Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Fabric è una piattaforma SaaS (Software as a Service) che consente agli utenti di ottenere, creare, condividere e visualizzare i dati.
Come servizio SaaS, Fabric offre un pacchetto di sicurezza completo per l'intera piattaforma. Fabric rimuove il costo e la responsabilità della gestione della soluzione di sicurezza e lo trasferisce nel cloud. Con Fabric è possibile usare le competenze e le risorse di Microsoft per proteggere i dati, applicare patch alle vulnerabilità, monitorare le minacce e rispettare le normative. Fabric consente anche di gestire, controllare e verificare le impostazioni di sicurezza, in linea con i vostri bisogni e necessità mutevoli.
Man mano che i dati vengono portati nel cloud e usati con diverse esperienze analitiche, ad esempio Power BI, Data Factory e la nuova generazione di Synapse, Microsoft garantisce che le funzionalità predefinite di sicurezza e affidabilità proteggono i dati inattivi e in transito. Microsoft assicura inoltre che i dati siano recuperabili in caso di errori o emergenze dell'infrastruttura.
La sicurezza del tessuto di rete è:
Always On : ogni interazione con Fabric viene crittografata per impostazione predefinita ed autenticata con Microsoft Entra ID. Tutte le comunicazioni tra le esperienze di Fabric passano attraverso la rete Internet backbone Microsoft. I dati inattivi vengono archiviati automaticamente in forma crittografata. Per regolare l'accesso a Fabric, è possibile aggiungere funzionalità di sicurezza aggiuntive, ad esempio collegamenti privati o Accesso condizionale Entra . Fabric può anche connettersi ai dati protetti da un firewall o da una rete privata usando l'accesso attendibile.
Conforme: Fabric ha la sovranità dei dati integrata con capacità geografiche multiple. Fabric supporta anche un'ampia gamma di standard di conformità.
Controllabile : Fabric include un set di strumenti di governance, ad esempio la derivazione dei dati, le etichette di protezione delle informazioni, la prevenzione della perdita dei dati e l'integrazione di purview.
Configurabile : è possibile configurare la sicurezza dell'infrastruttura in base ai criteri dell'organizzazione.
Evoluzione: Microsoft sta migliorando costantemente la sicurezza dell'infrastruttura aggiungendo nuove funzionalità e controlli.
Autenticare
Microsoft Fabric è una piattaforma SaaS, come molti altri servizi Microsoft, ad esempio Azure, Microsoft Office, OneDrive e Dynamics. Tutti questi servizi SaaS Microsoft, tra cui Fabric, usano Microsoft Entra ID come provider di identità basato sul cloud. Microsoft Entra ID consente agli utenti di connettersi a questi servizi in modo rapido e semplice da qualsiasi dispositivo e qualsiasi rete. Ogni richiesta di connessione a Fabric viene autenticata con Microsoft Entra ID, consentendo agli utenti di connettersi in modo sicuro all'infrastruttura dall'ufficio aziendale, quando si lavora a casa o da una posizione remota.
Informazioni sulla sicurezza di rete
Fabric è un servizio SaaS eseguito nel cloud Microsoft. Alcuni scenari comportano la connessione ai dati esterni alla piattaforma Fabric. Ad esempio, la visualizzazione di un report dalla propria rete o la connessione ai dati presenti in un altro servizio. Le interazioni all'interno di Fabric usano la rete Microsoft interna e il traffico all'esterno del servizio sono protetti per impostazione predefinita. Per altre informazioni e una descrizione dettagliata, vedere Dati in transito.
Sicurezza di rete in ingresso
L'organizzazione potrebbe voler limitare e proteggere il traffico di rete proveniente da Fabric in base ai requisiti aziendali. Con l'accesso condizionale e i collegamenti privati di Microsoft Entra ID, è possibile selezionare la soluzione in ingresso appropriata per l'organizzazione .
Accesso condizionale a Microsoft Entra ID
Microsoft Entra ID fornisce a Fabric l'accesso condizionale che consente di proteggere l'accesso a Fabric in ogni connessione. Ecco alcuni esempi di restrizioni di accesso che è possibile applicare usando l'accesso condizionale.
Definire un elenco di indirizzi IP per la connettività in ingresso a Fabric.
Usare l'autenticazione a più fattori (MFA).
Limitare il traffico in base a parametri come il paese/regione di origine o il tipo di dispositivo.
Per configurare l'accesso condizionale, vedere Accesso condizionale in Fabric.
