Sicurezza in Microsoft Fabric
Microsoft Fabric è una piattaforma SaaS (Software as a Service) che consente agli utenti di ottenere, creare, condividere e visualizzare i dati.
Come servizio SaaS, Fabric offre un pacchetto di sicurezza completo per l'intera piattaforma. Fabric rimuove il costo e la responsabilità della gestione della soluzione di sicurezza e lo trasferisce nel cloud. Con Fabric è possibile usare le competenze e le risorse di Microsoft per proteggere i dati, applicare patch alle vulnerabilità, monitorare le minacce e rispettare le normative. Fabric consente anche di gestire, controllare e controllare le impostazioni di sicurezza, in linea con le esigenze e le esigenze mutevoli.
Man mano che i dati vengono portati nel cloud e usati con diverse esperienze analitiche, ad esempio Power BI, Data Factory e la nuova generazione di Synapse, Microsoft garantisce che le funzionalità predefinite di sicurezza e affidabilità proteggono i dati inattivi e in transito. Microsoft assicura inoltre che i dati siano recuperabili in caso di errori o emergenze dell'infrastruttura.
La sicurezza dell'infrastruttura è:
Always On : ogni interazione con Fabric viene crittografata per impostazione predefinita ed autenticata con Microsoft Entra ID. Tutte le comunicazioni tra le esperienze di Fabric passano attraverso la rete Internet backbone Microsoft. I dati inattivi vengono archiviati automaticamente crittografati. Per regolare l'accesso a Fabric, è possibile aggiungere funzionalità di sicurezza aggiuntive, ad esempio le collegamento privato o l'accesso condizionale Entra. Fabric può anche connettersi ai dati protetti da un firewall o da una rete privata usando l'accesso attendibile.
Conforme: Fabric ha la sovranità dei dati predefinita con capacità multi-geo. Fabric supporta anche un'ampia gamma di standard di conformità.
Controllabile: Fabric include un set di strumenti di governance, ad esempio la derivazione dei dati, le etichette di protezione delle informazioni, la prevenzione della perdita dei dati e l'integrazione di purview.
Configurabile : è possibile configurare la sicurezza dell'infrastruttura in base ai criteri dell'organizzazione.
Evoluzione: Microsoft sta migliorando costantemente la sicurezza dell'infrastruttura aggiungendo nuove funzionalità e controlli.
Autentica
Microsoft Fabric è una piattaforma SaaS, come molte altre servizi Microsoft come Azure, Microsoft Office, OneDrive e Dynamics. Tutti questi servizi SaaS Microsoft, tra cui Fabric, usano Microsoft Entra ID come provider di identità basato sul cloud. Microsoft Entra ID consente agli utenti di connettersi a questi servizi in modo rapido e semplice da qualsiasi dispositivo e qualsiasi rete. Ogni richiesta di connessione a Fabric viene autenticata con Microsoft Entra ID, consentendo agli utenti di connettersi in modo sicuro all'infrastruttura dall'ufficio aziendale, quando si lavora a casa o da una posizione remota.
Comprendere la sicurezza delle reti
Fabric è un servizio SaaS eseguito nel cloud Microsoft. Alcuni scenari comportano la connessione ai dati esterni alla piattaforma Fabric. Ad esempio, la visualizzazione di un report dalla propria rete o la connessione ai dati presenti in un altro servizio. Le interazioni all'interno di Fabric usano la rete Microsoft interna e il traffico all'esterno del servizio sono protetti per impostazione predefinita. Per altre informazioni e una descrizione dettagliata, vedere Dati in transito.
Sicurezza di rete in ingresso
L'organizzazione potrebbe voler limitare e proteggere il traffico di rete proveniente da Fabric in base ai requisiti aziendali. Con l'accesso condizionale e gli collegamento privato Microsoft Entra ID, è possibile selezionare la soluzione in ingresso appropriata per l'organizzazione.
Accesso condizionale a Microsoft Entra ID
Microsoft Entra ID fornisce a Fabric l'accesso condizionale che consente di proteggere l'accesso a Fabric in ogni connessione. Ecco alcuni esempi di restrizioni di accesso che è possibile applicare usando l'accesso condizionale.
Definire un elenco di indirizzi IP per la connettività in ingresso a Fabric.
Usare l'autenticazione a più fattori (MFA).
Limitare il traffico in base a parametri come il paese di origine o il tipo di dispositivo.
