Proteggere il traffico in ingresso

  • Articolo

Il traffico in ingresso è il traffico proveniente da Fabric da Internet. Questo articolo illustra le differenze tra i due modi per proteggere il traffico in ingresso in Microsoft Fabric. Usare questo articolo per decidere quale metodo è migliore per l'organizzazione.

  • Accesso condizionale Entra: quando un utente autentica l'accesso viene determinato in base a un set di criteri che possono includere l'indirizzo IP, la posizione e i dispositivi gestiti.

  • Collegamenti privati: Fabric usa un indirizzo IP privato dalla rete virtuale. L'endpoint consente agli utenti della rete di comunicare con Fabric tramite l'indirizzo IP privato usando collegamenti privati.

Una volta che il traffico entra in Fabric, viene autenticato dall'ID Entra di Microsoft, che è lo stesso metodo di autenticazione usato da Microsoft 365, OneDrive e Dynamics 365. L'autenticazione di Microsoft Entra ID consente agli utenti di connettersi in modo sicuro alle applicazioni cloud da qualsiasi dispositivo e da qualsiasi rete, sia che si tratti di casa, remoto o nell'ufficio aziendale.

La piattaforma back-end fabric è protetta da una rete virtuale e non è direttamente accessibile dalla rete Internet pubblica oltre che tramite endpoint sicuri. Per comprendere come il traffico è protetto in Fabric, vedere Diagramma dell'architettura di Fabric.

Per impostazione predefinita, Fabric comunica tra esperienze usando la rete backbone Microsoft interna. Quando un report di Power BI carica i dati da OneLake, i dati passano attraverso la rete Microsoft interna. Questa configurazione è diversa dalla necessità di configurare più servizi PaaS (Platform as a Service) per connettersi tra loro tramite una rete privata. La comunicazione in ingresso tra client, ad esempio il browser o SQL Server Management Studio (SSMS) e Fabric, usa il protocollo TLS 1.2 e negozia TLS 1.3 quando possibile.

Le impostazioni di sicurezza predefinite di Fabric includono:

  • ID Microsoft Entra usato per autenticare ogni richiesta.

  • Al termine dell'autenticazione, le richieste vengono instradate al servizio back-end appropriato tramite endpoint gestiti da Microsoft sicuri.

  • Il traffico interno tra esperienze in Fabric viene instradato sul backbone Microsoft.

  • Il traffico tra client e Infrastruttura viene crittografato usando almeno il protocollo TLS (Transport Layer Security) 1.2.

Entra - Accesso condizionale

Ogni interazione con Fabric viene autenticata con Microsoft Entra ID. Microsoft Entra ID si basa sul modello di sicurezza Zero Trust , che presuppone che l'utente non sia completamente protetto all'interno del perimetro di rete dell'organizzazione. Invece di esaminare la rete come limite di sicurezza, Zero Trust esamina l'identità come perimetro primario per la sicurezza.

Per determinare l'accesso al momento dell'autenticazione, è possibile definire e applicare criteri di accesso condizionale in base all'identità degli utenti, al contesto di dispositivo, alla posizione, alla rete e alla riservatezza delle applicazioni. Ad esempio, è possibile richiedere l'autenticazione a più fattori, la conformità dei dispositivi o le app approvate per l'accesso ai dati e alle risorse in Fabric. È anche possibile bloccare o limitare l'accesso da posizioni, dispositivi o reti rischiose.

I criteri di accesso condizionale consentono di proteggere i dati e le applicazioni senza compromettere la produttività e l'esperienza degli utenti. Ecco alcuni esempi di restrizioni di accesso che è possibile applicare usando l'accesso condizionale.

  • Definire un elenco di indirizzi IP per la connettività in ingresso a Fabric.

  • Usare l'autenticazione a più fattori (MFA).

  • Limitare il traffico in base a parametri come il paese di origine o il tipo di dispositivo.

Fabric non supporta altri metodi di autenticazione, ad esempio chiavi dell'account o autenticazione SQL, che si basano su nomi utente e password.

Configurare l’accesso condizionale

Per configurare l'accesso condizionale in Fabric, è necessario selezionare diversi servizi di Azure correlati all'infrastruttura, ad esempio Power BI, Azure Esplora dati, database SQL di Azure e Archiviazione di Azure.

Nota

L'accesso condizionale può essere considerato troppo ampio per alcuni clienti perché qualsiasi criterio verrà applicato a Fabric e ai servizi di Azure correlati.

Licenze

L'accesso condizionale richiede licenze microsoft Entra ID P1. Spesso queste licenze sono già disponibili nell'organizzazione perché sono condivise con altri prodotti Microsoft, ad esempio Microsoft 365. Per trovare la licenza appropriata per i requisiti, vedere Requisiti di licenza.

Accesso attendibile

Fabric non deve trovarsi nella rete privata, anche quando i dati sono archiviati all'interno di uno. Con i servizi PaaS, è comune inserire il calcolo nella stessa rete privata dell'account di archiviazione. Tuttavia, con Fabric non è necessario. Per abilitare l'accesso attendibile in Fabric, è possibile usare funzionalità come gateway dati locali, accesso all'area di lavoro attendibile ed endpoint privati gestiti. Per altre informazioni, vedere Sicurezza in Microsoft Fabric.

Con gli endpoint privati al servizio viene assegnato un indirizzo IP privato dalla rete virtuale. L'endpoint consente ad altre risorse della rete di comunicare con il servizio tramite l'indirizzo IP privato.

Usando i collegamenti privati, un tunnel dal servizio in una delle subnet crea un canale privato. La comunicazione da dispositivi esterni passa dal proprio indirizzo IP a un endpoint privato in tale subnet, attraverso il tunnel e nel servizio.

Quando si implementano collegamenti privati, Fabric non è più accessibile tramite la rete Internet pubblica. Per accedere a Fabric, tutti gli utenti devono connettersi tramite la rete privata. La rete privata è necessaria per tutte le comunicazioni con Fabric, inclusa la visualizzazione di un report di Power BI nel browser e l'uso di SQL Server Management Studio (SSMS) per connettersi a un endpoint SQL.

Reti locali

Se si usano reti locali, è possibile estenderle all'Rete virtuale di Azure usando un circuito ExpressRoute o una VPN da sito a sito per accedere a Fabric usando connessioni private.

Larghezza di banda

Con i collegamenti privati, tutto il traffico verso Fabric passa attraverso l'endpoint privato, causando potenziali problemi di larghezza di banda. Gli utenti non sono più in grado di caricare risorse non correlate ai dati distribuite globali, ad esempio immagini .css e .html file usati da Fabric, dall'area geografica. Queste risorse vengono caricate dalla posizione dell'endpoint privato. Ad esempio, per gli utenti australiani con un endpoint privato degli Stati Uniti, il traffico passa prima agli Stati Uniti. Ciò aumenta i tempi di caricamento e può ridurre le prestazioni.

Costi

Il costo dei collegamenti privati e l'aumento della larghezza di banda di ExpressRoute per consentire la connettività privata dalla rete possono aggiungere costi all'organizzazione.

Considerazioni e limitazioni

Con i collegamenti privati che si sta chiudendo Fabric alla rete Internet pubblica. Di conseguenza, esistono molte considerazioni e limitazioni da tenere in considerazione.

Contenuto correlato