Keamanan di Microsoft Fabric
Microsoft Fabric adalah platform software as a service (SaaS) yang memungkinkan pengguna mendapatkan, membuat, berbagi, dan memvisualisasikan data.
Sebagai layanan SaaS, Fabric menawarkan paket keamanan lengkap untuk seluruh platform. Fabric menghapus biaya dan tanggung jawab untuk mempertahankan solusi keamanan Anda, dan mentransfernya ke cloud. Dengan Fabric, Anda dapat menggunakan keahlian dan sumber daya Microsoft untuk menjaga keamanan data Anda, menambal kerentanan, memantau ancaman, dan mematuhi peraturan. Fabric juga memungkinkan Anda untuk mengelola, mengontrol, dan mengaudit pengaturan keamanan Anda, sesuai dengan kebutuhan dan tuntutan Anda yang berubah.
Saat Anda membawa data Anda ke cloud dan menggunakannya dengan berbagai pengalaman analitik seperti Power BI, Data Factory, dan Synapse generasi berikutnya, Microsoft memastikan bahwa fitur keamanan dan keandalan bawaan mengamankan data Anda saat tidak aktif dan saat transit. Microsoft juga memastikan bahwa data Anda dapat dipulihkan jika terjadi kegagalan infrastruktur atau bencana.
Keamanan fabric adalah:
Always on - Setiap interaksi dengan Fabric dienkripsi secara default dan diautentikasi menggunakan ID Microsoft Entra. Semua komunikasi antara pengalaman Fabric melakukan perjalanan melalui internet backbone Microsoft. Data tidak aktif secara otomatis disimpan dienkripsi. Untuk mengatur akses ke Fabric, Anda dapat menambahkan fitur keamanan tambahan seperti Private Links atau Entra Conditional Access . Fabric juga dapat terhubung ke data yang dilindungi oleh firewall atau jaringan privat menggunakan akses tepercaya.
Patuh – Fabric memiliki kedaulatan data di luar kotak dengan kapasitas multi-geo. Fabric juga mendukung berbagai standar kepatuhan.
Dapat diatur - Fabric dilengkapi dengan serangkaian alat tata kelola seperti silsilah data, label perlindungan informasi, pencegahan kehilangan data, dan integrasi purview.
Dapat dikonfigurasi - Anda dapat mengonfigurasi keamanan Fabric sesuai dengan kebijakan organisasi Anda.
Berkembang - Microsoft terus meningkatkan keamanan Fabric, dengan menambahkan fitur dan kontrol baru.
Autentikasi
Microsoft Fabric adalah platform SaaS, seperti banyak layanan Microsoft lainnya seperti Azure, Microsoft Office, OneDrive, dan Dynamics. Semua layanan Microsoft SaaS ini termasuk Fabric, menggunakan ID Microsoft Entra sebagai penyedia identitas berbasis cloud mereka. ID Microsoft Entra membantu pengguna terhubung ke layanan ini dengan cepat dan mudah dari perangkat apa pun dan jaringan apa pun. Setiap permintaan untuk terhubung ke Fabric diautentikasi dengan MICROSOFT Entra ID, memungkinkan pengguna untuk terhubung dengan aman ke Fabric dari kantor perusahaan mereka, saat bekerja di rumah, atau dari lokasi jarak jauh.
Memahami keamanan jaringan
Fabric adalah layanan SaaS yang berjalan di cloud Microsoft. Beberapa skenario melibatkan menyambungkan ke data yang berada di luar platform Fabric. Misalnya, menampilkan laporan dari jaringan Anda sendiri atau menyambungkan ke data yang ada di layanan lain. Interaksi dalam Fabric menggunakan jaringan internal Microsoft dan lalu lintas di luar layanan dilindungi secara default. Untuk informasi selengkapnya dan deskripsi terperinci, lihat Data saat transit.
Keamanan jaringan masuk
Organisasi Anda mungkin ingin membatasi dan mengamankan lalu lintas jaringan yang masuk ke Fabric berdasarkan kebutuhan perusahaan Anda. Dengan Microsoft Entra ID Conditional Access and Private Links, Anda dapat memilih solusi masuk yang tepat untuk organisasi Anda.
Akses Bersyar id Microsoft Entra
MICROSOFT Entra ID menyediakan Fabric dengan Akses Bersyarah yang memungkinkan Anda mengamankan akses ke Fabric pada setiap koneksi. Berikut adalah beberapa contoh pembatasan akses yang dapat Anda terlaksakan menggunakan Akses Bersyar.
Tentukan daftar IP untuk konektivitas masuk ke Fabric.
Gunakan Autentikasi Multifaktor (MFA).
