni adatátjárót.
Az átjárót a Data Factory adatfolyamai és adatfolyamai használhatják a helyszíni adatok betöltéséhez, előkészítéséhez és átalakításához, majd betölthetők a OneLake-be másolási tevékenységgel. A Data Factory olyan összekötők átfogó készletét támogatja, amelyek lehetővé teszik, hogy több mint 100 különböző adattárhoz csatlakozzon.
Ezután adatfolyamokat hozhat létre a Power Queryvel, amely intuitív felületet biztosít alacsony kódszámú felülettel. Az adatok adatforrásokból való betöltésére és átalakítására használható több mint 300 adatátalakítással. Ezután összetett kinyerési, átalakítási és betöltési (ETL-) folyamatot hozhat létre és vezényelhet adatfolyamokkal. Az ETL-folyamatok frissíthetik az adatfolyamokat, és számos különböző feladatot hajthatnak végre nagy méretekben, petabájtnyi adat feldolgozásával.
Ebben a forgatókönyvben már több ETL-folyamat is létezik. Először is van néhány folyamat az Azure Data Factoryben (ADF). Ezek a folyamatok jelenleg a saját üzemeltetésű integrációs modullal töltik be a helyszíni adatokat, és betöltik őket egy data lake-be az Azure Storage-ban. Másodszor, rendelkezik egy adatbetöltési keretrendszerrel az Azure Databricksben , amely a Sparkban van megírva.
Most, hogy a Fabricet használja, egyszerűen átirányítja az ADF-folyamatok kimeneti célhelyét a lakehouse-összekötő használatához. Az Azure Databricks betöltési keretrendszeréhez pedig az Azure Blog Filesystem (ABFS) illesztőprogramját támogató OneLake API-k használatával integrálhatja a OneLake-t az Azure Databricksbe. (Ugyanezzel a módszerrel integrálhatja aOneLake az Azure Synapse Analyticsszel az Apache Spark használatával.)
Vannak olyan adatforrásai is, amelyek az Azure SQL Database-ben találhatók. Magánvégpontok használatával kell csatlakoznia ezekhez az adatforrásokhoz. Ebben az esetben úgy dönt, hogy beállít egy virtuális hálózati (VNet) adatátjárót , és adatfolyamokkal biztonságosan csatlakozik az Azure-adatokhoz, és betölti őket a Fabricbe. A virtuális hálózati adatátjárók esetében nem kell kiépítenie és kezelnie az infrastruktúrát (ahogy a helyszíni adatátjáró esetében is meg kell tennie). Ennek az az oka, hogy a Fabric biztonságosan és dinamikusan hozza létre a tárolókat az Azure Virtual Networkben.
Ha a Sparkban fejleszti vagy migrálja az adatbetöltési keretrendszert, akkor felügyelt privát végpontok segítségével biztonságosan és privát módon csatlakozhat az Azure-beli adatforrásokhoz Fabric-jegyzetfüzetekből és feladatokból. Felügyelt privát végpontok hozhatók létre a Fabric-munkaterületeken, hogy olyan adatforrásokhoz csatlakozzanak az Azure-ban, amelyek blokkolták a nyilvános internet-hozzáférést. Támogatják a privát végpontokat, például az Azure SQL Database-t és az Azure Storage-t. A felügyelt privát végpontok ki vannak építve és felügyelve egy Fabric-munkaterületnek dedikált felügyelt virtuális hálózaton . A tipikus Azure-beli virtuális hálózatokkal ellentétben a felügyelt virtuális hálózatok és a felügyelt privát végpontok nem találhatók az Azure Portalon. Ennek az az oka, hogy a Fabric teljes mértékben felügyeli őket, és a munkaterület beállításai között találja őket.
Mivel már sok adat van tárolva az Azure Data Lake Storage (ADLS) Gen2-fiókokban, most már csak a Fabric számítási feladatait, például a Sparkot és a Power BI-t kell hozzá csatlakoztatnia. A OneLake ADLS parancsikonjainak köszönhetően könnyedén csatlakozhat meglévő adataihoz bármilyen Fabric-felületről, például adatintegrációs folyamatokból, adatmérnöki jegyzetfüzetekből és Power BI-jelentésekből.
