A Microsoft Fabric biztonsági alapjai
Ez a cikk a Microsoft Fabric biztonsági architektúrájának átfogó perspektíváját mutatja be a rendszer fő biztonsági folyamatainak leírásával. Azt is ismerteti, hogyan hitelesítik a felhasználók a Fabricet, hogyan jönnek létre az adatkapcsolatok, és hogyan tárolja és helyezi át az adatokat a Fabric a szolgáltatáson keresztül.
A cikk elsősorban a Fabric rendszergazdáinak szól, akik a Fabric felügyeletéért felelősek a szervezetben. Ez a vállalati biztonsági szereplők számára is fontos, beleértve a biztonsági rendszergazdákat, a hálózati rendszergazdákat, az Azure-rendszergazdákat, a munkaterület-rendszergazdákat és az adatbázis-rendszergazdákat.
Hálóplatform
A Microsoft Fabric egy teljes körű elemzési megoldás a nagyvállalatok számára, amely az adattovábbítástól az adatelemzésen át a valós idejű elemzésig és az üzleti intelligenciaig mindent lefed. A Fabric platform számos olyan szolgáltatást és infrastruktúra-összetevőt tartalmaz, amelyek támogatják az összes Fabric-élmény közös funkcióit. Együttesen az elemzési szolgáltatások átfogó készletét kínálják, amelyek zökkenőmentes együttműködésre lettek tervezve. A szolgáltatások közé tartozik a Lakehouse, a Data Factory, a Synapse adatmérnök ing, a Synapse Data Warehouse, a Power BI és mások.
A Fabric használatával nem kell több gyártótól származó különböző szolgáltatásokat egyesítenie. Ehelyett egy rendkívül integrált, végpontok közötti és könnyen használható termék előnyeit élvezheti, amely leegyszerűsíti az elemzési igényeket. A fabricet a kezdettől fogva a bizalmas objektumok védelmére tervezték.
A Fabric platform a szolgáltatott szoftver (SaaS) alapjaira épül, amely megbízhatóságot, egyszerűséget és méretezhetőséget biztosít. Az Azure-ra épül, amely a Microsoft nyilvános felhőalapú számítástechnikai platformja. Hagyományosan számos adattermék volt szolgáltatásként nyújtott platform (PaaS), amely megköveteli, hogy a szolgáltatás rendszergazdája állítsa be a biztonságot, a megfelelőséget és a szabályozást az egyes szolgáltatásokhoz. Mivel a Fabric egy SaaS-szolgáltatás, ezek közül sok az SaaS-platformba van beépítve, és nincs szükség beállításra vagy minimális beállításra.
Architektúradiagram
Az alábbi architektúradiagram a Fabric biztonsági architektúrájának magas szintű ábrázolását mutatja be.
Az architekturális diagram az alábbi fogalmakat ábrázolja.
A felhasználó egy böngészőt vagy ügyfélalkalmazást, például a Power BI Desktopot használ a Fabric szolgáltatáshoz való csatlakozáshoz.
A hitelesítést a Microsoft Entra ID, korábbi nevén Azure Active Directory kezeli, amely az a felhőalapú identitás- és hozzáférés-kezelési szolgáltatás, amely hitelesíti a felhasználót vagy szolgáltatásnevet , és kezeli a Fabrichez való hozzáférést.
A webes kezelőfelület fogadja a felhasználói kéréseket, és megkönnyíti a bejelentkezést. Emellett irányítja a kéréseket, és az előtérbeli tartalmakat is kiszolgálja a felhasználónak.
A metaadat-platform tárolja a bérlő metaadatait, amelyek magukban foglalhatják az ügyféladatokat. A Fabric-szolgáltatások igény szerint lekérdezik ezt a platformot az engedélyezési információk lekérése, valamint a felhasználói kérések engedélyezése és ellenőrzése érdekében. A bérlő otthoni régiójában található.
A háttérkapacitásplatform a számítási műveletekért és az ügyféladatok tárolásáért felelős, és a kapacitásrégióban található. Az adott Fabric-szolgáltatásokhoz szükséges azure-alapszolgáltatásokat használja az adott régióban.
A Fabric platforminfrastruktúra-szolgáltatások több-bérlősek. Logikai elkülönítés van a bérlők között. Ezek a szolgáltatások nem dolgozzák fel az összetett felhasználói bemeneteket, és mindegyiket felügyelt kódban írják. A platformszolgáltatások soha nem futtatnak felhasználó által írt kódot.
