Nozioni fondamentali sulla sicurezza di Microsoft Fabric
Questo articolo presenta una prospettiva generale dell'architettura di sicurezza di Microsoft Fabric descrivendo il funzionamento dei principali flussi di sicurezza nel sistema. Descrive anche come gli utenti eseguono l'autenticazione con Fabric, come vengono stabilite le connessioni dati e come Fabric archivia e sposta i dati attraverso il servizio.
L'articolo è destinato principalmente agli amministratori dell'infrastruttura, responsabili della supervisione di Fabric nell'organizzazione. È anche rilevante per gli stakeholder della sicurezza aziendale, inclusi amministratori di sicurezza, amministratori di rete, amministratori di Azure, amministratori dell'area di lavoro e amministratori di database.
Piattaforma infrastruttura
Microsoft Fabric è una soluzione di analisi all-in-one per le aziende che copre tutto ciò che va dallo spostamento dei dati alla data science, all'analisi in tempo reale e alla business intelligence (BI). La piattaforma Fabric comprende una serie di servizi e componenti dell'infrastruttura che supportano le funzionalità comuni per tutte le esperienze di Fabric. Collettivamente, offrono un set completo di esperienze di analisi progettate per lavorare insieme senza problemi. Le esperienze includono Lakehouse, Data Factory, Synapse Ingegneria dei dati, Synapse Data Warehouse, Power BI e altri.
Con Fabric non è necessario unire servizi diversi da più fornitori. È invece possibile trarre vantaggio da un prodotto end-to-end altamente integrato e facile da usare progettato per semplificare le esigenze di analisi. L'infrastruttura è stata progettata fin dall'inizio per proteggere gli asset sensibili.
La piattaforma Fabric si basa su una base di software as a service (SaaS), che offre affidabilità, semplicità e scalabilità. Si basa su Azure, che è la piattaforma di cloud computing pubblico di Microsoft. Tradizionalmente, molti prodotti dati sono stati piattaforma distribuita come servizio (PaaS), che richiedono un amministratore del servizio per configurare sicurezza, conformità e governance per ogni servizio. Poiché Fabric è un servizio SaaS, molte di queste funzionalità sono integrate nella piattaforma SaaS e non richiedono alcuna configurazione o configurazione minima.
Diagramma dell'architettura
Il diagramma dell'architettura seguente mostra una rappresentazione generale dell'architettura di sicurezza dell'infrastruttura.
Il diagramma dell'architettura illustra i concetti seguenti.
Un utente usa un browser o un'applicazione client, ad esempio Power BI Desktop, per connettersi al servizio Fabric.
L'autenticazione viene gestita da Microsoft Entra ID, precedentemente noto come Azure Active Directory, ovvero il servizio di gestione delle identità e degli accessi basato sul cloud che autentica l'utente o l'entità servizio e gestisce l'accesso a Fabric.
Il front-end Web riceve le richieste utente e facilita l'accesso. Instrada anche le richieste e fornisce contenuto front-end all'utente.
La piattaforma di metadati archivia i metadati del tenant, che possono includere i dati dei clienti. I servizi di Infrastruttura eseguono query su richiesta in questa piattaforma per recuperare le informazioni di autorizzazione e per autorizzare e convalidare le richieste degli utenti. Si trova nell'area principale del tenant.
La piattaforma di capacità back-end è responsabile delle operazioni di calcolo e dell'archiviazione dei dati dei clienti e si trova nell'area della capacità. Sfrutta i servizi di base di Azure in tale area in base alle esigenze per esperienze specifiche dell'infrastruttura.
I servizi di infrastruttura della piattaforma Infrastruttura sono multi-tenant. Esiste un isolamento logico tra i tenant. Questi servizi non elaborano input utente complesso e sono tutti scritti nel codice gestito. I servizi della piattaforma non eseguono mai codice scritto dall'utente.
