Dasar-dasar keamanan Microsoft Fabric
Artikel ini menyajikan perspektif gambaran besar tentang arsitektur keamanan Microsoft Fabric dengan menjelaskan cara kerja alur keamanan utama dalam sistem. Ini juga menjelaskan bagaimana pengguna mengautentikasi dengan Fabric, bagaimana koneksi data dibuat, dan bagaimana Fabric menyimpan dan memindahkan data melalui layanan.
Artikel ini terutama ditargetkan pada administrator Fabric, yang bertanggung jawab untuk mengawasi Fabric dalam organisasi. Ini juga relevan dengan pemangku kepentingan keamanan perusahaan, termasuk administrator keamanan, administrator jaringan, administrator Azure, administrator ruang kerja, dan administrator database.
Platform Fabric
Microsoft Fabric adalah solusi analitik all-in-one untuk perusahaan yang mencakup segala sesuatu mulai dari pergerakan data hingga ilmu data, analitik real time, dan kecerdasan bisnis (BI). Platform Fabric terdiri dari serangkaian layanan dan komponen infrastruktur yang mendukung fungsionalitas umum untuk semua pengalaman Fabric. Secara kolektif, mereka menawarkan serangkaian pengalaman analitik komprehensif yang dirancang untuk bekerja sama dengan mulus. Pengalaman termasuk Lakehouse, Data Factory, Synapse Rekayasa Data, Synapse Data Warehouse, Power BI, dan lainnya.
Dengan Fabric, Anda tidak perlu mengumpulkan layanan yang berbeda dari beberapa vendor. Sebagai gantinya, Anda mendapat manfaat dari produk yang sangat terintegrasi, end-to-end, dan mudah digunakan yang dirancang untuk menyederhanakan kebutuhan analitik Anda. Fabric dirancang dari awal untuk melindungi aset sensitif.
Platform Fabric dibangun di atas fondasi perangkat lunak sebagai layanan (SaaS), yang memberikan keandalan, kesederhanaan, dan skalabilitas. Ini dibangun di Azure, yang merupakan platform komputasi cloud publik Microsoft. Secara tradisional, banyak produk data telah menjadi platform as a service (PaaS), mengharuskan administrator layanan untuk menyiapkan keamanan, kepatuhan, dan tata kelola untuk setiap layanan. Karena Fabric adalah layanan SaaS, banyak fitur ini dibangun ke dalam platform SaaS dan tidak memerlukan pengaturan atau pengaturan minimal.
Diagram arsitektur
Diagram arsitektur di bawah ini menunjukkan representasi tingkat tinggi dari arsitektur keamanan Fabric.
Diagram arsitektur menggambarkan konsep berikut.
Pengguna menggunakan browser atau aplikasi klien, seperti Power BI Desktop, untuk menyambungkan ke layanan Fabric.
Autentikasi ditangani oleh ID Microsoft Entra, yang sebelumnya dikenal sebagai Azure Active Directory, yang merupakan layanan manajemen identitas dan akses berbasis cloud yang mengautentikasi pengguna atau perwakilan layanan dan mengelola akses ke Fabric.
Front end web menerima permintaan pengguna dan memfasilitasi masuk. Ini juga merutekan permintaan dan melayani konten front-end kepada pengguna.
Platform metadata menyimpan metadata penyewa, yang dapat menyertakan data pelanggan. Layanan Fabric meminta platform ini sesuai permintaan untuk mengambil informasi otorisasi dan untuk mengotorisasi dan memvalidasi permintaan pengguna. Lokasinya berada di wilayah asal penyewa.
Platform kapasitas back-end bertanggung jawab atas operasi komputasi dan untuk menyimpan data pelanggan, dan terletak di wilayah kapasitas. Ini memanfaatkan layanan inti Azure di wilayah tersebut seperlunya untuk pengalaman Fabric tertentu.
Layanan infrastruktur platform Fabric adalah multipenyewa. Ada isolasi logis antara penyewa. Layanan ini tidak memproses input pengguna yang kompleks dan semuanya ditulis dalam kode terkelola. Layanan platform tidak pernah menjalankan kode yang ditulis pengguna.