A metaadatplatform és a háttérkapacitási platform mindegyike biztonságos virtuális hálózatokban fut. Ezek a hálózatok számos biztonságos végpontot tesznek elérhetővé az interneten, hogy fogadhassák az ügyfelektől és más szolgáltatásoktól érkező kéréseket. Ezeken a végpontokon kívül a szolgáltatásokat olyan hálózati biztonsági szabályok védik, amelyek letiltják a nyilvános internetről való hozzáférést. A virtuális hálózatokon belüli kommunikáció az egyes belső szolgáltatások jogosultsága alapján is korlátozott.
Az alkalmazásréteg biztosítja, hogy a bérlők csak a saját bérlőjükből férhessenek hozzá az adatokhoz.
Hitelesítés
A Fabric a Microsoft Entra-azonosítóra támaszkodik a felhasználók (vagy szolgáltatásnevek) hitelesítéséhez. Hitelesítéskor a felhasználók hozzáférési jogkivonatokat kapnak a Microsoft Entra-azonosítótól. A Fabric ezeket a jogkivonatokat használja a felhasználó kontextusában végzett műveletek végrehajtásához.
A Microsoft Entra ID egyik fő funkciója a feltételes hozzáférés. A feltételes hozzáférés a többtényezős hitelesítés kényszerítésével biztosítja a bérlők biztonságát, így csak a Microsoft Intune-ban regisztrált eszközök férhetnek hozzá bizonyos szolgáltatásokhoz. A feltételes hozzáférés a felhasználói helyeket és az IP-tartományokat is korlátozza.
Engedélyezés
Az összes Háló-engedélyt központilag tárolja a metaadat-platform. A Fabric-szolgáltatások igény szerint lekérdezik a metaadat-platformot az engedélyezési információk lekérése, valamint a felhasználói kérések engedélyezése és ellenőrzése érdekében.
Teljesítménybeli okokból a Fabric néha aláírt jogkivonatokba ágyazza be az engedélyezési adatokat. Az aláírt jogkivonatokat csak a háttérkapacitási platform állítja ki, és tartalmazzák a hozzáférési jogkivonatot, az engedélyezési információkat és az egyéb metaadatokat.
Adattárolási hely
A Fabricben a bérlő egy otthoni metaadat-platformfürthöz van rendelve, amely egyetlen régióban található, amely megfelel a régió földrajzi helyének adattárolási követelményeinek. A bérlői metaadatokat, amelyek tartalmazhatják az ügyféladatokat, ebben a fürtben tárolják.
Az ügyfelek szabályozhatják, hogy hol találhatók a munkaterületek . Dönthetnek úgy, hogy a munkaterületeiket a metaadatplatform-fürtjükkel azonos földrajzi helyen találják meg, akár explicit módon hozzárendelik a munkaterületeiket az adott régió kapacitásaihoz, vagy implicit módon a Fabric Trial, a Power BI Pro vagy a Power BI Premium felhasználónkénti licencmóddal. Az utóbbi esetben a rendszer az összes ügyféladatot ebben az egyetlen földrajzi helyen tárolja és dolgozza fel. További információkért tekintse meg a Microsoft Fabric alapelveit és licenceit.
Az ügyfelek az otthoni régiójuktól eltérő földrajzi helyeken (földrajzi helyeken) is létrehozhatnak több földrajzi kapacitást . Ebben az esetben a számítás és a tárolás (beleértve a OneLake-t és a tapasztalatspecifikus tárolást) a több földrajzi régióban található, a bérlői metaadatok azonban az otthoni régióban maradnak. Az ügyféladatokat csak ebben a két földrajzi régióban tároljuk és dolgozzuk fel. További információ: Multi-Geo támogatás konfigurálása a Hálóhoz.
Adatkezelés
Ez a szakasz áttekintést nyújt az adatkezelés működéséről a Fabricben. Az ügyféladatok tárolását, feldolgozását és áthelyezését ismerteti.
Inaktív adatok
Minden Fabric-adattár titkosítva van a Microsoft által felügyelt kulcsok használatával. A hálóadatok közé tartoznak az ügyféladatok, valamint a rendszeradatok és a metaadatok.
Bár az adatok titkosítatlan állapotban dolgozhatók fel a memóriában, azokat soha nem őrizheti meg állandó tárterületen titkosítatlan állapotban.
