Sicurezza del servizio Microsoft Fabric
Microsoft Fabric è una piattaforma SaaS (Software as a Service) che consente agli utenti di ottenere, creare, condividere e visualizzare i dati.
Come servizio SaaS, Fabric offre un pacchetto di sicurezza completo per l'intera piattaforma. Fabric rimuove il costo e la responsabilità della gestione della soluzione di sicurezza e lo trasferisce nel cloud. Con Fabric è possibile usare le competenze e le risorse di Microsoft per proteggere i dati, applicare patch alle vulnerabilità, monitorare le minacce e rispettare le normative. Fabric consente anche di gestire, controllare e verificare le impostazioni di protezione, in linea con le esigenze e le esigenze mutevoli.
Man mano che i dati vengono portati nel cloud e usati con diverse esperienze analitiche, come Power BI, Data Factory e la nuova generazione di Synapse, Microsoft garantisce che le funzionalità predefinite di sicurezza e affidabilità proteggono i dati inattivi e in transito. Microsoft assicura inoltre che i dati siano recuperabili in caso di errori o emergenze dell'infrastruttura.
La sicurezza di Fabric è:
Sempre attiva: ogni interazione con Fabric viene crittografata per impostazione predefinita ed autenticata con Microsoft Entra ID. Tutte le comunicazioni tra le esperienze di Fabric passano attraverso la dorsale Internet Microsoft. I dati inattivi vengono archiviati automaticamente crittografati. Per regolare l'accesso a Fabric, è possibile aggiungere funzionalità di sicurezza aggiuntive, ad esempio collegamenti privati o accesso condizionale a Entra. Fabric può anche connettersi ai dati protetti da un firewall o da una rete privata usando l'accesso attendibile.
Conforme: Fabric ha la sovranità dei dati predefinita con capacità multi-geografiche. Fabric supporta anche un'ampia gamma di standard di conformità.
Governabile: Fabric include un set di strumenti di governance, ad esempio la derivazione dei dati, le etichette di protezione delle informazioni, la prevenzione della perdita dei dati e l'integrazione di purview.
Configurabile: è possibile configurare la sicurezza di Fabric in base ai criteri dell'organizzazione.
Evoluzione: Microsoft migliora costantemente la sicurezza dell'infrastruttura aggiungendo nuove funzionalità e controlli.
Autentica
Microsoft Fabric è una piattaforma SaaS, come molti altri servizi Microsoft come Azure, Microsoft Office, OneDrive e Dynamics. Tutti questi servizi SaaS Microsoft, tra cui Fabric, usano Microsoft Entra ID come provider di identità basato sul cloud. Microsoft Entra ID consente agli utenti di connettersi a questi servizi in modo rapido e semplice da qualsiasi dispositivo e qualsiasi rete. Ogni richiesta di connessione a Fabric viene autenticata con Microsoft Entra ID, consentendo agli utenti di connettersi in modo sicuro all'infrastruttura dall'ufficio aziendale, quando si lavora a casa o da una posizione remota.
Comprendere la sicurezza delle reti
Fabric è un servizio SaaS eseguito nel cloud Microsoft. Alcuni scenari comportano la connessione ai dati esterni alla piattaforma Fabric. Ad esempio, la visualizzazione di un report dalla propria rete o la connessione ai dati presenti in un altro servizio. Le interazioni all'interno di Fabric usano la rete Microsoft interna e il traffico esterno al servizio viene protetto per impostazione predefinita. Per altre informazioni e una descrizione dettagliata, vedere Dati in movimento.
Sicurezza di rete in ingresso
L'organizzazione potrebbe voler limitare e proteggere il traffico di rete proveniente da Fabric in base ai requisiti aziendali. Con l'accesso condizionale e i collegamenti privati a Microsoft Entra ID, è possibile selezionare la soluzione in ingresso appropriata per l'organizzazione.
Accesso condizionale a Microsoft Entra ID
Microsoft Entra ID fornisce a Fabric l'accesso condizionale che consente di proteggere l'accesso a Fabric in ogni connessione. Ecco alcuni esempi di restrizioni di accesso che è possibile applicare usando l'accesso condizionale.
Definire un elenco di indirizzi IP per la connettività in ingresso a Fabric.
Usare l'autenticazione a più fattori (MFA).
Limitare il traffico in base a parametri come il paese di origine o il tipo di dispositivo.
