Delen via

Gegevens beveiligen met fabric, compute-engines en OneLake

  • Artikel

Fabric biedt een beveiligingsmodel met meerdere lagen dat zowel eenvoud als flexibiliteit biedt bij het beheren van gegevenstoegang. Beveiliging kan worden ingesteld voor een hele werkruimte, voor afzonderlijke items of via gedetailleerde machtigingen in elke Fabric-engine.

Met gedetailleerde enginemachtigingen kan gedetailleerd toegangsbeheer worden gedefinieerd, zoals tabel-, kolom- en rijniveaubeveiliging. Deze gedetailleerde machtigingen zijn van toepassing op query's die op die engine worden uitgevoerd. Verschillende engines ondersteunen verschillende soorten gedetailleerde beveiliging, zodat elke engine specifiek kan worden afgestemd op de doelgebruikers.

Diagram met verschillende beveiligingslagen in Fabric, Compute Engines en OneLake.

Infrastructuurgegevensbeveiliging

Infrastructuur beheert de toegang tot gegevens met behulp van werkruimten en items. In werkruimten worden gegevens weergegeven in de vorm van Fabric-items en kunnen gebruikers geen gegevens in de items weergeven of gebruiken, tenzij u hen toegang geeft tot de werkruimte.

Werkruimtemachtigingen verlenen toegang tot alle items in de werkruimte. Met machtigingen voor infrastructuuritems kunt u daarentegen toegang verlenen tot specifieke items, zoals lakehouses, magazijnen of rapporten. Beheer s kunnen bepalen met welk fabric-item de gebruiker kan communiceren. Zo kunt u bijvoorbeeld de toegang tot gegevens beperken via Een SQL-eindpunt van Analytics, terwijl u toegang krijgt tot dezelfde gegevens via Lakehouse of via de OneLake-API rechtstreeks.

Meer informatie over het beheren van gegevenstoegang met behulp van machtigingen voor infrastructuurwerkruimte en item in Beveiliging in Microsoft.

Enginespecifieke gegevensbeveiliging

Veel Fabric-engines maken fijnmazige toegangsbeheer mogelijk, zoals tabel-, kolom- en rijniveaubeveiliging. Sommige rekenengines in Fabric hebben hun eigen beveiligingsmodellen. Met Fabric Warehouse kunnen gebruikers bijvoorbeeld toegang definiëren met behulp van T-SQL-instructies. Berekeningsspecifieke beveiliging wordt altijd afgedwongen wanneer u toegang hebt tot gegevens met behulp van die engine. De beveiliging van de berekeningsengine is mogelijk niet van toepassing op gebruikers in bepaalde Fabric-rollen wanneer ze rechtstreeks toegang hebben tot OneLake.

Meer informatie over enginespecifieke gedetailleerde gegevensbeveiliging:

Rollen voor OneLake-gegevenstoegang (preview)

Met OneLake-rollen voor gegevenstoegang (preview) kunnen gebruikers aangepaste rollen in een lakehouse maken en alleen leesmachtigingen verlenen aan de opgegeven mappen wanneer ze OneLake openen. Voor elke OneLake-rol kunnen gebruikers gebruikers, beveiligingsgroepen toewijzen of een automatische toewijzing verlenen op basis van de werkruimterol.

Diagram van de structuur van een data lake die verbinding maakt met afzonderlijke beveiligde containers.

Meer informatie over OneLake Data Access Control Model en Aan de slag met Data Access.

Snelkoppelingsbeveiliging

Snelkoppelingen in Microsoft Fabric maken vereenvoudigd gegevensbeheer mogelijk. De beveiliging van OneLake-mappen is van toepassing op OneLake-snelkoppelingen op basis van rollen die zijn gedefinieerd in het lakehouse waarin de gegevens worden opgeslagen.

Zie het OneLake-toegangsbeheermodel voor meer informatie over de beveiligingsoverwegingen van snelkoppelingen. Meer informatie over snelkoppelingen vindt u hier..

Verificatie

OneLake maakt gebruik van Microsoft Entra ID voor verificatie; u kunt deze gebruiken om machtigingen te verlenen aan gebruikersidentiteiten en service-principals. In OneLake wordt de gebruikersidentiteit automatisch geëxtraheerd uit hulpprogramma's, die gebruikmaken van Microsoft Entra-verificatie en deze toewijzen aan de machtigingen die u hebt ingesteld in de Fabric-portal.

Notitie

Als u service-principals in een Fabric-tenant wilt gebruiken, moet een tenantbeheerder Service Principal Names (SPN's) inschakelen voor de hele tenant of specifieke beveiligingsgroepen. Meer informatie over het inschakelen van service-principals in Developer Instellingen van Tenant Beheer Portal

Data-at-rest

Gegevens die zijn opgeslagen in OneLake, worden standaard versleuteld met behulp van door Microsoft beheerde sleutel. Door Microsoft beheerde sleutels worden op de juiste wijze geroteerd. Gegevens in OneLake worden transparant versleuteld en ontsleuteld en zijn compatibel met FIPS 140-2.

Versleuteling in rust met behulp van door de klant beheerde sleutel wordt momenteel niet ondersteund. U kunt een aanvraag indienen voor deze functie op Microsoft Fabric Ideas.

Actieve gegevens

Gegevens die worden verzonden via het openbare internet tussen Microsoft-services worden altijd versleuteld met ten minste TLS 1.2. Fabric onderhandelt waar mogelijk over TLS 1.3. Verkeer tussen Microsoft-services routeert altijd via het wereldwijde Microsoft-netwerk.

Binnenkomende OneLake-communicatie dwingt ook TLS 1.2 af en onderhandelt waar mogelijk met TLS 1.3. Uitgaande infrastructuurcommunicatie naar infrastructuur die eigendom is van de klant geeft de voorkeur aan beveiligde protocollen, maar kan terugvallen op oudere, onveilige protocollen (inclusief TLS 1.0) wanneer nieuwere protocollen niet worden ondersteund.

Fabric biedt momenteel geen ondersteuning voor private link-toegang tot OneLake-gegevens via niet-Fabric-producten en Spark.

Toestaan dat apps die buiten Fabric worden uitgevoerd, toegang krijgen tot gegevens via OneLake

Met OneLake kunt u de toegang tot gegevens beperken van toepassingen die buiten Fabric-omgevingen worden uitgevoerd. Beheer s kunnen de instelling vinden in de OneLake-sectie van tenant Beheer Portal. Wanneer u deze schakeloptie inschakelt, hebben gebruikers toegang tot gegevens via alle bronnen. Wanneer u de schakelaar UITSCHAKELT, hebben gebruikers geen toegang tot gegevens via toepassingen die buiten fabric-omgevingen worden uitgevoerd. Gebruikers hebben bijvoorbeeld toegang tot gegevens via toepassingen zoals Azure Databricks, aangepaste toepassingen met behulp van ADLS-API's (Azure Data Lake Storage) of OneLake-bestandenverkenner.

Gerelateerde inhoud