A munkaterületi identitással rendelkező háló-munkaterületek biztonságosan hozzáférhetnek az ADLS Gen2 tárfiókjaihoz, még akkor is, ha letiltotta a nyilvános hálózatot. Ezt a megbízható munkaterület-hozzáférés teszi lehetővé. Lehetővé teszi, hogy a Fabric biztonságosan csatlakozzon a tárfiókokhoz a Microsoft gerinchálózatának használatával. Ez azt jelenti, hogy a kommunikáció nem használja a nyilvános internetet, így letilthatja a tárfiókhoz való nyilvános hálózati hozzáférést, de bizonyos Fabric-munkaterületek továbbra is csatlakozhatnak hozzájuk.
Megfelelőség
A Fabric használatával biztonságosan betöltheti, tárolhatja, feldolgozhatja és elemezheti adatait a felhőben, miközben betartja az iparági előírásokat és a szervezet szabályzatait.
A Fabric a Microsoft Azure Core Services része, és a Microsoft Online Services feltételei és a Microsoft Enterprise adatvédelmi nyilatkozata szabályozza. Bár a minősítések általában egy termék elindítása után (általánosan elérhető vagy általánosan elérhető) történnek, a Microsoft már a bevezetéstől kezdve a fejlesztési életciklus során integrálja a megfelelőségi ajánlott eljárásokat. Ez a proaktív megközelítés szilárd alapot biztosít a jövőbeni minősítésekhez, még akkor is, ha a már meghatározott ellenőrzési ciklusokat követik. Egyszerűbben kifejezve, már a kezdetektől előnyben részesítjük a megfelelőség kialakítását, még akkor is, ha a hivatalos minősítés később jön.
A Fabric számos iparági szabványnak felel meg, például az ISO 27001, 27017, 27018 és 27701 szabványnak. A Fabric hipAA-kompatibilis is, ami kritikus fontosságú az egészségügyi adatok védelme és biztonsága szempontjából. A microsoft azure-beli megfelelőségi ajánlatok A és B függelékében részletes információkat talál arról, hogy mely felhőszolgáltatásokra terjednek ki a minősítések. Az auditdokumentációt a Szolgáltatásmegbízhatósági portálon (STP) is elérheti.
A megfelelőség közös felelősség. A jogszabályoknak és előírásoknak való megfelelés érdekében a felhőszolgáltatók és ügyfeleik közös felelősséget vállalnak annak biztosítása érdekében, hogy mindenki kivehesse a részét. A nyilvános felhőszolgáltatások mérlegelése és értékelése során fontos tisztában lenni a megosztott felelősségi modellel , valamint a felhőszolgáltató által kezelt biztonsági feladatokkal, valamint az Ön által kezelt feladatokkal.
Adatkezelés
Mivel bizalmas betegadatokkal foglalkozik, gondoskodnia kell arról, hogy az összes adat megfelelően védett legyen mind inaktív, mind átvitel közben.
A inaktív adatok titkosítása védelmet nyújt a tárolt (inaktív) adatok számára. A inaktív adatok elleni támadások közé tartoznak az adatok tárolására szolgáló hardver fizikai elérésére tett kísérletek, majd a hardveren lévő adatok veszélyeztetése. A inaktív titkosítás célja, hogy megakadályozza a támadót abban, hogy hozzáférjen a titkosítatlan adatokhoz, biztosítva, hogy az adatok titkosítva legyenek a lemezen. A inaktív állapotban lévő titkosítás kötelező intézkedés egyes iparági szabványoknak és előírásoknak, például a Nemzetközi Szabványügyi Szervezetnek (ISO) és az egészségbiztosítási hordozhatóságról és elszámoltathatóságról szóló törvénynek (HIPAA) való megfeleléshez.
Minden Fabric-adattár titkosítva van a Microsoft által felügyelt kulcsok használatával, amely védelmet nyújt az ügyfelek adatainak, valamint a rendszeradatoknak és metaadatoknak. Az adatok soha nem maradnak állandó tárolóban titkosítatlan állapotban. A Microsoft által felügyelt kulcsokkal az inaktív adatok titkosítása az egyéni kulcskezelési megoldás kockázatának vagy költségeinek nélkül is előnyös lehet.