Per configurare l'accesso condizionale, vedere Accesso condizionale in Fabric.
Per altre informazioni sull'autenticazione in Fabric, vedere Nozioni fondamentali sulla sicurezza di Microsoft Fabric.
Collegamenti privati.
I collegamenti privati consentono la connettività sicura a Fabric limitando l'accesso al tenant di Fabric da una rete virtuale di Azure e bloccando l'accesso pubblico. Ciò garantisce che solo il traffico di rete proveniente dalla rete virtuale sia autorizzato ad accedere alle funzionalità di Fabric, ad esempio Notebook, Lakehouse e data warehouse, nel tenant.
Per configurare i collegamenti privati in Fabric, vedere Configurare e usare collegamenti privati.
Sicurezza di rete in uscita
Fabric include un insieme di strumenti che consentono di connettersi a origini dati esterne e di inserire tali dati in Fabric in modo sicuro. Questa sezione elenca diversi modi per importare e connettersi ai dati da una rete sicura all'infrastruttura.
Disponibilità generale dell’accesso all'area di lavoro attendibile
Con Fabric è possibile accedere in modo sicuro agli account Azure Data Lake Gen 2 abilitati per il firewall. Le aree di lavoro Fabric con un'identità dell'area di lavoro possono accedere in modo sicuro agli account di Azure Data Lake Gen 2 con accesso alla rete pubblica abilitata, da reti virtuali e indirizzi IP selezionati. È possibile limitare l'accesso ad ADLS Gen 2 ad aree di lavoro di Fabric specifiche. Per altre informazioni, vedere accesso attendibile alle aree di lavoro.
Nota
Un'identità dell'area di lavoro Fabric può essere creata solo nelle aree di lavoro associate alla capacità di uno SKU F di Fabric. Per informazioni sull'acquisto di una sottoscrizione a Fabric, vedere Acquistare una sottoscrizione a Microsoft Fabric.
Endpoint privati gestiti
Gli endpoint privati gestiti consentono connessioni sicure a origini dati come i database SQL di Azure senza esporli alla rete pubblica o richiedere configurazioni di rete complesse.
Reti virtuali gestite
Le reti virtuali gestite sono reti virtuali create e gestite da Microsoft Fabric per ogni area di lavoro Fabric. Le reti virtuali gestite forniscono l'isolamento rete per i carichi di lavoro di Fabric Spark, il che significa che i cluster di elaborazione vengono distribuiti in una rete dedicata e non fanno più parte della rete virtuale condivisa.
Le reti virtuali gestite abilitano anche funzionalità di sicurezza di rete, ad esempio endpoint privati gestiti e supporto dei collegamenti privati per gli elementi di Data Engineering e Data science in Microsoft Fabric che usano Apache Spark.
Gateway dati
Per connettersi a origini dati locali o a un'origine dati che potrebbe essere protetta da un firewall o da una rete virtuale, è possibile usare una di queste opzioni:
Gateway dati locale: il gateway funge da ponte tra le origini dati locali e Fabric. Il gateway viene installato in un server all'interno della rete e consente a Fabric di connettersi alle origini dati tramite un canale sicuro senza dover aprire porte o apportare modifiche alla rete.
Gateway dati di rete virtuale: il gateway di rete virtuale consente di connettersi dai servizi Cloud Microsoft ai servizi dati di Azure all'interno di una rete virtuale, senza la necessità di un gateway dati locale.
Connettersi a OneLake da un servizio esistente
È possibile connettersi a Fabric usando il servizio PaaS (Platform as a Service) esistente. Per Synapse e Azure Data Factory (ADF) è possibile usare Azure Integration Runtime (IR) o la rete virtuale gestita di Azure Data Factory. È anche possibile connettersi a questi servizi e ad altri servizi, ad esempio flussi di dati per mapping, cluster Synapse Spark, cluster Databricks Spark e Azure HDInsight usando le API OneLake.
Tag del servizio di Azure
Usare i tag del servizio per inserire dati senza l'uso di gateway dati, da origini dati distribuite in una rete virtuale di Azure, ad esempio Macchine virtuali Azure SQL (VM), Istanza gestita di SQL di Azure (MI) e API REST. È anche possibile usare i tag del servizio per ottenere il traffico da una rete virtuale o da un firewall di Azure. Ad esempio, i tag del servizio possono consentire il traffico in uscita verso Fabric in modo che un utente in una macchina virtuale possa connettersi alle stringa di connessione SQL di Fabric da SSMS, mentre non gli è consentito l'accesso ad altre risorse Internet pubbliche.