Per altre informazioni sull'autenticazione in Fabric, vedere Nozioni fondamentali sulla sicurezza di Microsoft Fabric.
Collegamenti privati
I collegamenti privati consentono la connettività sicura a Fabric limitando l'accesso al tenant di Fabric da una rete virtuale di Azure e bloccando l'accesso pubblico. Ciò garantisce che solo il traffico di rete proveniente dalla rete virtuale sia autorizzato ad accedere alle funzionalità di Fabric, ad esempio Notebook, Lakehouse, data warehouse e database nel tenant.
Per configurare collegamenti privati in Fabric, vedere Configurare e usare collegamenti privati.
Sicurezza di rete in uscita
Fabric include un set di strumenti che consentono di connettersi a origini dati esterne e di inserire tali dati in Fabric in modo sicuro. Questa sezione elenca diversi modi per importare e connettersi ai dati da una rete sicura all'infrastruttura.
Accesso all'area di lavoro attendibile
Con Fabric è possibile accedere in modo sicuro agli account Azure Data Lake Gen 2 abilitati per il firewall. Gli spazi di lavoro di Fabric che hanno un'identità di workspace possono accedere in modo sicuro agli account di Azure Data Lake Gen 2 con accesso alla rete pubblica abilitato, da reti virtuali e indirizzi IP selezionati. È possibile limitare l'accesso ad ADLS Gen 2 a aree di lavoro di Fabric specifiche. Per altre informazioni, vedere Accesso all'area di lavoro attendibile.
Annotazioni
Le identità dell'area di lavoro di Fabric possono essere create solo nelle aree di lavoro associate a una capacità SKU F di Fabric. Per informazioni sull'acquisto di una sottoscrizione a Fabric, vedere Acquistare una sottoscrizione a Microsoft Fabric.
Gestione degli endpoint privati
Gli endpoint privati gestiti consentono connessioni sicure a origini dati come i database SQL di Azure senza esporli alla rete pubblica o richiedere configurazioni di rete complesse.
Reti virtuali gestite
Reti virtuali gestite sono reti virtuali create e gestite da Microsoft Fabric per ogni area di lavoro Fabric. Le reti virtuali gestite forniscono l'isolamento rete per i carichi di lavoro di Fabric Spark, il che significa che i cluster di elaborazione vengono distribuiti in una rete dedicata e non fanno più parte della rete virtuale condivisa.
Le reti virtuali gestite abilitano anche funzionalità di sicurezza di rete, ad esempio endpoint privati gestiti e supporto dei collegamenti privati per gli elementi di Data Engineering e Data science in Microsoft Fabric che usano Apache Spark.
Gateway di dati
Per connettersi a origini dati locali o a un'origine dati che potrebbe essere protetta da un firewall o da una rete virtuale, è possibile usare una di queste opzioni:
On-premises data gateway – il gateway funge da ponte tra le origini dati locali e Fabric. Il gateway viene installato in un server all'interno della rete e consente a Fabric di connettersi alle origini dati tramite un canale sicuro senza dover aprire porte o apportare modifiche alla rete.
Gateway dati di rete virtuale : il gateway di rete virtuale consente di connettersi dai servizi Cloud Microsoft ai servizi dati di Azure all'interno di una rete virtuale, senza la necessità di un gateway dati locale.
Connettersi a OneLake da un servizio esistente
È possibile connettersi a Fabric usando il servizio PaaS (Platform as a Service) esistente. Per Synapse e Azure Data Factory (ADF) è possibile usare Azure Integration Runtime (IR) o la rete virtuale gestita di Azure Data Factory. È anche possibile connettersi a questi servizi e ad altri servizi, ad esempio flussi di dati di mapping, cluster Synapse Spark, cluster Databricks Spark e Azure HDInsight usando le API OneLake.
Tag del servizio di Azure
Usare i Tag del Servizio per acquisire dati senza l'uso di gateway dati, da origini dati distribuite all'interno di una rete virtuale di Azure, ad esempio Macchine Virtuali (VM) SQL di Azure, Azure SQL Istanza Gestita (MI) e API REST. È anche possibile usare i tag del servizio per ottenere il traffico da una rete virtuale o da un firewall di Azure. Ad esempio, i tag di servizio possono consentire il traffico in uscita verso Fabric in modo che un utente di una macchina virtuale possa connettersi alle stringhe di connessione SQL di Infrastruttura da SSMS, mentre è impedito l'accesso ad altre risorse Internet pubbliche.
