Ескертпе
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Жүйеге кіруді немесе каталогтарды өзгертуді байқап көруге болады.
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Каталогтарды өзгертуді байқап көруге болады.
Microsoft Fabric — это программное обеспечение как услуга (SaaS), которая позволяет пользователям получать, создавать, предоставлять общий доступ и визуализировать данные.
В качестве службы SaaS Fabric предлагает полный пакет безопасности для всей платформы. Фабрика снимает с вас затраты и ответственность за обслуживание вашего решения для обеспечения безопасности и переносит это в облако. С помощью Fabric вы можете использовать опыт и ресурсы Корпорации Майкрософт для обеспечения безопасности данных, уязвимостей исправлений, мониторинга угроз и соблюдения нормативных требований. Структура также позволяет управлять, контролировать и проверять параметры безопасности в соответствии с меняющимися нуждами и требованиями.
При переносе данных в облако и их использовании с различными аналитическими функциями, такими как Power BI, Фабрика данных и следующее поколение Synapse, корпорация Майкрософт гарантирует, что встроенные функции безопасности и надежности обеспечивают защиту неактивных и передаваемых данных. Корпорация Майкрософт также гарантирует, что ваши данные можно восстановить в случаях сбоев инфраструктуры или аварий.
Безопасность структуры:
Always on — каждое взаимодействие с Fabric шифруется по умолчанию и проходит проверку подлинности с помощью идентификатора Microsoft Entra. Все взаимодействие между Fabric-опытами проходит через магистральную сеть Microsoft. Неактивные данные автоматически хранятся в зашифрованном виде. Чтобы регулировать доступ к Fabric, можно добавить дополнительные функции безопасности, такие как Приватные ссылки или Entra Conditional Access. Структура также может подключаться к данным, защищенным брандмауэром или частной сетью, с помощью доверенного доступа.
Соответствие стандартам – Fabric имеет встроенный суверенитет данных с возможностями для работы в нескольких географических зонах. Fabric также поддерживает широкий спектр стандартов соответствия.
Говернэйбл — Структура поставляется с набором средств управления, таких как прослеживание происхождения данных, метки защиты информации, предотвращение потери данных и интеграция средств Purview.
Можно настроить безопасность Fabric в соответствии с политиками организации.
Развитие — Корпорация Майкрософт постоянно улучшает безопасность Fabric, добавляя новые функции и элементы управления.
Аутентификация
Microsoft Fabric — это платформа SaaS, как и многие другие службы Майкрософт, такие как Azure, Microsoft Office, OneDrive и Dynamics. Все эти службы Microsoft SaaS, включая Fabric, используют идентификатор Microsoft Entra в качестве поставщика облачных удостоверений. Идентификатор Microsoft Entra помогает пользователям быстро и легко подключаться к этим службам с любого устройства и любой сети. Каждый запрос на подключение к Fabric проходит проверку подлинности с помощью идентификатора Microsoft Entra, позволяя пользователям безопасно подключаться к Fabric из корпоративного офиса, при работе дома или из удаленного расположения.
понимать сетевую безопасность;
Fabric — это служба SaaS, которая выполняется в облаке Майкрософт. Некоторые сценарии включают подключение к данным, которые находятся за пределами платформы Fabric. Например, просмотр отчета из собственной сети или подключение к данным, которые находится в другой службе. Взаимодействия в Fabric используют внутреннюю сеть Microsoft, а трафик за пределами службы защищен по умолчанию. Дополнительные сведения и подробное описание см. в разделе "Данные во время передачи".
Безопасность входящего сетевого трафика
Вашей организации может потребоваться ограничить и защитить сетевой трафик, поступающий в Fabric на основе требований вашей компании. С помощью Microsoft Entra ID Conditional Access и Private Links, можно выбрать подходящее решение для вашей организации.
Условный доступ идентификатора Microsoft Entra
Идентификатор Microsoft Entra предоставляет Fabric условный доступ , который позволяет защитить доступ к Fabric на каждом подключении. Ниже приведены несколько примеров ограничений доступа, которые можно применить с помощью условного доступа.
Определите список IP-адресов для входящего подключения к Fabric.
Используйте многофакторную проверку подлинности (MFA).