Per configurare l'accesso condizionale, vedere Accesso condizionale in Infrastruttura.
Per altre informazioni sull'autenticazione in Fabric, vedere Nozioni fondamentali sulla sicurezza di Microsoft Fabric.
Collegamenti privati
I collegamenti privati consentono la connettività sicura a Fabric limitando l'accesso al tenant di Fabric da una rete virtuale di Azure e bloccando l'accesso pubblico. Ciò garantisce che solo il traffico di rete proveniente dalla rete virtuale sia autorizzato ad accedere alle funzionalità di Infrastruttura, ad esempio Notebook, Lakehouse e data warehouse, nel tenant.
Per configurare collegamento privato in Fabric, vedere Configurare e usare collegamenti privati.
Sicurezza di rete in uscita
Fabric include un set di strumenti che consentono di connettersi a origini dati esterne e di inserire tali dati in Fabric in modo sicuro. Questa sezione elenca diversi modi per importare e connettersi ai dati da una rete sicura all'infrastruttura.
Accesso all'area di lavoro attendibile
Con Fabric è possibile accedere in modo sicuro agli account Azure Data Lake Gen 2 abilitati per il firewall. Le aree di lavoro dell'infrastruttura con un'identità dell'area di lavoro possono accedere in modo sicuro agli account di Azure Data Lake Gen 2 con accesso alla rete pubblica abilitata, da reti virtuali e indirizzi IP selezionati. È possibile limitare l'accesso ad ADLS Gen 2 a aree di lavoro di Fabric specifiche. Per altre informazioni, vedere Accesso all'area di lavoro attendibile.
Nota
Le identità dell'area di lavoro dell'infrastruttura possono essere create solo nelle aree di lavoro associate alla capacità di uno SKU F di Infrastruttura. Per informazioni sull'acquisto di una sottoscrizione di Fabric, vedere Acquistare una sottoscrizione di Microsoft Fabric.
Endpoint privati gestiti
Gli endpoint privati gestiti consentono connessioni sicure a origini dati come i database SQL di Azure senza esporli alla rete pubblica o richiedere configurazioni di rete complesse.
Reti virtuali gestite
Le reti virtuali gestite sono reti virtuali create e gestite da Microsoft Fabric per ogni area di lavoro infrastruttura. Le reti virtuali gestite forniscono l'isolamento di rete per i carichi di lavoro Di Fabric Spark, ovvero che i cluster di calcolo vengono distribuiti in una rete dedicata e non fanno più parte della rete virtuale condivisa.
Le reti virtuali gestite abilitano anche funzionalità di sicurezza di rete, ad esempio endpoint privati gestiti e supporto dei collegamenti privati per Ingegneria dei dati e elementi di data science in Microsoft Fabric che usano Apache Spark.
Gateway dati
Per connettersi a origini dati locali o a un'origine dati che potrebbe essere protetta da un firewall o da una rete virtuale, è possibile usare una di queste opzioni:
Gateway dati locale: il gateway funge da ponte tra le origini dati locali e Fabric. Il gateway viene installato in un server all'interno della rete e consente a Fabric di connettersi alle origini dati tramite un canale sicuro senza dover aprire porte o apportare modifiche alla rete.
Gateway dati di rete virtuale : il gateway di rete virtuale consente di connettersi dai servizi Cloud Microsoft ai servizi dati di Azure all'interno di una rete virtuale, senza la necessità di un gateway dati locale.
Connettersi a OneLake da un servizio esistente
È possibile connettersi a Fabric usando il servizio PaaS (Platform as a Service) esistente. Per Synapse e Azure Data Factory (ADF) è possibile usare Azure Integration Runtime (IR) o la rete virtuale gestita di Azure Data Factory. È anche possibile connettersi a questi servizi e ad altri servizi, ad esempio flussi di dati di mapping, cluster Synapse Spark, cluster Databricks Spark e Azure HDInsight usando le API OneLake.
Tag del servizio di Azure
Usare i tag del servizio per inserire dati senza l'uso di gateway dati, da origini dati distribuite in una rete virtuale di Azure, ad esempio AZURE SQL Macchine virtuali (VM), Istanza gestita di SQL di Azure (MI) e API REST. È anche possibile usare i tag del servizio per ottenere il traffico da una rete virtuale o da un firewall di Azure. Ad esempio, i tag di servizio possono consentire il traffico in uscita verso Fabric in modo che un utente in una macchina virtuale possa connettersi alle stringa di connessione SQL di Infrastruttura da SSMS, bloccando l'accesso ad altre risorse Internet pubbliche.