Platform metadata dan platform kapasitas back-end masing-masing berjalan di jaringan virtual yang aman. Jaringan ini mengekspos serangkaian titik akhir yang aman ke internet sehingga mereka dapat menerima permintaan dari pelanggan dan layanan lainnya. Terlepas dari titik akhir ini, layanan dilindungi oleh aturan keamanan jaringan yang memblokir akses dari internet publik. Komunikasi dalam jaringan virtual juga dibatasi berdasarkan hak istimewa setiap layanan internal.
Lapisan aplikasi memastikan bahwa penyewa hanya dapat mengakses data dari dalam penyewa mereka sendiri.
Autentikasi
Fabric mengandalkan ID Microsoft Entra untuk mengautentikasi pengguna (atau perwakilan layanan). Saat diautentikasi, pengguna menerima token akses dari ID Microsoft Entra. Fabric menggunakan token ini untuk melakukan operasi dalam konteks pengguna.
Fitur utama ID Microsoft Entra adalah akses bersyarah. Akses bersyarat memastikan bahwa penyewa aman dengan memberlakukan autentikasi multifaktor, yang hanya memungkinkan perangkat terdaftar Microsoft Intune untuk mengakses layanan tertentu. Akses bersyarah juga membatasi lokasi pengguna dan rentang IP.
Authorization
Semua izin Fabric disimpan secara terpusat oleh platform metadata. Layanan Fabric meminta platform metadata sesuai permintaan untuk mengambil informasi otorisasi dan untuk mengotorisasi dan memvalidasi permintaan pengguna.
Untuk alasan performa, Fabric terkadang merangkum informasi otorisasi ke dalam token yang ditandatangani. Token yang ditandatangani hanya dikeluarkan oleh platform kapasitas back-end, dan mencakup token akses, informasi otorisasi, dan metadata lainnya.
Residensi data
Di Fabric, penyewa ditetapkan ke kluster platform metadata rumah, yang terletak di satu wilayah yang memenuhi persyaratan residensi data dari geografi wilayah tersebut. Metadata penyewa, yang dapat menyertakan data pelanggan, disimpan dalam kluster ini.
Pelanggan dapat mengontrol lokasi ruang kerja mereka. Mereka dapat memilih untuk menemukan ruang kerja mereka dalam geografi yang sama dengan kluster platform metadata mereka, baik secara eksplisit dengan menetapkan ruang kerja mereka pada kapasitas di wilayah tersebut atau secara implisit dengan menggunakan mode lisensi Fabric Trial, Power BI Pro, atau Power BI Premium Per Pengguna. Dalam kasus terakhir, semua data pelanggan disimpan dan diproses dalam geografi tunggal ini. Untuk informasi selengkapnya, lihat Konsep dan lisensi Microsoft Fabric.
Pelanggan juga dapat membuat kapasitas Multi-Geo yang terletak di geografi (geo) selain wilayah asal mereka. Dalam hal ini, komputasi dan penyimpanan (termasuk OneLake dan penyimpanan khusus pengalaman) terletak di wilayah multi-geo, namun metadata penyewa tetap berada di wilayah asal. Data pelanggan hanya akan disimpan dan diproses di dua geografi ini. Untuk informasi selengkapnya, lihat Mengonfigurasi dukungan Multi-Geo untuk Fabric.
Penanganan data
Bagian ini memberikan gambaran umum tentang cara kerja penanganan data di Fabric. Ini menjelaskan penyimpanan, pemrosesan, dan pergerakan data pelanggan.
Data tidak aktif
Semua penyimpanan data Fabric dienkripsi saat tidak aktif dengan menggunakan kunci yang dikelola Microsoft. Data Fabric mencakup data pelanggan serta data sistem dan metadata.
Meskipun data dapat diproses dalam memori dalam keadaan tidak terenkripsi, data tidak pernah bertahan ke penyimpanan permanen saat dalam keadaan tidak terenkripsi.
Data saat transit
Data saat transit antara layanan Microsoft selalu dienkripsi dengan setidaknya TLS 1.2. Fabric bernegosiasi ke TLS 1.3 jika memungkinkan. Lalu lintas antara layanan Microsoft selalu merutekan melalui jaringan global Microsoft.