Liste di autorizzazione IP
Se si dispone di dati che non risiedono in Azure, è possibile abilitare un elenco di indirizzi IP consentiti nella rete dell'organizzazione per consentire il traffico da e verso Fabric. Un elenco di indirizzi IP consentiti è utile se è necessario ottenere dati da origini dati che non supportano tag di servizio, ad esempio origini dati locali. Con questi collegamenti è possibile ottenere dati senza copiarli in OneLake usando un endpoint di analisi SQL Lakehouse o Direct Lake.
È possibile ottenere l'elenco di indirizzi IP dell'infrastruttura dai tag del servizio in locale. L'elenco è disponibile come file JSON o a livello di codice con API REST, PowerShell e Interfaccia Command-Line di Azure.
Dati Sicuri
In Fabric, tutti i dati archiviati in OneLake vengono crittografati a riposo. Tutti i dati inattivi vengono archiviati nell'area principale o in una delle capacità disponibili in un'area remota di propria scelta, in modo da poter soddisfare le normative sulla sovranità dei dati inattivi. Per altre informazioni, vedere Nozioni fondamentali sulla sicurezza di Microsoft Fabric.
È possibile usare le chiavi gestite dal cliente dell'area di lavoro per aggiungere un altro livello di crittografia ai dati nelle aree di lavoro di Fabric. Con le chiavi gestite dal cliente dell'area di lavoro, è possibile usare le chiavi di Azure Key Vault per crittografare la chiave di crittografia Microsoft.
Informazioni sui tenant in più aree geografiche
Molte organizzazioni hanno una presenza globale e richiedono servizi in più aree geografiche di Azure. Ad esempio, una società può avere la sede centrale negli Stati Uniti, mentre si occupa di attività in altre aree geografiche, ad esempio l'Australia. Per rispettare le normative locali, le aziende con una presenza globale devono garantire che i dati rimangano archiviati inattivi in diverse aree. In Fabric, questa operazione è denominata multi-geo.
Il livello di esecuzione delle query, le cache delle query e i dati degli elementi assegnati a un'area di lavoro multi-geografica rimangono nell'area geografica di Azure della creazione. Tuttavia, alcuni metadati e processi vengono archiviati a riposo nell'area geografica d'origine del tenant.
Fabric fa parte di un ecosistema Microsoft più ampio. Se l'organizzazione usa già altri servizi di sottoscrizione cloud, ad esempio Azure, Microsoft 365 o Dynamics 365, Fabric opera nello stesso tenant di Microsoft Entra. Il dominio dell'organizzazione (ad esempio, contoso.com) è associato all'ID Microsoft Entra. Come tutti i servizi cloud Microsoft.
Fabric garantisce che i dati siano protetti attraverso le regioni quando si lavora con diversi tenant che hanno capacità multiple in numerose aree geografiche.
Separazione logica dei dati : la piattaforma Fabric offre isolamento logico tra i tenant per proteggere i dati.
Sovranità dei dati : per iniziare a usare più aree geografiche, vedere Configurare il supporto multi-geo per Fabric.
Accedere ai dati
Fabric controlla l'accesso ai dati usando le aree di lavoro. I dati nelle aree di lavoro vengono visualizzati sotto forma di elementi di Fabric e gli utenti non possono visualizzare o usare elementi (dati) a meno che non si concede loro l'accesso all'area di lavoro. Per altre informazioni sulle autorizzazioni dell'area di lavoro e degli elementi, vedere Modello di autorizzazione.
Ruoli dell'area di lavoro
L'accesso all'area di lavoro è elencato nella tabella seguente. Include ruoli dell'area di lavoro e sicurezza di Fabric e OneLake. Gli utenti con un ruolo visualizzatore possono eseguire query SQL, Data Analysis Expressions (DAX) o MDX (Multidimensional Expressions), ma non possono accedere agli elementi di Fabric o eseguire un notebook.
| Ruolo | Accesso all'area di lavoro | Accesso a OneLake |
|---|---|---|
| Amministratore, membro e collaboratore | Può usare tutti gli elementi nell'area di lavoro | ✅ |
| Visualizzatore | Può visualizzare tutti gli elementi nell'area di lavoro | ❌ |
Condividere oggetti
È possibile condividere gli elementi di Fabric con gli utenti dell'organizzazione che non hanno alcun ruolo dell'area di lavoro. La condivisione degli elementi consente l'accesso limitato, consentendo agli utenti di accedere solo all'elemento condiviso nell'area di lavoro.
