Gegevens beveiligen met fabric, compute-engines en OneLake
Fabric biedt een beveiligingsmodel met meerdere lagen voor het beheren van gegevenstoegang. Beveiliging kan worden ingesteld voor een hele werkruimte, voor afzonderlijke items of via gedetailleerde machtigingen in elke Fabric-engine. OneLake heeft zijn eigen beveiligingsoverwegingen die in dit document worden beschreven.
Rollen voor OneLake-gegevenstoegang (preview)
Met OneLake-rollen voor gegevenstoegang (preview) kunnen gebruikers aangepaste rollen in een lakehouse maken en alleen leesmachtigingen verlenen aan de opgegeven mappen wanneer ze OneLake openen. Voor elke OneLake-rol kunnen gebruikers gebruikers, beveiligingsgroepen toewijzen of een automatische toewijzing verlenen op basis van de werkruimterol.
Meer informatie over OneLake Data Access Control Model en Aan de slag met Data Access.
Snelkoppelingsbeveiliging
Snelkoppelingen in Microsoft Fabric maken vereenvoudigd gegevensbeheer mogelijk. De beveiliging van OneLake-mappen is van toepassing op OneLake-snelkoppelingen op basis van rollen die zijn gedefinieerd in het lakehouse waarin de gegevens worden opgeslagen.
Zie het OneLake-toegangsbeheermodel voor meer informatie over de beveiligingsoverwegingen van snelkoppelingen. Meer informatie over snelkoppelingen vindt u hier..
Verificatie
OneLake maakt gebruik van Microsoft Entra ID voor verificatie; u kunt deze gebruiken om machtigingen te verlenen aan gebruikersidentiteiten en service-principals. In OneLake wordt de gebruikersidentiteit automatisch geëxtraheerd uit hulpprogramma's, die gebruikmaken van Microsoft Entra-verificatie en deze toewijzen aan de machtigingen die u hebt ingesteld in de Fabric-portal.
Notitie
Als u service-principals in een Fabric-tenant wilt gebruiken, moet een tenantbeheerder Service Principal Names (SPN's) inschakelen voor de hele tenant of specifieke beveiligingsgroepen. Meer informatie over het inschakelen van service-principals in de instellingen voor ontwikkelaars van de tenantbeheerportal
Data-at-rest
Gegevens die zijn opgeslagen in OneLake, worden standaard versleuteld met behulp van door Microsoft beheerde sleutel. Door Microsoft beheerde sleutels worden op de juiste wijze geroteerd. Gegevens in OneLake worden transparant versleuteld en ontsleuteld en zijn compatibel met FIPS 140-2.
Versleuteling in rust met behulp van door de klant beheerde sleutel wordt momenteel niet ondersteund. U kunt een aanvraag indienen voor deze functie op Microsoft Fabric Ideas.
Actieve gegevens
Gegevens die worden verzonden via het openbare internet tussen Microsoft-services worden altijd versleuteld met ten minste TLS 1.2. Fabric onderhandelt waar mogelijk over TLS 1.3. Verkeer tussen Microsoft-services routeert altijd via het wereldwijde Microsoft-netwerk.
Binnenkomende OneLake-communicatie dwingt ook TLS 1.2 af en onderhandelt waar mogelijk met TLS 1.3. Uitgaande infrastructuurcommunicatie naar infrastructuur die eigendom is van de klant geeft de voorkeur aan beveiligde protocollen, maar kan terugvallen op oudere, onveilige protocollen (inclusief TLS 1.0) wanneer nieuwere protocollen niet worden ondersteund.
Privékoppelingen
Fabric biedt momenteel geen ondersteuning voor private link-toegang tot OneLake-gegevens via niet-Fabric-producten en Apache Spark.
Toestaan dat apps die buiten Fabric worden uitgevoerd, toegang krijgen tot gegevens via OneLake
Met OneLake kunt u de toegang tot gegevens beperken van toepassingen die buiten Fabric-omgevingen worden uitgevoerd. Beheerders kunnen de instelling vinden in de sectie OneLake van de tenantbeheerportal. Wanneer u deze schakeloptie inschakelt, hebben gebruikers toegang tot gegevens via alle bronnen. Wanneer u de schakelaar UITSCHAKELT, hebben gebruikers geen toegang tot gegevens via toepassingen die buiten fabric-omgevingen worden uitgevoerd. Gebruikers hebben bijvoorbeeld toegang tot gegevens via toepassingen met behulp van ADLS-API's (Azure Data Lake Storage) of OneLake-bestandenverkenner.