Podstawy zabezpieczeń usługi Microsoft Fabric

W tym artykule przedstawiono ogólną perspektywę architektury zabezpieczeń usługi Microsoft Fabric, opisując sposób działania głównych przepływów zabezpieczeń w systemie. W tym artykule opisano również sposób uwierzytelniania użytkowników w usłudze Fabric, sposobu nawiązywania połączeń danych oraz sposobu przechowywania i transferowania danych przez usługę Fabric.

Artykuł dotyczy głównie administratorów sieci szkieletowej, którzy są odpowiedzialni za nadzorowanie usługi Fabric w organizacji. Dotyczy to również osób biorących udział w zabezpieczeniach przedsiębiorstwa, w tym administratorów zabezpieczeń, administratorów sieci, administratorów platformy Azure, administratorów obszarów roboczych i administratorów baz danych.

Platforma sieci szkieletowej

Microsoft Fabric to rozwiązanie analityczne typu "wszystko w jednym" dla przedsiębiorstw, które obejmuje wszystko, od przenoszenia danych do nauki o danych, analizy w czasie rzeczywistym i analizy biznesowej (BI). Platforma Sieć szkieletowa obejmuje szereg usług i składników infrastruktury, które obsługują typowe funkcje dla wszystkich środowisk sieci szkieletowej. Łącznie oferują kompleksowy zestaw środowisk analitycznych zaprojektowanych do bezproblemowej współpracy. Środowiska obejmują usługę Lakehouse, Data Factory, usługę Synapse inżynierowie danych ing, usługę Synapse Data Warehouse, usługę Power BI i inne.

W przypadku sieci szkieletowej nie trzeba łączyć różnych usług od wielu dostawców. Zamiast tego korzystasz z wysoce zintegrowanego, kompleksowego i łatwego w użyciu produktu, który został zaprojektowany w celu uproszczenia potrzeb analitycznych. Sieć szkieletowa została zaprojektowana od samego początku w celu ochrony poufnych zasobów.

Platforma Fabric jest oparta na podstawie oprogramowania jako usługi (SaaS), który zapewnia niezawodność, prostotę i skalowalność. Jest ona oparta na platformie Azure, która jest platformą przetwarzania w chmurze publicznej firmy Microsoft. Tradycyjnie wiele produktów danych to platforma jako usługa (PaaS), która wymaga od administratora usługi konfigurowania zabezpieczeń, zgodności i ładu dla każdej usługi. Ponieważ sieć szkieletowa to usługa SaaS, wiele z tych funkcji jest wbudowanych w platformę SaaS i nie wymaga konfiguracji ani minimalnej konfiguracji.

Diagram architektury

Na poniższym diagramie architektonicznym przedstawiono ogólną reprezentację architektury zabezpieczeń sieci szkieletowej.

Diagram architektury przedstawia następujące pojęcia.

1. Użytkownik używa przeglądarki lub aplikacji klienckiej, takiej jak Power BI Desktop, do nawiązywania połączenia z usługą Fabric.

2. Uwierzytelnianie jest obsługiwane przez identyfikator Entra firmy Microsoft, wcześniej znany jako Azure Active Directory, czyli oparta na chmurze usługa zarządzania tożsamościami i dostępem, która uwierzytelnia użytkownika lub jednostkę usługi i zarządza dostępem do sieci szkieletowej.

3. Fronton internetowy odbiera żądania użytkowników i ułatwia logowanie. Kieruje również żądania i udostępnia zawartość frontonu użytkownikowi.

4. Platforma metadanych przechowuje metadane dzierżawy, które mogą obejmować dane klienta. Usługi sieci szkieletowej wysyłają zapytania dotyczące tej platformy na żądanie, aby pobrać informacje o autoryzacji oraz autoryzować i weryfikować żądania użytkowników. Znajduje się on w regionie macierzystym dzierżawy.

5. Platforma pojemności zaplecza jest odpowiedzialna za operacje obliczeniowe i przechowywanie danych klientów oraz znajduje się w regionie pojemności. Korzysta z podstawowych usług platformy Azure w tym regionie w razie potrzeby w przypadku określonych środowisk sieci szkieletowej.

Usługi infrastruktury platformy szkieletowej są wielodostępne. Istnieje logiczna izolacja między dzierżawami. Te usługi nie przetwarzają złożonych danych wejściowych użytkownika i są zapisywane w kodzie zarządzanym. Usługi platformy nigdy nie uruchamiają żadnego kodu napisanego przez użytkownika.