Batasi lalu lintas berdasarkan parameter seperti negara asal atau jenis perangkat.
Untuk mengonfigurasi akses bersyar, lihat Akses bersyarah di Fabric.
Untuk memahami selengkapnya tentang autentikasi di Fabric, lihat Dasar-dasar keamanan Microsoft Fabric.
Link Pribadi
Tautan privat memungkinkan konektivitas aman ke Fabric dengan membatasi akses ke penyewa Fabric Anda dari jaringan virtual Azure (VNet), dan memblokir semua akses publik. Ini memastikan bahwa hanya lalu lintas jaringan dari VNet yang diizinkan untuk mengakses fitur Fabric seperti Notebook, Lakehouses, dan gudang data, di penyewa Anda.
Untuk mengonfigurasi Private Link di Fabric, lihat Menyiapkan dan menggunakan tautan privat.
Keamanan jaringan keluar
Fabric memiliki sekumpulan alat yang memungkinkan Anda terhubung ke sumber data eksternal dan membawa data tersebut ke Fabric dengan cara yang aman. Bagian ini mencantumkan berbagai cara untuk mengimpor dan menyambungkan ke data dari jaringan aman ke fabric.
Akses ruang kerja tepercaya
Dengan Fabric, Anda dapat mengakses firewall yang mengaktifkan akun Azure Data Lake Gen 2 dengan aman. Ruang kerja Fabric yang memiliki identitas ruang kerja dapat mengakses akun Azure Data Lake Gen 2 dengan aman dengan akses jaringan publik diaktifkan, dari jaringan virtual dan alamat IP yang dipilih. Anda dapat membatasi akses ADLS gen 2 ke ruang kerja Fabric tertentu. Untuk informasi selengkapnya, lihat Akses ruang kerja tepercaya.
Catatan
Identitas ruang kerja Fabric hanya dapat dibuat di ruang kerja yang terkait dengan kapasitas Fabric F SKU. Untuk informasi tentang membeli langganan Fabric, lihat Membeli langganan Microsoft Fabric.
Titik Akhir Privat Terkelola
Titik akhir privat terkelola memungkinkan koneksi aman ke sumber data seperti database Azure SQL tanpa mengeksposnya ke jaringan publik atau memerlukan konfigurasi jaringan yang kompleks.
Jaringan virtual terkelola
Jaringan virtual terkelola adalah jaringan virtual yang dibuat dan dikelola oleh Microsoft Fabric untuk setiap ruang kerja Fabric. Jaringan virtual terkelola menyediakan isolasi jaringan untuk beban kerja Fabric Spark, yang berarti bahwa kluster komputasi disebarkan dalam jaringan khusus dan bukan lagi bagian dari jaringan virtual bersama.
Jaringan virtual terkelola juga mengaktifkan fitur keamanan jaringan seperti titik akhir privat terkelola, dan dukungan tautan privat untuk item Rekayasa Data dan Ilmu Data di Microsoft Fabric yang menggunakan Apache Spark.
Gateway Data
Untuk menyambungkan ke sumber data lokal atau sumber data yang mungkin dilindungi oleh firewall atau jaringan virtual, Anda dapat menggunakan salah satu opsi berikut:
Gateway data lokal - Gateway bertindak sebagai jembatan antara sumber data lokal Anda dan Fabric. Gateway diinstal pada server dalam jaringan Anda, dan memungkinkan Fabric untuk terhubung ke sumber data Anda melalui saluran aman tanpa perlu membuka port atau membuat perubahan pada jaringan Anda.
Gateway data jaringan virtual (VNet) - Gateway VNet memungkinkan Anda menyambungkan dari layanan Microsoft Cloud ke layanan data Azure Anda dalam VNet, tanpa perlu gateway data lokal.
Menyambungkan ke OneLake dari layanan yang sudah ada
Anda dapat terhubung ke Fabric menggunakan layanan Azure Platform as a Service (PaaS) yang ada. Untuk Synapse dan Azure Data Factory (ADF), Anda dapat menggunakan Azure Integration Runtime (IR) atau jaringan virtual yang dikelola Azure Data Factory. Anda juga dapat terhubung ke layanan ini dan layanan lain seperti Aliran data pemetaan, kluster Synapse Spark, kluster Databricks Spark, dan Azure HDInsight menggunakan API OneLake.