La piattaforma di metadati e la piattaforma di capacità back-end vengono eseguite in reti virtuali protette. Queste reti espongono una serie di endpoint sicuri a Internet in modo che possano ricevere richieste da clienti e altri servizi. Oltre a questi endpoint, i servizi sono protetti da regole di sicurezza di rete che bloccano l'accesso da Internet pubblico. La comunicazione all'interno delle reti virtuali è limitata anche in base al privilegio di ogni servizio interno.
Il livello dell'applicazione garantisce che i tenant siano in grado di accedere solo ai dati dall'interno del proprio tenant.
Autenticazione
Fabric si basa sull'ID Microsoft Entra per autenticare gli utenti (o le entità servizio). In caso di autenticazione, gli utenti ricevono token di accesso dall'ID Microsoft Entra. Fabric usa questi token per eseguire operazioni nel contesto dell'utente.
Una funzionalità chiave di Microsoft Entra ID è l'accesso condizionale. L'accesso condizionale garantisce che i tenant siano sicuri applicando l'autenticazione a più fattori, consentendo solo ai dispositivi registrati da Microsoft Intune di accedere a servizi specifici. L'accesso condizionale limita anche le posizioni degli utenti e gli intervalli IP.
Autorizzazione
Tutte le autorizzazioni di Fabric vengono archiviate centralmente dalla piattaforma di metadati. I servizi di Infrastruttura eseguono query sulla piattaforma di metadati su richiesta per recuperare le informazioni di autorizzazione e per autorizzare e convalidare le richieste degli utenti.
Per motivi di prestazioni, Fabric incapsula talvolta le informazioni di autorizzazione nei token firmati. I token firmati vengono emessi solo dalla piattaforma di capacità back-end e includono il token di accesso, le informazioni di autorizzazione e altri metadati.
Residenza dei dati
In Fabric un tenant viene assegnato a un cluster della piattaforma di metadati home, che si trova in una singola area che soddisfa i requisiti di residenza dei dati dell'area geografica di tale area. I metadati del tenant, che possono includere i dati dei clienti, vengono archiviati in questo cluster.
I clienti possono controllare dove si trovano le loro aree di lavoro. Possono scegliere di individuare le aree di lavoro nella stessa area geografica del cluster della piattaforma di metadati, assegnando in modo esplicito le proprie aree di lavoro alle capacità in tale area o in modo implicito usando la versione di valutazione dell'infrastruttura, Power BI Pro o la modalità di licenza Power BI Premium per utente. In quest'ultimo caso, tutti i dati dei clienti vengono archiviati ed elaborati in questa singola area geografica. Per altre informazioni, vedere Concetti e licenze di Microsoft Fabric.
I clienti possono anche creare capacità multi-geografiche situate in aree geografiche diverse dalla propria area geografica. In questo caso, le risorse di calcolo e archiviazione (incluso OneLake e l'archiviazione specifica dell'esperienza) si trovano nell'area geografica multi-geografica, ma i metadati del tenant rimangono nell'area principale. I dati dei clienti verranno archiviati ed elaborati solo in queste due aree geografiche. Per altre informazioni, vedere Configurare il supporto multi-geografico per Fabric.
Trattamento dei dati
Questa sezione offre una panoramica del funzionamento della gestione dei dati in Fabric. Descrive l'archiviazione, l'elaborazione e lo spostamento dei dati dei clienti.
Dati inattivi
Tutti gli archivi dati di Fabric vengono crittografati inattivi usando chiavi gestite da Microsoft. I dati dell'infrastruttura includono i dati dei clienti e i dati di sistema e i metadati.
Anche se i dati possono essere elaborati in memoria in uno stato non crittografato, non vengono mai salvati in modo permanente nell'archiviazione permanente mentre sono in uno stato non crittografato.
Dati in transito
I dati in transito attraverso internet pubblico tra servizi Microsoft vengono sempre crittografati con almeno TLS 1.2. Infrastruttura negozia tls 1.3 ogni volta che possibile. Il traffico tra servizi Microsoft instrada sempre attraverso la rete globale Microsoft.