Átvitt adatok
A Microsoft-szolgáltatások közötti adatátviteli adatok mindig legalább TLS 1.2-vel titkosítva lesznek. A Fabric lehetőség szerint egyeztet a TLS 1.3-ra. A Microsoft-szolgáltatások közötti forgalom mindig a Microsoft globális hálózatán halad át.
A bejövő háló kommunikációja a TLS 1.2-t is kikényszeríti, és lehetőség szerint egyeztet a TLS 1.3-ra. Az ügyfél tulajdonában lévő infrastruktúrával folytatott kimenő háló-kommunikáció a biztonságos protokollokat részesíti előnyben, de előfordulhat, hogy az újabb protokollok támogatása nélkül visszaáll a régebbi, nem biztonságos protokollokra (beleértve a TLS 1.0-t).
Telemetria
A telemetriát a Fabric platform teljesítményének és megbízhatóságának fenntartására használják. A Fabric platform telemetriai tárolója úgy lett kialakítva, hogy megfeleljen az adatokra és az adatvédelemre vonatkozó előírásoknak az összes olyan régióban, ahol a Fabric elérhető, beleértve az Európai Uniót is. További információ: EU Data Boundary Services.
OneLake
A OneLake egyetlen, egységes, logikai adattó a teljes szervezet számára, és automatikusan ki van építve minden Fabric-bérlő számára. Az Azure-ra épül, és bármilyen típusú, strukturált vagy strukturálatlan fájlt tárolhat. Emellett az összes Fabric-elem, például a raktárak és a tóházak automatikusan tárolják az adataikat a OneLake-ben.
A OneLake ugyanazokat az Azure Data Lake Storage Gen2 (ADLS Gen2) API-kat és SDK-kat támogatja, ezért kompatibilis a meglévő ADLS Gen2-alkalmazásokkal, beleértve az Azure Databrickset is.
További információ: Fabric és OneLake security.
Munkaterület biztonsága
A munkaterületek a OneLake-ben tárolt adatok elsődleges biztonsági határát jelölik. Minden munkaterület egyetlen tartományt vagy projektterületet jelöl, ahol a csapatok együttműködhetnek az adatokon. A munkaterület biztonságát úgy kezelheti, hogy felhasználókat rendel hozzá a munkaterületi szerepkörökhöz.
További információ: Fabric és OneLake security (Munkaterület biztonsága).
Elem biztonsága
A munkaterületen belül engedélyeket rendelhet közvetlenül Fabric-elemekhez, például raktárakhoz és tóházakhoz. Az elembiztonság rugalmasan biztosít hozzáférést az egyes Hálóelemekhez anélkül, hogy hozzáférést ad a teljes munkaterülethez. A felhasználók elemenkénti engedélyeket állíthatnak be egy elem megosztásával vagy egy elem engedélyeinek kezelésével.
Megfelelőségi erőforrások
A Fabric szolgáltatásra a Microsoft Online Szolgáltatási Feltételek és a Microsoft Enterprise adatvédelmi nyilatkozata vonatkozik.
Az adatfeldolgozás helyével kapcsolatban tekintse meg az adatfeldolgozási feltételek helyét a Microsoft Online Szolgáltatási Feltételekben és az Adatvédelmi kiegészítésben.
Megfelelőségi információkért a Microsoft Adatvédelmi központ a Fabric elsődleges erőforrása. A megfelelőségről további információt a Microsoft megfelelőségi ajánlatai között talál.
A Fabric szolgáltatás a Security Development Lifecycle (SDL) szolgáltatást követi, amely szigorú biztonsági eljárásokból áll, amelyek támogatják a biztonsági garanciára és a megfelelőségi követelményekre vonatkozó követelményeket. Az SDL a szoftver biztonsági réseinek számának és súlyosságának csökkentésével, a fejlesztési költségek csökkentése mellett segít a fejlesztőknek biztonságosabb szoftverek létrehozásában. További információ: Microsoft Security Development Lifecycle Practices.
Kapcsolódó tartalom
A Háló biztonságával kapcsolatos további információkért tekintse meg az alábbi erőforrásokat.
- Biztonság a Microsoft Fabricben
- A Microsoft Fabric végpontok közötti biztonsági forgatókönyve
- A OneLake biztonsági áttekintése
- A Microsoft Fabric fogalmai és licencei
- Kérdése van? Kérdezze meg a Microsoft Fabric-közösséget.
- Javaslatok? Ötleteket ad a Microsoft Fabric fejlesztéséhez.