Az adatok átvitel közben is titkosítva lesznek. A Fabric-végpontokra irányuló összes bejövő forgalom az ügyfélrendszerekből minimálisan a Transport Layer Security (TLS) 1.2-es verziójára van kényszerítve. Lehetőség szerint tárgyalja a TLS 1.3-at is. A TLS erős hitelesítést, üzenetvédelmet és integritást biztosít (lehetővé teszi az üzenetek illetéktelen behatolásának, elfogásának és hamisításának észlelését), az együttműködési képességet, az algoritmus rugalmasságát, valamint az üzembe helyezés és a használat egyszerűségét.
A titkosítás mellett a Microsoft-szolgáltatások közötti hálózati forgalom mindig a Microsoft globális hálózatán halad át, amely a világ egyik legnagyobb gerinchálózata.
Adattárolási hely
Mivel a betegadatokkal foglalkozik, a szervezet megfelelőségi okokból arra kötelezte az adatokat, hogy soha ne hagyják el a Egyesült Államok földrajzi határt. A szervezet fő műveletei New Yorkban és a seattle-i központi irodában történnek. A Power BI beállítása során a szervezet az USA keleti régióját választotta bérlői otthoni régióként. A műveletekhez létrehozott egy hálókapacitást az USA nyugati régiójában, amely közelebb van az adatforrásokhoz. Mivel a OneLake világszerte elérhető, aggódik, hogy a Fabric használata során meg tudja-e felelni a szervezet adattárolási szabályzatainak.
A Fabricben megtanulhatja , hogy létrehozhat több földrajzi kapacitást, amelyek a bérlő otthoni régióján kívüli földrajzi helyeken (földrajzi helyeken) található kapacitások. A Fabric-munkaterületeket ezekhez a kapacitásokhoz rendelheti. Ebben az esetben a munkaterület összes eleméhez tartozó számítási és tárolási adatok (beleértve a OneLake-t és a tapasztalatspecifikus tárterületet) a több földrajzi régióban találhatók, míg a bérlő metaadatai az otthoni régióban maradnak. Adatait csak ebben a két földrajzi régióban tároljuk és dolgozzuk fel, így biztosítva, hogy a szervezet adattárolási követelményei teljesülnek.
Hozzáférés-vezérlés
Gondoskodnia kell arról, hogy csak Ön és az adatmérnök társai férhessenek hozzá teljes mértékben az adatokhoz a tóház bronz és ezüst rétegében. Ezek a rétegek lehetővé teszik az adatok megtisztítását, érvényesítését, átalakítását és bővítését. Az aranyrétegben lévő adatokhoz való hozzáférést csak azokra a jogosult felhasználókra kell korlátoznia, mint az adatelemzők és az üzleti felhasználók, akik különböző elemzési célokra, például jelentéskészítésre és elemzésre használhatják az adatokat.
A Fabric rugalmas engedélymodellt biztosít, amellyel szabályozhatja a munkaterületeken lévő elemekhez és adatokhoz való hozzáférést. A munkaterületek biztonságos logikai entitások a Fabric elemeinek csoportosításához. Munkaterületi szerepkörök használatával szabályozhatja a munkaterületek elemeihez való hozzáférést. A munkaterület négy alapvető szerepköre a következő:
- Rendszergazda: Megtekintheti, módosíthatja, megoszthatja és kezelheti a munkaterület összes tartalmát, beleértve az engedélyek kezelését is.
- Tag: Megtekintheti, módosíthatja és megoszthatja a munkaterület összes tartalmát.
- Közreműködő: Megtekintheti és módosíthatja a munkaterület összes tartalmát.
- Megtekintő: Megtekintheti a munkaterület összes tartalmát, de nem módosíthatja.
Ebben a forgatókönyvben három munkaterületet hoz létre, egyet a medálrétegekhez (bronz, ezüst és arany). Mivel létrehozta a munkaterületet, a rendszer automatikusan hozzárendeli a Rendszergazda szerepkörhöz.