Elenco IP consentiti
Se si dispone di dati che non risiedono in Azure, è possibile abilitare un elenco IP consentiti nella rete dell'organizzazione per consentire il traffico da e verso Fabric. Un elenco IP consentiti è utile se è necessario ottenere dati da origini dati che non supportano tag del servizio, ad esempio origini dati locali. Con questi collegamenti, è possibile ottenere dati senza copiarli in OneLake usando un endpoint di analisi SQL Lakehouse o Direct Lake.
È possibile ottenere l'elenco di indirizzi IP di Fabric dai tag del servizio in locale. L'elenco è disponibile come file JSON o a livello di codice con API REST, PowerShell e interfaccia della riga di comando di Azure (CLI).
Proteggere i dati
In Fabric tutti i dati archiviati in OneLake vengono crittografati inattivi. Tutti i dati inattivi vengono archiviati nell'area principale o in una delle capacità disponibili in un'area remota di propria scelta, in modo da poter soddisfare le normative sulla sovranità dei dati inattivi. Per altre informazioni, consultare Nozioni fondamentali sulla sicurezza di Microsoft Fabric.
Informazioni sui tenant in più aree geografiche
Molte organizzazioni hanno una presenza globale e possono richiedere servizi in più aree geografiche di Azure. Ad esempio, un'azienda può avere la sede centrale negli Stati Uniti, ma può anche svolgere attività in altre aree geografiche, ad esempio l'Australia. Per rispettare le normative locali, le aziende con una presenza globale devono garantire che i dati rimangano archiviati inattivi in più aree. In Fabric, questa operazione è denominata multi-geografica.
Il livello di esecuzione delle query, le cache delle query e i dati degli articoli assegnati a un'area di lavoro multi-geografica sono ospitati e rimangono nella geografia di Azure creata. Tuttavia, alcuni metadati ed elaborazione vengono archiviati inattivi nell'area geografica principale del tenant.
Fabric fa parte di un ecosistema Microsoft più ampio. Se l'organizzazione usa già altri servizi di sottoscrizione cloud, ad esempio Azure, Microsoft 365 o Dynamics 365, Fabric opera all'interno dello stesso tenant di Microsoft Entra. Il dominio dell'organizzazione (ad esempio contoso.com) è associato a Microsoft Entra ID. Come tutti i servizi cloud Microsoft.
Fabric garantisce che i dati siano protetti nelle varie aree quando si usano diversi tenant con più capacità in diverse aree geografiche.
Separazione logica dei dati: la piattaforma Fabric offre isolamento logico tra i tenant per proteggere i dati.
Sovranità dei dati: per iniziare a usare più aree geografiche, vedere Configurare il supporto multi-geografico per Fabric.
Accedere ai dati
Fabric controlla l'accesso ai dati usando le aree di lavoro. Nelle aree di lavoro, i dati vengono visualizzati sotto forma di elementi di Fabric e gli utenti non possono visualizzare o usare elementi (dati) a meno che non si conceda loro l'accesso all'area di lavoro. Sono disponibili ulteriori informazioni sull'area di lavoro e sulle autorizzazioni degli elementi in Modello di autorizzazione.
Ruoli dell'area di lavoro
L'accesso all'area di lavoro è elencato nella tabella seguente. Include i ruoli dell'area di lavoro e la Sicurezza Fabric e OneLake. Gli utenti con un ruolo da SQL possono eseguire query SQL, Data Analysis Expressions (DAX) o espressioni MDX, ma non possono accedere agli elementi di Fabric o eseguire un notebook.
| Ruolo | Accesso all'area di lavoro | Accesso a OneLake |
|---|---|---|
| Amministratore, membro e collaboratore | Può usare tutti gli elementi nell'area di lavoro | ✅ |
| Visualizzatore | Può visualizzare tutti gli elementi nell'area di lavoro | ❌ |
Condividere elementi
È possibile condividere gli elementi di Fabric con gli utenti dell'organizzazione che non hanno alcun ruolo dell'area di lavoro. La condivisione degli elementi consente l'accesso limitato e permette agli utenti di accedere solo all'elemento condiviso nell'area di lavoro.