Limitare l'accesso
È possibile limitare l'accesso del visualizzatore ai dati usando la sicurezza a livello di riga, la sicurezza a livello di colonna ela sicurezza a livello di oggetto (OLS). Con RLS (sicurezza a livello di riga), CLS (sicurezza a livello di colonna) e OLS (sicurezza a livello di oggetto), è possibile creare identità utente con accesso a specifiche sezioni dei dati e limitare i risultati SQL, restituendo solo ciò a cui l'identità dell'utente può accedere.
È anche possibile aggiungere la sicurezza a livello di riga a un set di dati DirectLake. Se si definisce la sicurezza sia per SQL che per DAX, DirectLake passa a DirectQuery per le tabelle che hanno la RLS in SQL. In questi casi, i risultati DAX o MDX sono limitati all'identità dell'utente.
Per esporre i report utilizzando un dataset DirectLake con sicurezza a livello di riga senza ricorrere al fallback DirectQuery, usa la condivisione diretta dei dataset o le app in Power BI. Con le app in Power BI è possibile concedere l'accesso ai report senza accesso al visualizzatore. Questo tipo di accesso significa che gli utenti non possono usare SQL. Per consentire a DirectLake di leggere i dati, è necessario passare le credenziali dell'origine dati da Single Sign On (SSO) a un'identità fissa che abbia accesso ai file nel lake.
Proteggi i dati
Fabric supporta le etichette di riservatezza di Microsoft Purview Information Protection. Queste sono le etichette, ad esempio Generale, Riservato e Riservatezza elevata ampiamente usate nelle app di Microsoft Office, ad esempio Word, PowerPoint ed Excel per proteggere le informazioni riservate. In Fabric è possibile classificare gli elementi che contengono dati sensibili usando queste stesse etichette di riservatezza. Le etichette di riservatezza seguono quindi i dati automaticamente dall'elemento all'elemento mentre passano attraverso Fabric, fino all'origine dati all'utente aziendale. L'etichetta di riservatezza segue anche quando i dati vengono esportati in formati supportati, ad esempio PBIX, Excel, PowerPoint e PDF, assicurandosi che i dati rimangano protetti. Solo gli utenti autorizzati possono aprire il file. Per altre informazioni, vedere Governance e conformità in Microsoft Fabric.
Per facilitare la governance, la protezione e la gestione dei dati, è possibile usare Microsoft Purview. Microsoft Purview e Fabric interagiscono per archiviare, analizzare e gestire i dati da un'unica posizione, l'hub Microsoft Purview.
Ripristina dati
La resilienza della rete dati garantisce che i dati siano disponibili in caso di disastro. Fabric consente anche di ripristinare i dati in caso di emergenza, ripristino di emergenza. Per altre informazioni, vedere Affidabilità in Microsoft Fabric.
Amministrare Fabric
Gli amministratori di Fabric possono controllare le funzionalità per l'intera organizzazione. Fabric consente la delega del ruolo di amministratore alle capacità, alle aree di lavoro e ai domini. Delegando le responsabilità amministrative alle persone giuste, è possibile implementare un modello che consente a diversi amministratori principali di controllare le impostazioni generali di Fabric nell'organizzazione, mentre altri amministratori si occupano delle impostazioni relative ad aree specifiche.
Usando vari strumenti, gli amministratori possono anche monitorare gli aspetti principali dell'infrastruttura, ad esempio il consumo di capacità.
Registri di audit
Per visualizzare i log di controllo, seguire le istruzioni riportate in Tenere traccia delle attività degli utenti in Microsoft Fabric. È anche possibile fare riferimento all'elenco Operazioni per vedere quali attività sono disponibili per la ricerca nei log di controllo.
Capacità
Esaminare questa sezione per un elenco di alcune delle funzionalità di sicurezza disponibili in Microsoft Fabric.
| Capacità | Descrizione |
|---|---|
| Accesso condizionale | Proteggere le app usando Microsoft Entra ID |
| Archivio protetto | Controllare il modo in cui i tecnici Microsoft accedono ai dati |
| Fabric e OneLake security | Informazioni su come proteggere i dati in Fabric e OneLake. |
| Resilienza | Affidabilità e resilienza a livello di area con zone di disponibilità di Azure |
| Tag del servizio | Abilitare un'istanza gestita di SQL di Azure per consentire le connessioni in ingresso da Microsoft Fabric |