Komunikasi Inbound Fabric juga memberlakukan TLS 1.2 dan bernegosiasi ke TLS 1.3, jika memungkinkan. Komunikasi Outbound Fabric ke infrastruktur milik pelanggan lebih memilih protokol yang aman tetapi mungkin kembali ke protokol lama yang tidak aman (termasuk TLS 1.0) ketika protokol yang lebih baru tidak didukung.
telemetri
Telemetri digunakan untuk menjaga performa dan keandalan platform Fabric. Penyimpanan telemetri platform Fabric dirancang agar sesuai dengan peraturan data dan privasi untuk pelanggan di semua wilayah tempat Fabric tersedia, termasuk Uni Eropa (UE). Untuk informasi selengkapnya, lihat Layanan Batas Data UE.
OneLake
OneLake adalah data lake logis tunggal, terpadu untuk seluruh organisasi, dan secara otomatis disediakan untuk setiap penyewa Fabric. Ini dibangun di Azure dan dapat menyimpan semua jenis file, terstruktur atau tidak terstruktur. Selain itu, semua item Fabric, seperti gudang dan lakehouse, secara otomatis menyimpan data mereka di OneLake.
OneLake mendukung API dan SDK Azure Data Lake Storage Gen2 (ADLS Gen2) yang sama, oleh karena itu kompatibel dengan aplikasi ADLS Gen2 yang ada, termasuk Azure Databricks.
Untuk informasi selengkapnya, lihat Keamanan Fabric dan OneLake.
Keamanan ruang kerja
Ruang kerja mewakili batas keamanan utama untuk data yang disimpan di OneLake. Setiap ruang kerja mewakili satu domain atau area proyek tempat tim dapat berkolaborasi pada data. Anda mengelola keamanan di ruang kerja dengan menetapkan pengguna ke peran ruang kerja.
Untuk informasi selengkapnya, lihat Keamanan Fabric dan OneLake (Keamanan ruang kerja).
Keamanan item
Dalam ruang kerja, Anda dapat menetapkan izin langsung ke item Fabric, seperti gudang dan lakehouse. Keamanan item memberikan fleksibilitas untuk memberikan akses ke item Fabric individual tanpa memberikan akses ke seluruh ruang kerja. Pengguna dapat menyiapkan izin per item baik dengan berbagi item atau dengan mengelola izin item.
Sumber daya kepatuhan
Layanan Fabric diatur oleh Ketentuan Layanan Online Microsoft dan Pernyataan Privasi Microsoft Enterprise.
Untuk lokasi pemrosesan data, lihat Lokasi istilah Pemrosesan Data dalam Ketentuan Layanan Online Microsoft dan ke Adendum Perlindungan Data.
Untuk informasi kepatuhan, Pusat Kepercayaan Microsoft adalah sumber daya utama untuk Fabric. Untuk informasi selengkapnya tentang kepatuhan, lihat Penawaran kepatuhan Microsoft.
Layanan Fabric mengikuti Siklus Hidup Pengembangan Keamanan (SDL), yang terdiri dari serangkaian praktik keamanan ketat yang mendukung jaminan keamanan dan persyaratan kepatuhan. SDL membantu pengembang membangun perangkat lunak yang lebih aman dengan mengurangi jumlah dan tingkat keparahan kerentanan dalam perangkat lunak, sekaligus mengurangi biaya pengembangan. Untuk informasi selengkapnya, lihat Praktik Siklus Hidup Pengembangan Keamanan Microsoft.
Konten terkait
Untuk informasi selengkapnya tentang keamanan Fabric, lihat sumber daya berikut.
- Keamanan di Microsoft Fabric
- Skenario keamanan end-to-end Microsoft Fabric
- Gambaran umum keamanan OneLake
- Konsep dan lisensi Microsoft Fabric
- Pertanyaan? Coba tanyakan kepada komunitas Microsoft Fabric.
- Ada saran? Berkontribusi ide untuk meningkatkan Microsoft Fabric.