Tag layanan Azure
Gunakan Tag layanan untuk menyerap data tanpa menggunakan gateway data, dari sumber data yang disebarkan di jaringan virtual Azure, seperti Azure SQL Virtual Machines (VM), Azure SQL Managed Instance (MI) dan REST API. Anda juga dapat menggunakan tag layanan untuk mendapatkan lalu lintas dari jaringan virtual atau firewall Azure. Misalnya, tag layanan dapat memungkinkan lalu lintas keluar ke Fabric sehingga pengguna pada VM dapat terhubung ke Fabric SQL string koneksi dari SSMS, sambil diblokir agar tidak mengakses sumber daya internet publik lainnya.
Daftar IP yang diizinkan
Jika Anda memiliki data yang tidak berada di Azure, Anda dapat mengaktifkan daftar ip yang diizinkan di jaringan organisasi Anda untuk mengizinkan lalu lintas ke dan dari Fabric. Daftar ip yang diizinkan berguna jika Anda perlu mendapatkan data dari sumber data yang tidak mendukung tag layanan, seperti sumber data lokal. Dengan pintasan ini, Anda bisa mendapatkan data tanpa menyalinnya ke OneLake menggunakan titik akhir analitik Lakehouse SQL atau Direct Lake.
Anda bisa mendapatkan daftar IP Fabric dari Tag layanan lokal. Daftar ini tersedia sebagai file JSON, atau secara terprogram dengan REST API, PowerShell, dan Azure Command-Line Interface (CLI).
Mengamankan Data
Dalam Fabric, semua data yang disimpan di OneLake dienkripsi saat tidak aktif. Semua data tidak aktif disimpan di wilayah asal Anda, atau di salah satu kapasitas Anda di wilayah terpencil pilihan Anda sehingga Anda dapat memenuhi peraturan kedaulatan yang tidak aktif. Untuk informasi selengkapnya, lihat Dasar-dasar keamanan Microsoft Fabric.
Memahami penyewa di beberapa geografi
Banyak organisasi memiliki kehadiran global dan memerlukan layanan di beberapa geografi Azure. Misalnya, perusahaan dapat memiliki kantor pusatnya di Amerika Serikat, sambil berbisnis di area geografis lainnya, seperti Australia. Untuk mematuhi peraturan lokal, bisnis dengan kehadiran global perlu memastikan bahwa data tetap disimpan saat tidak aktif di beberapa wilayah. Dalam Fabric, ini disebut multi-geo.
Lapisan eksekusi kueri, cache kueri, dan data item yang ditetapkan ke ruang kerja multi-geo tetap berada di geografi Azure pembuatannya. Namun, beberapa metadata, dan pemrosesan, disimpan saat tidak aktif di geografi rumah penyewa.
Fabric adalah bagian dari ekosistem Microsoft yang lebih besar. Jika organisasi Anda sudah menggunakan layanan langganan cloud lainnya, seperti Azure, Microsoft 365, atau Dynamics 365, maka Fabric beroperasi dalam penyewa Microsoft Entra yang sama. Domain organisasi Anda (misalnya, contoso.com) dikaitkan dengan ID Microsoft Entra. Seperti semua layanan cloud Microsoft.
Fabric memastikan bahwa data Anda aman di seluruh wilayah saat Anda bekerja dengan beberapa penyewa yang memiliki beberapa kapasitas di sejumlah geografi.
Pemisahan logis data - Platform Fabric menyediakan isolasi logis antara penyewa untuk melindungi data Anda.
Kedaulatan data - Untuk mulai bekerja dengan multi-geo, lihat Mengonfigurasi dukungan Multi-Geo untuk Fabric.
Mengakses data
Fabric mengontrol akses data menggunakan ruang kerja. Di ruang kerja, data muncul dalam bentuk item Fabric, dan pengguna tidak dapat melihat atau menggunakan item (data) kecuali Anda memberi mereka akses ke ruang kerja. Anda dapat menemukan informasi selengkapnya tentang izin ruang kerja dan item, dalam Model izin.
Peran ruang kerja
Akses ruang kerja tercantum dalam tabel di bawah ini. Ini termasuk peran ruang kerja dan keamanan Fabric dan OneLake. Pengguna dengan peran penampil dapat menjalankan kueri SQL, Data Analysis Expressions (DAX) atau Multidimensional Expressions (MDX), tetapi mereka tidak dapat mengakses item Fabric atau menjalankan notebook.
| Peran | Akses ruang kerja | Akses OneLake |
|---|---|---|
| Admin, anggota, dan kontributor | Dapat menggunakan semua item di ruang kerja | ✅ |
| Penampil | Dapat melihat semua item di ruang kerja | ❌ |
Bagikan item
Anda dapat berbagi item Fabric dengan pengguna di organisasi Anda yang tidak memiliki peran ruang kerja apa pun. Berbagi item memberikan akses terbatas, memungkinkan pengguna untuk hanya mengakses item bersama di ruang kerja.