Ограничить трафик на основе параметров, таких как страна или регион источника или тип устройства.
Сведения о настройке условного доступа см. в статье "Условный доступ" в Fabric.
Дополнительные сведения о проверке подлинности в Fabric см. в разделе "Основы безопасности Microsoft Fabric".
Приватные каналы
Приватные каналы обеспечивают безопасное подключение к Fabric, ограничивая доступ к клиенту Fabric из виртуальной сети Azure и блокируя весь общедоступный доступ. Это гарантирует, что только сетевой трафик из этой виртуальной сети разрешен для доступа к функциям Fabric, таким как записные книжки, Lakehouses, хранилища данных и базы данных в клиенте.
Чтобы настроить приватные ссылки в Fabric, см. статью «Настройка и использование приватных ссылок».
Безопасность исходящей сети
Fabric имеет набор средств, позволяющих подключаться к внешним источникам данных и безопасно переносить эти данные в Fabric. В этом разделе перечислены различные способы импорта и подключения к данным из безопасной сети в структуру.
Доступ к доверенной рабочей области
С помощью Fabric можно безопасно получить доступ к учетным записям Azure Data Lake 2-го поколения. Рабочие пространства Fabric с идентификацией могут безопасно подключаться к учетным записям Azure Data Lake 2-го поколения, имеющим доступ к публичной сети, из выбранных виртуальных сетей и IP-адресов. Вы можете ограничить доступ ADLS 2-го поколения к определенным рабочим областям Fabric. Дополнительные сведения см. в разделе "Доверенный доступ к рабочей области".
Примечание.
Удостоверения рабочей области Fabric можно создавать только в рабочих областях, связанных с емкостью SKU Fabric F. Сведения о покупке подписки Fabric см. в статье "Приобретение подписки Microsoft Fabric".
Управляемые частные конечные точки
Управляемые частные конечные точки позволяют безопасно подключаться к источникам данных, таким как базы данных SQL Azure, не предоставляя их общедоступной сети или требуя сложных конфигураций сети.
Управляемые виртуальные сети
Управляемые виртуальные сети — это виртуальные сети , созданные и управляемые Microsoft Fabric для каждой рабочей области Fabric. Управляемые виртуальные сети обеспечивают изоляцию сети для рабочих нагрузок Fabric Spark, то есть вычислительные кластеры развертываются в выделенной сети и больше не являются частью общей виртуальной сети.
Управляемые виртуальные сети также обеспечивают функции безопасности сети, такие как управляемые частные конечные точки, а также поддержку приватного канала для элементов инжиниринга данных и науки о данных в Microsoft Fabric, использующих Apache Spark.
Шлюз данных
Чтобы подключиться к локальным источникам данных или источнику данных, которые могут быть защищены брандмауэром или виртуальной сетью, можно использовать один из следующих вариантов:
Шлюз для локальных данных — шлюз выступает в качестве моста между вашими локальными источниками данных и Fabric. Шлюз устанавливается на сервере в сети и позволяет Fabric подключаться к источникам данных через безопасный канал без необходимости открывать порты или вносить изменения в сеть.
Шлюз данных виртуальной сети — шлюз виртуальной сети позволяет подключаться из служб Microsoft Cloud к службам данных Azure в виртуальной сети без необходимости локального шлюза данных.
Подключение к OneLake из существующей службы
Вы можете подключиться к Fabric с помощью существующей службы Платформы Azure как службы (PaaS). Для Synapse и Фабрика данных Azure (ADF) можно использовать среду выполнения интеграции Azure (IR) или Фабрика данных Azure управляемую виртуальную сеть. Вы также можете подключиться к этим службам и другим службам, таким как потоки данных для сопоставления, кластеры Synapse Spark, кластеры Databricks Spark и Azure HDInsight с помощью API OneLake.
Теги службы Azure
Используйте Service Tags для приема данных без использования шлюзов данных из источников данных, развернутых в виртуальной сети Azure, таких как виртуальные машины SQL Azure (VM), управляемый экземпляр SQL Azure (MI) и REST API. Теги служб также можно использовать для получения трафика из виртуальной сети или брандмауэра Azure. Например, теги служб могут разрешать исходящий трафик к Fabric, чтобы пользователь на виртуальной машине мог подключаться к строкам подключения Fabric SQL из SSMS, при этом блокируя доступ к другим общедоступным интернет-ресурсам.