Platforma metadanych i platforma pojemności zaplecza są uruchamiane w zabezpieczonych sieciach wirtualnych. Te sieci uwidaczniają szereg bezpiecznych punktów końcowych w Internecie, dzięki czemu mogą odbierać żądania od klientów i innych usług. Oprócz tych punktów końcowych usługi są chronione przez reguły zabezpieczeń sieci, które blokują dostęp z publicznego Internetu. Komunikacja w sieciach wirtualnych jest również ograniczona na podstawie uprawnień poszczególnych usług wewnętrznych.

Warstwa aplikacji zapewnia, że dzierżawcy będą mogli uzyskiwać dostęp tylko do danych z własnej dzierżawy.

Uwierzytelnianie

Sieć szkieletowa korzysta z identyfikatora Entra firmy Microsoft do uwierzytelniania użytkowników (lub jednostek usługi). Po uwierzytelnieniu użytkownicy otrzymują tokeny dostępu z identyfikatora Entra firmy Microsoft. Sieć szkieletowa używa tych tokenów do wykonywania operacji w kontekście użytkownika.

Kluczową funkcją identyfikatora Entra firmy Microsoft jest dostęp warunkowy. Dostęp warunkowy zapewnia bezpieczeństwo dzierżaw, wymuszając uwierzytelnianie wieloskładnikowe, umożliwiając dostęp do określonych usług tylko zarejestrowanym urządzeniom w usłudze Microsoft Intune . Dostęp warunkowy ogranicza również lokalizacje użytkowników i zakresy adresów IP.

Autoryzacja

Wszystkie uprawnienia sieci szkieletowej są przechowywane centralnie przez platformę metadanych. Usługi sieci szkieletowej wysyłają zapytania dotyczące platformy metadanych na żądanie, aby pobrać informacje o autoryzacji oraz autoryzować i weryfikować żądania użytkowników.

Ze względu na wydajność sieć szkieletowa czasami hermetyzuje informacje o autoryzacji do podpisanych tokenów. Podpisane tokeny są wystawiane tylko przez platformę pojemności zaplecza i obejmują token dostępu, informacje o autoryzacji i inne metadane.

Przechowywanie danych

W sieci szkieletowej dzierżawa jest przypisana do klastra platformy metadanych domu, który znajduje się w jednym regionie, który spełnia wymagania dotyczące rezydencji danych w lokalizacji geograficznej tego regionu. Metadane dzierżawy, które mogą zawierać dane klienta, są przechowywane w tym klastrze.

Klienci mogą kontrolować lokalizację swoich obszarów roboczych . Mogą oni wybrać lokalizację swoich obszarów roboczych w tej samej lokalizacji geograficznej co klaster platformy metadanych, jawnie przypisując obszary robocze w pojemnościach w tym regionie lub niejawnie przy użyciu wersji próbnej sieci szkieletowej, usługi Power BI Pro lub trybu licencji usługi Power BI Premium na użytkownika. W tym drugim przypadku wszystkie dane klientów są przechowywane i przetwarzane w tej pojedynczej lokalizacji geograficznej. Aby uzyskać więcej informacji, zobacz Pojęcia i licencje usługi Microsoft Fabric.

Klienci mogą również tworzyć pojemności multi-geo znajdujące się w lokalizacjach geograficznych (geograficznych) innych niż ich region macierzysły. W takim przypadku zasoby obliczeniowe i magazyn (w tym oneLake i magazyn specyficzny dla środowiska) znajdują się w regionie obejmującym wiele regionów geograficznych, jednak metadane dzierżawy pozostają w regionie macierzysty. Dane klienta będą przechowywane i przetwarzane tylko w tych dwóch lokalizacjach geograficznych. Aby uzyskać więcej informacji, zobacz Konfigurowanie obsługi funkcji Multi-Geo dla sieci szkieletowej.

Obsługa danych

Ta sekcja zawiera omówienie sposobu działania obsługi danych w sieci szkieletowej. Opisuje magazyn, przetwarzanie i przenoszenie danych klientów.

Dane magazynowane

Wszystkie magazyny danych sieci szkieletowej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez firmę Microsoft. Dane sieci szkieletowej obejmują dane klienta, a także dane systemowe i metadane.

Dane mogą być przetwarzane w pamięci w stanie niezaszyfrowanym, ale nigdy nie są utrwalane w magazynie trwałym w stanie niezaszyfrowanym.

Dane przesyłane

Dane przesyłane przez publiczny Internet między usługi firmy Microsoft są zawsze szyfrowane przy użyciu co najmniej protokołu TLS 1.2. Sieć szkieletowa negocjuje protokół TLS 1.3 zawsze, gdy jest to możliwe. Ruch między usługi firmy Microsoft zawsze kieruje się przez sieć globalną firmy Microsoft.