Elenco IP consentiti
Se si dispone di dati che non risiedono in Azure, è possibile abilitare un elenco di indirizzi IP consentiti nella rete dell'organizzazione per consentire il traffico da e verso Fabric. Un elenco di indirizzi IP consentiti è utile se è necessario ottenere dati da origini dati che non supportano tag di servizio, ad esempio origini dati locali. Con questi collegamenti è possibile ottenere dati senza copiarli in OneLake usando un endpoint di analisi SQL Lakehouse o Direct Lake.
È possibile ottenere l'elenco di indirizzi IP dell'infrastruttura dai tag del servizio in locale. L'elenco è disponibile come file JSON o a livello di codice con API REST, PowerShell e interfaccia della riga di comando di Azure (INTERFACCIA della riga di comando).
Proteggere i dati
In Fabric tutti i dati archiviati in OneLake vengono crittografati inattivi. Tutti i dati inattivi vengono archiviati nell'area principale o in una delle capacità disponibili in un'area remota di propria scelta, in modo da poter soddisfare le normative sulla sovranità dei dati inattivi. Per altre informazioni, vedere Nozioni fondamentali sulla sicurezza di Microsoft Fabric.
Informazioni sui tenant in più aree geografiche
Molte organizzazioni hanno una presenza globale e richiedono servizi in più aree geografiche di Azure. Ad esempio, una società può avere la sede centrale nel Stati Uniti, mentre si occupa di attività in altre aree geografiche, ad esempio l'Australia. Per rispettare le normative locali, le aziende con una presenza globale devono garantire che i dati rimangano archiviati inattivi in diverse aree. In Fabric, questa operazione è denominata multi-geo.
Il livello di esecuzione delle query, le cache delle query e i dati degli elementi assegnati a un'area di lavoro multi-geografica rimangono nell'area geografica di Azure della creazione. Tuttavia, alcuni metadati ed elaborazione vengono archiviati inattivi nell'area geografica principale del tenant.
Fabric fa parte di un ecosistema Microsoft più ampio. Se l'organizzazione usa già altri servizi di sottoscrizione cloud, ad esempio Azure, Microsoft 365 o Dynamics 365, Fabric opera nello stesso tenant di Microsoft Entra. Il dominio dell'organizzazione (ad esempio, contoso.com) è associato all'ID Microsoft Entra. Come tutti i servizi cloud Microsoft.
Fabric garantisce che i dati siano protetti tra aree quando si usano diversi tenant con più capacità in diverse aree geografiche.
Separazione logica dei dati: la piattaforma Fabric offre isolamento logico tra i tenant per proteggere i dati.
Sovranità dei dati: per iniziare a usare più aree geografiche , vedere Configurare il supporto multi-geo per Fabric.
Accedere ai dati
Fabric controlla l'accesso ai dati usando le aree di lavoro. Nelle aree di lavoro i dati vengono visualizzati sotto forma di elementi di Infrastruttura e gli utenti non possono visualizzare o usare elementi (dati) a meno che non si concedono loro l'accesso all'area di lavoro. Per altre informazioni sulle autorizzazioni dell'area di lavoro e degli elementi, vedere Modello di autorizzazione.
Ruoli dell'area di lavoro
L'accesso all'area di lavoro è elencato nella tabella seguente. Include ruoli dell'area di lavoro e infrastruttura e sicurezza di OneLake. Gli utenti con un ruolo visualizzatore possono eseguire query SQL, Data Analysis Expressions (DAX) o MDX (Multidimensional Expressions), ma non possono accedere agli elementi di Fabric o eseguire un notebook.
Ruolo | Accesso all'area di lavoro | Accesso a OneLake |
---|---|---|
Amministratore, membro e collaboratore | Può usare tutti gli elementi nell'area di lavoro | ✅ |
Visualizzatore | Può visualizzare tutti gli elementi nell'area di lavoro | ❌ |
Condividere elementi
È possibile condividere gli elementi di Fabric con gli utenti dell'organizzazione che non hanno alcun ruolo dell'area di lavoro. La condivisione degli elementi consente l'accesso limitato, consentendo agli utenti di accedere solo all'elemento condiviso nell'area di lavoro.