Ezután hozzáad egy biztonsági csoportot a három munkaterület közreműködői szerepköréhez. Mivel a biztonsági csoport tagjai közé tartoznak a mérnöktársai, létrehozhatnak és módosíthatnak hálóelemeket ezekben a munkaterületeken– azonban nem oszthatnak meg elemeket másokkal. Más felhasználók számára sem adhatnak hozzáférést.
A bronz és ezüst munkaterületeken Ön és mérnöktársai hálóelemeket hoznak létre az adatok betöltéséhez, az adatok tárolásához és az adatok feldolgozásához. A hálóelemek egy tóházat, folyamatokat és jegyzetfüzeteket tartalmaznak. Az arany munkaterületen két tóházat, több folyamatot és jegyzetfüzetet, valamint egy Direct Lake szemantikai modellt hoz létre, amely gyors lekérdezési teljesítményt nyújt az egyik tóházban tárolt adatokhoz.
Ezután alaposan át kell vizsgálnia, hogy az adatelemzők és az üzleti felhasználók hogyan férhetnek hozzá a számukra engedélyezett adatokhoz. Pontosabban csak a szerepkörükhöz és a részlegükhöz kapcsolódó adatokhoz férhetnek hozzá.
Az első lakehouse tartalmazza a tényleges adatokat, és nem kényszerít adatengedélyeket az SQL Analytics-végponton. A második lakehouse az első lakehouse parancsikonjait tartalmazza, és részletes adatengedélyeket kényszerít ki az SQL Analytics-végpontjában. A szemantikai modell az első tóházhoz csatlakozik. Ha a felhasználók számára megfelelő adatengedélyeket szeretne kikényszeríteni (hogy csak a szerepkörükhöz és részlegükhöz kapcsolódó adatokhoz férhessenek hozzá), nem oszthatja meg az első lakehouse-t a felhasználókkal. Ehelyett csak a Direct Lake szemantikai modelljét és a második lakehouse-t osztja meg, amely adatengedélyeket kényszerít ki az SQL Analytics-végpontjában.
A szemantikai modellt rögzített identitás használatára állítja be, majd sorszintű biztonságot (RLS) implementál a szemantikai modellben, hogy a modellszabályok kényszerítése szabályozza, hogy a felhasználók milyen adatokhoz férhetnek hozzá. Ezután csak a szemantikai modellt oszthatja meg az adatelemzőkkel és az üzleti felhasználókkal, mert nem szabad elérniük a munkaterület többi elemét, például a folyamatokat és a jegyzetfüzeteket. Végül buildelési engedélyt ad a szemantikai modellhez, hogy a felhasználók Power BI-jelentéseket hozzanak létre. Így a szemantikai modell megosztott szemantikai modellé és a Power BI-jelentések forrásává válik.
Az adatelemzőknek hozzá kell férnie az arany munkaterület második tóházához. Az SQL-lekérdezések írásához és az elemzés végrehajtásához csatlakoznak a lakehouse SQL Analytics-végpontjára. A lakehouse-t tehát megosztja velük, és csak a szükséges objektumokhoz (például táblákhoz, sorokhoz és maszkoló szabályokkal rendelkező oszlopokhoz) biztosít hozzáférést a lakehouse SQL Analytics-végponton az SQL biztonsági modell használatával. Az adatelemzők mostantól csak a szerepkörükhöz és a részlegükhöz kapcsolódó adatokhoz férhetnek hozzá, és nem férhetnek hozzá a munkaterület többi eleméhez, például a folyamatokhoz és a jegyzetfüzetekhez.
Gyakori biztonsági forgatókönyvek
Az alábbi táblázat a gyakori biztonsági forgatókönyveket és az azok végrehajtásához használható eszközöket sorolja fel.