Списки разрешенных IP-адресов
Если у вас есть данные, которые не находятся в Azure, вы можете включить список разрешенных IP-адресов в сети вашей организации, чтобы разрешить передачу трафика в и из Fabric. Список разрешенных IP-адресов полезен, если необходимо получить данные из источников данных, которые не поддерживают служебные теги, например из источников данных, находящихся на вашем местоположении. С помощью этих сочетаний клавиш вы можете получить данные без копирования в OneLake с помощью конечной точки аналитики SQL Lakehouse или Direct Lake.
Список IP-адресов Fabric можно получить из тегов служб в локальной среде. Список доступен в виде JSON-файла или программно с помощью REST API, PowerShell и интерфейс командной строки Azure (CLI).
Обеспечение безопасности данных
В Fabric все данные, хранящиеся в OneLake, шифруются в состоянии покоя. Все данные в состоянии покоя хранятся в вашем домашнем регионе или в одном из ваших хранилищ в удалённом регионе по вашему выбору, чтобы обеспечить соответствие нормативным требованиям по суверенитету данных. Дополнительные сведения см. в разделе "Основы безопасности Microsoft Fabric".
Вы можете использовать ключи, управляемые клиентами для рабочих областей для добавления дополнительного уровня шифрования данных в ваших рабочих областях Fabric. С помощью ключей, управляемых клиентом рабочей области, вы можете использовать ключи Azure Key Vault для шифрования ключа шифрования Майкрософт.
Понять арендаторов в нескольких географических регионах
Многие организации имеют глобальное присутствие и требуют служб в нескольких географических регионах Azure. Например, компания может иметь свою штаб-квартиру в США, выполняя бизнес в других географических районах, таких как Австралия. Чтобы соответствовать местным нормативным требованиям, предприятиям с глобальным присутствием необходимо обеспечить хранение данных в неактивных местах в нескольких регионах. В Fabric это называется мультигео.
Уровень выполнения запросов, кэши запросов и данные элементов, назначенные мультигеографическому рабочему пространству, остаются в географической области Azure, в которой они были созданы. Однако некоторые метаданные и обработка хранятся в состоянии покоя в домашней географии клиента.
Структура является частью более крупной экосистемы Майкрософт. Если ваша организация уже использует другие облачные службы подписки, такие как Azure, Microsoft 365 или Dynamics 365, Fabric работает в том же клиенте Microsoft Entra. Домен организации (например, contoso.com) связан с идентификатором Microsoft Entra. Как и все облачные службы Майкрософт.
Платформа обеспечивает безопасность ваших данных в разных регионах при работе с несколькими арендаторами, имеющими многочисленные возможности в разных географиях.
Логическое разделение данных — платформа Fabric обеспечивает логическую изоляцию между клиентами для защиты данных.
Суверенитет данных. Чтобы начать работу с несколькими географическими данными, ознакомьтесь с разделом "Настройка поддержки нескольких регионов" для Fabric.
Доступ к данным
Структура управляет доступом к данным с помощью рабочих областей. В рабочих областях данные отображаются в виде элементов Fabric, и пользователи не могут просматривать или использовать элементы (данные), если вы не предоставляете им доступ к рабочей области. Дополнительные сведения о разрешениях рабочей области и элемента см. в модели разрешений.
Роли рабочей области
Доступ к рабочей области указан в таблице ниже. Она включает роли рабочей области и безопасность Fabric и OneLake. Пользователи с ролью просмотрщика могут запускать SQL-запросы, запросы выражений для анализа данных (DAX) или многомерных выражений (MDX), но не могут получить доступ к элементам Fabric или запускать записную книжку.
| Роль | Доступ к рабочей области | Доступ к "OneLake" |
|---|---|---|
| Администратор, член и участник | Может использовать все элементы в рабочей области | ✅ |
| Зритель | Может видеть все объекты в рабочей области | ❌ |
Делиться элементами
Вы можете совместно использовать элементы Fabric с пользователями в вашей организации, у которых нет роли в рабочей области. Элементы общего доступа предоставляют ограниченный доступ, позволяя пользователям получать доступ только к общему элементу в рабочей области.