Limitare l'accesso
È possibile limitare l'accesso del visualizzatore ai dati usando la sicurezza a livello di riga, la sicurezza a livello di colonna e la sicurezza a livello di oggetto (OLS). Con la sicurezza a livello di riga, CLS e OLS, è possibile creare identità utente che hanno accesso a determinate parti dei dati e limitare i risultati SQL restituendo solo ciò che l'identità dell'utente può accedere.
È anche possibile aggiungere la sicurezza a livello di riga a un set di dati DirectLake. Se si definisce la sicurezza per SQL e DAX, DirectLake esegue il fallback a DirectQuery per le tabelle con sicurezza a livello di riga in SQL. In questi casi, i risultati DAX o MDX sono limitati all'identità dell'utente.
Per esporre i report usando un set di dati DirectLake con sicurezza a livello di riga senza un fallback DirectQuery, usare la condivisione diretta dei set di dati o le app in Power BI. Con le app in Power BI è possibile concedere l'accesso ai report senza accesso al visualizzatore. Questo tipo di accesso significa che gli utenti non possono usare SQL. Per consentire a DirectLake di leggere i dati, è necessario passare le credenziali dell'origine dati da Single Sign On (SSO) a un'identità fissa che abbia accesso ai file nel lake.
Proteggere i dati
Fabric supporta le etichette di riservatezza di Microsoft Purview Information Protection. Queste sono le etichette, ad esempio Generale, Riservato e Riservatezza elevata ampiamente usate in Microsoft app Office come Word, PowerPoint ed Excel per proteggere le informazioni riservate. In Fabric è possibile classificare gli elementi che contengono dati sensibili usando queste stesse etichette di riservatezza. Le etichette di riservatezza seguono quindi i dati automaticamente dall'elemento all'elemento mentre passano attraverso Fabric, fino all'origine dati all'utente aziendale. L'etichetta di riservatezza segue anche quando i dati vengono esportati in formati supportati, ad esempio PBIX, Excel, PowerPoint e PDF, assicurandosi che i dati rimangano protetti. Solo gli utenti autorizzati possono aprire il file. Per altre informazioni, vedere Governance e conformità in Microsoft Fabric.
Per facilitare la governance, la protezione e la gestione dei dati, è possibile usare Microsoft Purview. Microsoft Purview e Fabric interagiscono per archiviare, analizzare e gestire i dati da un'unica posizione, l'hub Microsoft Purview.
Ripristina dati
La resilienza dei dati dell'infrastruttura garantisce che i dati siano disponibili in caso di emergenza. Fabric consente anche di ripristinare i dati in caso di emergenza, ripristino di emergenza. Per altre informazioni, vedere Affidabilità in Microsoft Fabric.
Amministrare Fabric
Gli amministratori di Fabric possono controllare le funzionalità per l'intera organizzazione. Fabric consente la delega del ruolo di amministratore alle capacità, alle aree di lavoro e ai domini. Delegando le responsabilità dell'amministratore alle persone giuste, è possibile implementare un modello che consente a diversi amministratori chiave di controllare le impostazioni generali dell'infrastruttura nell'organizzazione, mentre altri amministratori responsabili delle impostazioni correlate a aree specifiche.
Usando vari strumenti, gli amministratori possono anche monitorare gli aspetti principali dell'infrastruttura, ad esempio il consumo di capacità.
Log di controllo
Per visualizzare i log di controllo, seguire le istruzioni riportate in Tenere traccia delle attività degli utenti in Microsoft Fabric. È anche possibile fare riferimento all'elenco Operazioni per vedere quali attività sono disponibili per la ricerca nei log di controllo.
Funzionalità
Esaminare questa sezione per un elenco di alcune delle funzionalità di sicurezza disponibili in Microsoft Fabric.
Funzionalità | Descrizione |
---|---|
Accesso condizionale | Proteggere le app usando Microsoft Entra ID |
Lockbox | Controllare il modo in cui i tecnici Microsoft accedono ai dati |
Infrastruttura e sicurezza di OneLake | Informazioni su come proteggere i dati in Fabric e OneLake. |
Resilienza | Affidabilità e resilienza a livello di area con zone di disponibilità di Azure |
Tag di servizio | Abilitare un Istanza gestita di SQL di Azure (MI) per consentire le connessioni in ingresso da Microsoft Fabric |