Komunikacja ruchu przychodzącego sieci szkieletowej wymusza również protokół TLS 1.2 i negocjuje do protokołu TLS 1.3, gdy jest to możliwe. Komunikacja wychodząca sieci szkieletowej z infrastrukturą należącą do klienta preferuje bezpieczne protokoły, ale może wrócić do starszych, niezabezpieczonych protokołów (w tym TLS 1.0), gdy nowsze protokoły nie są obsługiwane.

Telemetria

Dane telemetryczne służą do utrzymania wydajności i niezawodności platformy sieci szkieletowej. Magazyn danych telemetrycznych platformy sieci szkieletowej został zaprojektowany tak, aby był zgodny z przepisami dotyczącymi danych i prywatności dla klientów we wszystkich regionach, w których sieć Szkieletowa jest dostępna, w tym Unii Europejskiej (UE). Aby uzyskać więcej informacji, zobacz Eu Data Boundary Services (Usługi granic danych UE).

OneLake

OneLake jest jednym, ujednoliconym, logicznym magazynem danych w całej organizacji i jest automatycznie aprowizowany dla każdej dzierżawy usługi Fabric. Jest ona oparta na platformie Azure i może przechowywać dowolny typ pliku, ustrukturyzowanego lub nieustrukturyzowanego. Ponadto wszystkie elementy sieci szkieletowej, takie jak magazyny i magazyny typu lakehouse, automatycznie przechowują swoje dane w usłudze OneLake.

Usługa OneLake obsługuje te same interfejsy API i zestawy SDK usługi Azure Data Lake Storage Gen2 (ADLS Gen2), dlatego są one zgodne z istniejącymi aplikacjami usługi ADLS Gen2, w tym z usługą Azure Databricks.

Aby uzyskać więcej informacji, zobacz Zabezpieczenia sieci szkieletowej i usługi OneLake.

Zabezpieczenia obszaru roboczego

Obszary robocze reprezentują podstawową granicę zabezpieczeń dla danych przechowywanych w usłudze OneLake. Każdy obszar roboczy reprezentuje jedną domenę lub obszar projektu, w którym zespoły mogą współpracować nad danymi. Zabezpieczenia w obszarze roboczym można zarządzać, przypisując użytkowników do ról obszaru roboczego.

Aby uzyskać więcej informacji, zobacz Zabezpieczenia sieci szkieletowej i usługi OneLake (zabezpieczenia obszaru roboczego).

Zabezpieczenia elementów

W obszarze roboczym możesz przypisać uprawnienia bezpośrednio do elementów sieci szkieletowej, takich jak magazyny i magazyny typu lakehouse. Zabezpieczenia elementów zapewniają elastyczność udzielania dostępu do pojedynczego elementu sieci szkieletowej bez udzielania dostępu do całego obszaru roboczego. Użytkownicy mogą konfigurować uprawnienia dla poszczególnych elementów, udostępniając element lub zarządzając uprawnieniami elementu.

Zasoby zgodności

Usługa Fabric podlega warunkom usług online firmy Microsoft i zasadom zachowania poufności informacji w firmie Microsoft.

Aby uzyskać informacje o lokalizacji przetwarzania danych, zapoznaj się z postanowieniami dotyczącymi lokalizacji przetwarzania danych w postanowieniach dotyczących usług online firmy Microsoft i dodatkiem do ochrony danych.

Aby uzyskać informacje o zgodności, Centrum zaufania Firmy Microsoft jest podstawowym zasobem dla sieci szkieletowej. Aby uzyskać więcej informacji na temat zgodności, zobacz Oferty zgodności firmy Microsoft.

Usługa Szkieletowa jest zgodna z cyklem życia tworzenia zabezpieczeń (SDL), który składa się z zestawu rygorystycznych praktyk zabezpieczeń, które obsługują wymagania dotyczące zabezpieczeń i zgodności. SDL ułatwia deweloperom tworzenie bezpieczniejszego oprogramowania przez zmniejszenie liczby i ważności luk w zabezpieczeniach oprogramowania przy jednoczesnym zmniejszeniu kosztów programowania. Aby uzyskać więcej informacji, zobacz Microsoft Security Development Lifecycle Practices (Praktyki cyklu życia programowania zabezpieczeń firmy Microsoft).

Powiązana zawartość

Aby uzyskać więcej informacji na temat zabezpieczeń sieci szkieletowej, zobacz następujące zasoby.

• Zabezpieczenia w usłudze Microsoft Fabric
• Scenariusz kompleksowego zabezpieczeń usługi Microsoft Fabric
• Omówienie zabezpieczeń usługi OneLake
• Pojęcia i licencje usługi Microsoft Fabric
• Pytania? Spróbuj poprosić społeczność usługi Microsoft Fabric.
• Sugestie? Współtworzenie pomysłów w celu ulepszania usługi Microsoft Fabric.