Membatasi akses
Anda dapat membatasi akses penampil ke data menggunakan keamanan tingkat baris (RLS), keamanan tingkat kolom (CLS) dan keamanan tingkat objek (OLS). Dengan RLS, CLS, dan OLS, Anda dapat membuat identitas pengguna yang memiliki akses ke bagian tertentu dari data Anda, dan membatasi hasil SQL yang hanya mengembalikan apa yang dapat diakses oleh identitas pengguna.
Anda juga dapat menambahkan RLS ke himpunan data DirectLake. Jika Anda menentukan keamanan untuk SQL dan DAX, DirectLake kembali ke DirectQuery untuk tabel yang memiliki RLS di SQL. Dalam kasus seperti itu, hasil DAX, atau MDX terbatas pada identitas pengguna.
Untuk mengekspos laporan menggunakan himpunan data DirectLake dengan RLS tanpa fallback DirectQuery, gunakan berbagi himpunan data langsung atau aplikasi di Power BI. Dengan aplikasi di Power BI, Anda dapat memberikan akses ke laporan tanpa akses penampil. Akses semacam ini berarti bahwa pengguna tidak dapat menggunakan SQL. Untuk mengaktifkan DirectLake membaca data, Anda perlu mengalihkan kredensial sumber data dari Akses Menyeluruh (SSO) ke identitas tetap yang memiliki akses ke file di lake.
Melindungi data
Fabric mendukung label sensitivitas dari Perlindungan Informasi Microsoft Purview. Ini adalah label, seperti Umum, Rahasia, dan Sangat Rahasia yang banyak digunakan di Microsoft aplikasi Office seperti Word, PowerPoint, dan Excel untuk melindungi informasi sensitif. Dalam Fabric, Anda dapat mengklasifikasikan item yang berisi data sensitif menggunakan label sensitivitas yang sama ini. Label sensitivitas kemudian mengikuti data secara otomatis dari item ke item saat mengalir melalui Fabric, dari sumber data ke pengguna bisnis. Label sensitivitas mengikuti bahkan ketika data diekspor ke format yang didukung seperti PBIX, Excel, PowerPoint, dan PDF, memastikan bahwa data Anda tetap terlindungi. Hanya pengguna yang berwenang yang dapat membuka file. Untuk informasi selengkapnya, lihat Tata kelola dan kepatuhan di Microsoft Fabric.
Untuk membantu Anda mengatur, melindungi, dan mengelola data, Anda dapat menggunakan Microsoft Purview. Microsoft Purview dan Fabric bekerja sama memungkinkan Anda menyimpan, menganalisis, dan mengatur data Anda dari satu lokasi, hub Microsoft Purview.
Memulihkan Data
Ketahanan data Fabric memastikan bahwa data Anda tersedia jika ada bencana. Fabric juga memungkinkan Anda memulihkan data jika terjadi bencana, Pemulihan bencana. Untuk informasi selengkapnya, lihat Keandalan di Microsoft Fabric.
Mengelola Fabric
Sebagai administrator di Fabric, Anda dapat mengontrol kemampuan untuk seluruh organisasi. Fabric memungkinkan delegasi peran admin untuk kapasitas, ruang kerja, dan domain. Dengan mendelegasikan tanggung jawab admin kepada orang yang tepat, Anda dapat menerapkan model yang memungkinkan beberapa admin kunci mengontrol pengaturan Fabric umum di seluruh organisasi, sementara admin lain yang bertanggung jawab atas pengaturan yang terkait dengan area tertentu.
Dengan menggunakan berbagai alat, admin juga dapat memantau aspek-aspek utama Fabric seperti konsumsi kapasitas.
Log Audit
Untuk melihat log audit Anda, ikuti instruksi di Melacak aktivitas pengguna di Microsoft Fabric. Anda juga dapat merujuk ke daftar Operasi untuk melihat aktivitas mana yang tersedia untuk dicari di log audit.
Kemampuan
Tinjau bagian ini untuk daftar beberapa fitur keamanan yang tersedia di Microsoft Fabric.
| Kemampuan | Deskripsi |
|---|---|
| Akses Bersyarat | Mengamankan aplikasi Anda dengan menggunakan ID Microsoft Entra |
| Kotak kunci | Mengontrol cara teknisi Microsoft mengakses data Anda |
| Keamanan Fabric dan OneLake | Pelajari cara mengamankan data Anda di Fabric dan OneLake. |
| Ketahanan | Keandalan dan ketahanan regional dengan zona ketersediaan Azure |
| Tag layanan | Mengaktifkan Azure SQL Managed Instance (MI) untuk mengizinkan koneksi masuk dari Microsoft Fabric |