Limitare l'accesso
È possibile limitare l'accesso del visualizzatore ai dati usando la sicurezza a livello di riga, la sicurezza a livello di colonna e la sicurezza a livello di oggetto. Con la sicurezza a livello di riga, la sicurezza a livello di colonna e la sicurezza a livello di oggetto, è possibile creare identità utente che hanno accesso a determinate parti dei dati e limitare i risultati SQL restituendo solo ciò a cui può accedere l'identità dell'utente.
È anche possibile aggiungere la sicurezza a livello di riga a un set di dati DirectLake. Se si definisce la sicurezza sia per SQL che per DAX, DirectLake esegue il fallback a DirectQuery per le tabelle con sicurezza a livello di riga in SQL. In questi casi, i risultati DAX o MDX sono limitati all'identità dell'utente.
Per esporre i report usando un set di dati DirectLake con sicurezza a livello di riga senza un fallback a DirectQuery, usare la condivisione diretta dei set di dati o le app in Power BI. Con le app in Power BI è possibile concedere l'accesso ai report senza l'accesso al visualizzatore. Questo tipo di accesso significa che gli utenti non possono usare SQL. Per consentire a DirectLake di leggere i dati, è necessario cambiare le credenziali dell'origine dati da Single Sign On (SSO) a un'identità fissa che abbia accesso ai file nel lake.
Proteggere i dati
Fabric supporta etichette di riservatezza di Microsoft Purview Information Protection. Queste sono le etichette, ad esempio Generale, Riservato e Riservatezza elevata ampiamente usate nelle app Microsoft Office come Word, PowerPoint ed Excel per proteggere le informazioni riservate. In Fabric, è possibile classificare gli elementi che contengono dati sensibili usando queste stesse etichette di riservatezza. Le etichette di riservatezza seguono quindi i dati automaticamente d elemento a elemento mentre passano attraverso Fabric, dall'origine dati all'utente aziendale. L'etichetta di riservatezza segue anche quando i dati vengono esportati in formati supportati, come PBIX, Excel, PowerPoint e PDF, assicurandosi che i dati rimangano protetti. Solo gli utenti autorizzati possono aprire il file. Per altre informazioni, vedere Governance e conformità in Microsoft Fabric.
Per governare, proteggere e gestire i dati, è possibile utilizzare Microsoft Purview. Microsoft Purview e Fabric collaborano per consentire di archiviare, analizzare e governare i dati da un'unica posizione, l'hub Microsoft Purview.
Ripristina dati
La resilienza dei dati di Fabric garantisce che i dati siano disponibili in caso di emergenza. Fabric consente anche di ripristinare i dati in caso di emergenza, il ripristino di emergenza. Per altre informazioni, vedere Affidabilità in Microsoft Fabric.
Amministrare Fabric
Gli amministratori di Fabric possono controllare le funzionalità per l'intera organizzazione. Fabric consente la delega del ruolo di amministratore alle capacità, alle aree di lavoro e ai domini. Delegando le responsabilità dell'amministratore alle persone giuste, è possibile implementare un modello che consente a diversi amministratori chiave di controllare le impostazioni generali di Fabric nell'organizzazione, mentre altri amministratori sono responsabili delle impostazioni correlate a aree specifiche.
Usando vari strumenti, gli amministratori possono anche monitorare gli aspetti principali di Fabric, ad esempio il consumo di capacità.
Log di controllo
Per visualizzare i log di controllo, seguire le istruzioni riportate in Tenere traccia delle attività degli utenti in Microsoft Fabric. È anche possibile fare riferimento all'elenco Operazioni per vedere quali attività sono disponibili per la ricerca nei log di controllo.
Funzionalità
Esaminare questa sezione per un elenco di alcune delle funzionalità di sicurezza disponibili in Microsoft Fabric.
| Funzionalità | Descrizione |
|---|---|
| Accesso condizionale | Proteggere le app usando Microsoft Entra ID |
| Lockbox | Controllare il modo in cui i tecnici Microsoft accedono ai dati |
| Sicurezza di OneLake e Fabric | Informazioni su come proteggere i dati in Fabric e OneLake. |
| Resilienza | Affidabilità e resilienza a livello di area con zone di disponibilità di Azure |
| Tag di servizio | Abilitare un'Istanza gestita di SQL di Azure (MI) per consentire le connessioni in ingresso da Microsoft Fabric |