La comunicazione di Infrastruttura in ingresso applica anche TLS 1.2 e negozia a TLS 1.3, quando possibile. La comunicazione dell'infrastruttura in uscita all'infrastruttura di proprietà del cliente preferisce protocolli sicuri, ma potrebbe eseguire il fallback a protocolli meno recenti e non sicuri (incluso TLS 1.0) quando i protocolli più recenti non sono supportati.
Telemetria
I dati di telemetria vengono usati per mantenere le prestazioni e l'affidabilità della piattaforma Fabric. L'archivio di telemetria della piattaforma Fabric è progettato per essere conforme ai dati e alle normative sulla privacy per i clienti in tutte le aree in cui è disponibile Fabric, inclusa l'Unione europea (UE). Per altre informazioni, vedere Servizi limite dati UE.
OneLake
OneLake è un singolo data lake unificato e logico per l'intera organizzazione ed è automaticamente sottoposto a provisioning per ogni tenant di Fabric. Si basa su Azure e può archiviare qualsiasi tipo di file, strutturato o non strutturato. Inoltre, tutti gli articoli fabric, come magazzini e lakehouse, archiviano automaticamente i dati in OneLake.
OneLake supporta le stesse API e SDK di Azure Data Lake Archiviazione Gen2 (ADLS Gen2), pertanto è compatibile con le applicazioni ADLS Gen2 esistenti, incluso Azure Databricks.
Per altre informazioni, vedere Infrastruttura e sicurezza di OneLake.
Sicurezza dell'area di lavoro
Le aree di lavoro rappresentano il limite di sicurezza principale per i dati archiviati in OneLake. Ogni area di lavoro rappresenta un singolo dominio o area di progetto in cui i team possono collaborare ai dati. La sicurezza nell'area di lavoro viene gestita assegnando gli utenti ai ruoli dell'area di lavoro.
Per altre informazioni, vedere Infrastruttura e sicurezza di OneLake (sicurezza dell'area di lavoro).
Sicurezza degli elementi
All'interno di un'area di lavoro è possibile assegnare le autorizzazioni direttamente agli articoli di Fabric, ad esempio magazzini e lakehouse. La sicurezza degli elementi offre la flessibilità necessaria per concedere l'accesso a un singolo elemento fabric senza concedere l'accesso all'intera area di lavoro. Gli utenti possono configurare le autorizzazioni per elemento condividendo un elemento o gestendo le autorizzazioni di un elemento.
Risorse di conformità
Il servizio Fabric è disciplinato dalle Condizioni per i Servizi online Microsoft e dall'Informativa sulla privacy di Microsoft Enterprise.
Per la posizione dell'elaborazione dei dati, fare riferimento alla posizione delle condizioni per il trattamento dei dati nelle Condizioni per i Servizi online Microsoft e all'addendum per la protezione dei dati.
Per informazioni sulla conformità, il Centro protezione Microsoft è la risorsa primaria per Fabric. Per altre informazioni sulla conformità, vedere Offerte di conformità Microsoft.
Il servizio Fabric segue il ciclo di vita dello sviluppo della sicurezza (SDL), costituito da un set di procedure di sicurezza rigorose che supportano i requisiti di sicurezza e conformità. SDL consente agli sviluppatori di creare software più sicuro riducendo il numero e la gravità delle vulnerabilità nel software, riducendo al contempo i costi di sviluppo. Per altre informazioni, vedere Microsoft Security Development Lifecycle Practices.For more information, see Microsoft Security Development Lifecycle Practices.
Contenuto correlato
Per altre informazioni sulla sicurezza dell'infrastruttura, vedere le risorse seguenti.
- Sicurezza in Microsoft Fabric
- Infrastruttura e sicurezza di OneLake
- Licenze di Microsoft Fabric
- Domande? Provare a chiedere alla community di Fabric.
- inviare suggerimenti, Contribuire alle idee per migliorare l'infrastruttura.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per