Ограничить доступ
Вы можете ограничить доступ средства просмотра к данным с помощью безопасности на уровне строк (RLS), безопасности на уровне столбцов (CLS) и безопасности на уровне объектов (OLS). С помощью RLS, CLS и OLS можно создать идентификаторы пользователей, имеющие доступ к определённым частям данных, и ограничить результаты SQL, возвращая только то, к чему может получить доступ идентификатор пользователя.
Вы также можете добавить RLS в набор данных DirectLake. Если вы определяете безопасность для SQL и DAX, DirectLake возвращается в DirectQuery для таблиц с RLS в SQL. В таких случаях результаты DAX или MDX ограничены удостоверением пользователя.
Чтобы предоставлять отчеты с помощью набора данных DirectLake с RLS без использования DirectQuery в качестве резервного варианта, используйте прямое использование набора данных или приложения в Power BI. С помощью приложений в Power BI вы можете предоставить доступ к отчетам без доступа к просмотру. Такой доступ означает, что пользователи не могут использовать SQL. Чтобы включить DirectLake для чтения данных, необходимо переключить учетные данные источника данных с «Единый вход (SSO)» на фиксированное удостоверение, имеющее доступ к файлам в хранилище.
Защита данных
Fabric поддерживает метки чувствительности из Защита информации Microsoft Purview. Это метки, такие как общие, конфиденциальные и строго конфиденциальные, которые широко используются в microsoft Приложение Office, таких как Word, PowerPoint и Excel для защиты конфиденциальной информации. В Fabric можно классифицировать элементы, содержащие конфиденциальные данные, с помощью этих же меток конфиденциальности. Метки конфиденциальности затем автоматически сопровождают данные на всем их пути через Fabric, начиная от источника данных и вплоть до бизнес-пользователя. Метка конфиденциальности сохраняется даже при экспорте данных в такие поддерживаемые форматы, как PBIX, Excel, PowerPoint и PDF, обеспечивая, что ваши данные остаются защищенными. Только авторизованные пользователи могут открыть файл. Дополнительные сведения см. в разделе "Управление и соответствие требованиям" в Microsoft Fabric.
Чтобы помочь вам управлять, защищать и управлять данными, можно использовать Microsoft Purview. Microsoft Purview и Fabric совместно позволяют хранить, анализировать и управлять данными из одного расположения, центра Microsoft Purview.
Восстановление данных
Устойчивость данных структуры гарантирует доступность данных в случае аварии. Fabric также позволяет восстановить данные в случае бедствия, восстановление после аварии. Дополнительные сведения см. в разделе "Надежность" в Microsoft Fabric.
Управление системой Fabric
Будучи администратором в Fabric, вы можете управлять возможностями всей организации. Фабрика позволяет делегировать роль администратора ресурсам, рабочим областям и доменам. Делегируя обязанности администратора правильным пользователям, вы можете реализовать модель, которая позволяет нескольким ключевым администраторам управлять общими параметрами Fabric в организации, в то время как другие администраторы отвечают за параметры, связанные с конкретными областями.
С помощью различных средств администраторы также могут отслеживать ключевые аспекты Структуры, такие как потребление емкости.
Журналы аудита
Чтобы просмотреть журналы аудита, следуйте инструкциям в разделе "Отслеживание действий пользователей в Microsoft Fabric". Вы также можете ознакомиться со списком операций, чтобы узнать, какие действия доступны для поиска в журналах аудита.
Возможности
В этом разделе приведен список некоторых функций безопасности, доступных в Microsoft Fabric.
| Возможность | Описание |
|---|---|
| Условный доступ | Защита приложений с помощью идентификатора Microsoft Entra |
| Защищенное хранилище | Управление доступом инженеров Майкрософт к данным |
| Безопасность Fabric и OneLake | Узнайте, как защитить данные в Fabric и OneLake. |
| Устойчивость | Надежность и региональная устойчивость с зонами доступности Azure |
| Теги служб | Разрешить входящие подключения к Управляемому экземпляру Azure SQL (MI) из Microsoft Fabric. |