| Forgatókönyv | Eszközök | Direction (Irány) |
|---|---|---|
| ETL-fejlesztő vagyok, és nagy mennyiségű adatot szeretnék nagy léptékben betölteni a Fabricbe több forrásrendszerből és táblából. A forrásadatok helyszíniek (vagy más felhők), és tűzfalak és/vagy privát végpontokkal rendelkező Azure-adatforrások mögött vannak. | Helyszíni adatátjáró használata adatfolyamokkal (másolási tevékenység). | Kimenő |
| Energiafelhasználó vagyok, és olyan forrásrendszerekből szeretnék adatokat betölteni a Fabricbe, amelyekhez hozzáférésem van. Mivel nem fejlesztő vagyok, alacsony kódszámú felülettel kell átalakítani az adatokat. A forrásadatok helyszíniek (vagy más felhők), és tűzfalak mögött vannak. | Helyszíni adatátjáró használata a 2. generációs adatfolyammal. | Kimenő |
| Energiafelhasználó vagyok, és olyan forrásrendszerekből szeretnék adatokat betölteni a Fabricbe, amelyekhez hozzáférésem van. A forrásadatok privát végpontok mögött az Azure-ban találhatóak, és nem szeretnék helyszíni adatátjáró-infrastruktúrát telepíteni és karbantartani. | VNet-adatátjáró használata a 2. generációs adatfolyammal. | Kimenő |
| Fejlesztő vagyok, aki Spark-jegyzetfüzetek használatával képes adatbetöltési kódot írni. Olyan forrásrendszerekből szeretnék adatokat betölteni a Fabricbe, amelyekhez hozzáférésem van. A forrásadatok privát végpontok mögött az Azure-ban találhatóak, és nem szeretnék helyszíni adatátjáró-infrastruktúrát telepíteni és karbantartani. | Fabric-jegyzetfüzetek használata azure-beli privát végpontokkal. | Kimenő |
| Számos meglévő folyamattal rendelkezem az Azure Data Factoryben (ADF) és a Synapse-folyamatokban, amelyek csatlakoznak az adatforrásokhoz, és adatokat töltenek be az Azure-ba. Most módosítani szeretném ezeket a folyamatokat, hogy adatokat töltsenek be a Fabricbe. | Használja a Lakehouse-összekötőt a meglévő folyamatokban. | Kimenő |
| A Sparkban kifejlesztett adatbetöltési keretrendszer biztonságosan csatlakozik az adatforrásokhoz, és betölti őket az Azure-ba. Az Azure Databricksen és/vagy a Synapse Sparkon futtatom. Továbbra is az Azure Databricks és/vagy a Synapse Spark használatával szeretnék adatokat betölteni a Fabricbe. | A OneLake és az Azure Data Lake Storage (ADLS) Gen2 API (Azure Blob Fájlrendszer-illesztőprogram) használata | Kimenő |
| Biztosítani szeretném, hogy a Fabric-végpontok védettek legyenek a nyilvános internettől. | SaaS-szolgáltatásként a Háló háttérrendszere már védett a nyilvános internettől. További védelemért használja a Microsoft Entra feltételes hozzáférési szabályzatait a Fabrichez , és/vagy engedélyezze a privát hivatkozásokat bérlői szinten a Fabric számára, és tiltsa le a nyilvános internet-hozzáférést. | Bejövő |
| Biztosítani szeretném, hogy a Fabric csak a vállalati hálózatomról és/vagy a megfelelő eszközökről érhető el. | Használja a Microsoft Entra feltételes hozzáférési szabályzatokat a Fabrichez. | Bejövő |
| Biztosítani szeretném, hogy a Fabrichez hozzáférőknek többtényezős hitelesítést kell végrehajtaniuk. | Használja a Microsoft Entra feltételes hozzáférési szabályzatokat a Fabrichez. | Bejövő |
| Szeretném zárolni a teljes Fabric-bérlőmet a nyilvános internetről, és csak a virtuális hálózatomon belüli hozzáférést engedélyezni. | Engedélyezze a privát hivatkozásokat bérlői szinten a Fabric számára, és tiltsa le a nyilvános internet-hozzáférést. | Bejövő |
Kapcsolódó tartalom
A Háló biztonságával kapcsolatos további információkért tekintse meg az alábbi erőforrásokat.
- Biztonság a Microsoft Fabricben
- A OneLake biztonsági áttekintése
- A Microsoft Fabric fogalmai és licencei
- Kérdése van? Kérdezze meg a Microsoft Fabric-közösséget.
- Javaslatok? Ötleteket ad a Microsoft Fabric fejlesztéséhez.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: