Udostępnij za pośrednictwem


Zabezpieczenia w usłudze Microsoft Fabric

Microsoft Fabric to platforma oprogramowania jako usługi (SaaS), która umożliwia użytkownikom uzyskiwanie, tworzenie, udostępnianie i wizualizowanie danych.

Jako usługa SaaS usługa Fabric oferuje kompletny pakiet zabezpieczeń dla całej platformy. Sieć szkieletowa usuwa koszt i odpowiedzialność za utrzymanie rozwiązania zabezpieczeń i przenosi je do chmury. Dzięki usłudze Fabric możesz korzystać z wiedzy i zasobów firmy Microsoft, aby zapewnić bezpieczeństwo danych, aktualizować luki w zabezpieczeniach, monitorować zagrożenia i przestrzegać przepisów. Platforma umożliwia również zarządzanie, kontrolę i audyt ustawień zabezpieczeń, dostosowując je do zmieniających się potrzeb i wymagań.

W miarę przesyłania danych do chmury i używania ich z różnymi środowiskami analitycznymi, takimi jak Power BI, Data Factory i następna generacja usługi Synapse, firma Microsoft zapewnia, że wbudowane funkcje zabezpieczeń i niezawodności zabezpieczają dane magazynowane i przesyłane. Firma Microsoft zapewnia również możliwość odzyskania danych w przypadku awarii infrastruktury lub katastrof.

Zabezpieczenia sieci szkieletowej to:

  • Zawsze włączone — każda interakcja z Fabric jest domyślnie szyfrowana i uwierzytelniana przy użyciu Microsoft Entra ID. Cała komunikacja między usługami Fabric odbywa się za pośrednictwem nadrzędnej sieci internetowej firmy Microsoft. Dane w spoczynku są automatycznie przechowywane w formie zaszyfrowanej. Aby kontrolować dostęp do Fabric, można dodać dodatkowe funkcje zabezpieczeń, takie jak łącza prywatne lub Entra Conditional Access. Sieć szkieletowa może również łączyć się z danymi chronionymi przez zaporę lub sieć prywatną przy użyciu zaufanego dostępu.

  • Zgodne — Infrastruktura ma suwerenność danych z wieloma możliwościami geograficznymi. Platforma Fabric obsługuje również szeroką gamę standardów zgodności.

  • Zarządzalny — platforma zawiera zestaw narzędzi do zapewniania ładu, takich jak linia pochodzenia danych, etykiety ochrony informacji, zapobieganie utracie danych oraz integracja z Purview.

  • Konfigurowalne — zabezpieczenia sieci szkieletowej można skonfigurować zgodnie z zasadami organizacji.

  • Rozwój — firma Microsoft stale poprawia bezpieczeństwo sieci szkieletowej, dodając nowe funkcje i mechanizmy kontroli.

Uwierzytelnij

Microsoft Fabric to platforma SaaS, podobnie jak wiele innych usługi firmy Microsoft, takich jak Azure, Microsoft Office, OneDrive i Dynamics. Wszystkie te usługi SaaS firmy Microsoft, w tym Fabric, używają Microsoft Entra ID jako dostawcy tożsamości opartego na chmurze. Microsoft Entra ID pomaga użytkownikom szybko i łatwo łączyć się z tymi usługami z dowolnego urządzenia i dowolnej sieci. Każde żądanie nawiązania połączenia z siecią szkieletową jest uwierzytelniane za pomocą identyfikatora Entra firmy Microsoft, co umożliwia użytkownikom bezpieczne łączenie się z siecią szkieletową z firmowej firmy, podczas pracy w domu lub z lokalizacji zdalnej.

Omówienie zabezpieczeń sieci

Fabric to usługa SaaS działająca w chmurze Microsoft. Niektóre scenariusze obejmują łączenie się z danymi spoza platformy Fabric. Na przykład wyświetlanie raportu z własnej sieci lub nawiązywanie połączenia z danymi w innej usłudze. Interakcje w sieci szkieletowej używają wewnętrznej sieci firmy Microsoft, a ruch poza usługą jest domyślnie chroniony. Aby uzyskać więcej informacji i szczegółowy opis, zobacz Dane przesyłane.

Zabezpieczenia sieci przychodzącej

Twoja organizacja może chcieć ograniczyć i zabezpieczyć ruch sieciowy przychodzący do sieci Fabrykowej zgodnie z wymaganiami firmy. Za pomocą warunkowego dostępu do identyfikatora Microsoft Entra i prywatnych łączy Microsoft możesz wybrać odpowiednie rozwiązanie dla swojej organizacji dla ruchu przychodzącego.

Dostęp warunkowy Microsoft Entra ID

Microsoft Entra ID udostępnia Fabric z dostępem warunkowym, który umożliwia zabezpieczenie dostępu do Fabric na każdym połączeniu. Oto kilka przykładów ograniczeń dostępu, które można wymusić przy użyciu dostępu warunkowego.

  • Zdefiniuj listę adresów IP dla łączności przychodzącej z siecią szkieletową.

  • Użyj uwierzytelniania wieloskładnikowego (MFA).

  • Ogranicz ruch na podstawie parametrów, takich jak kraj/region pochodzenia lub typ urządzenia.

Aby skonfigurować dostęp warunkowy, zobacz Dostęp warunkowy w Fabric.

Aby dowiedzieć się więcej na temat uwierzytelniania w usłudze Fabric, zobacz Podstawy zabezpieczeń usługi Microsoft Fabric.

Łącza prywatne umożliwiają bezpieczną łączność z siecią szkieletową przez ograniczenie dostępu do dzierżawy sieci szkieletowej z sieci wirtualnej platformy Azure i blokowanie całego dostępu publicznego. Dzięki temu tylko ruch sieciowy z tej sieci wirtualnej może uzyskiwać dostęp do funkcji Fabric, takich jak notesy, magazyny danych, składy danych i bazy danych w dzierżawie.

Aby skonfigurować Private Links w Fabric, zobacz Konfigurowanie i używanie łączy prywatnych.

Zabezpieczenia sieci wychodzącej

Sieć szkieletowa ma zestaw narzędzi, które umożliwiają łączenie się z zewnętrznymi źródłami danych i bezpieczne przenoszenie tych danych do sieci szkieletowej. W tej sekcji wymieniono różne sposoby importowania i nawiązywania połączenia z danymi z bezpiecznej sieci do struktury.

Dostęp do zaufanego obszaru roboczego

Usługa Fabric umożliwia bezpieczny dostęp do kont usługi Azure Data Lake Gen 2 z włączoną zaporą. Obszary robocze sieci szkieletowej z tożsamością obszaru roboczego mogą bezpiecznie uzyskiwać dostęp do kont usługi Azure Data Lake Gen 2 z włączonym dostępem do sieci publicznej z wybranych sieci wirtualnych i adresów IP. Możesz ograniczyć dostęp do usługi ADLS Gen 2 do określonych obszarów roboczych Fabric. Aby uzyskać więcej informacji, zobacz Dostęp do zaufanego obszaru roboczego.

Uwaga

Tożsamości obszarów roboczych Fabric można tworzyć tylko w obszarach roboczych skojarzonych z pojemnością SKU Fabric F. Aby uzyskać informacje na temat zakupu subskrypcji usługi Fabric, zobacz Kupowanie subskrypcji usługi Microsoft Fabric.

Zarządzane prywatne punkty końcowe

Zarządzane prywatne punkty końcowe umożliwiają bezpieczne połączenia ze źródłami danych, takimi jak bazy danych Azure SQL Database, bez ujawniania ich w sieci publicznej lub wymagających złożonych konfiguracji sieci.

Zarządzane sieci wirtualne

Zarządzane sieci wirtualne to sieci wirtualne tworzone i zarządzane przez usługę Microsoft Fabric dla każdego obszaru roboczego usługi Fabric. Zarządzane sieci wirtualne zapewniają izolację sieci dla obciążeń platformy Spark na sieci Fabric, co oznacza, że klastry obliczeniowe są wdrażane w dedykowanej sieci i nie są już częścią współdzielonej sieci wirtualnej.

Zarządzane sieci wirtualne umożliwiają również funkcje zabezpieczeń sieci, takie jak zarządzane prywatne punkty końcowe oraz obsługę linków prywatnych dla inżynierii danych i nauki o danych w usłudze Microsoft Fabric korzystających z platformy Apache Spark.

Brama danych

Aby nawiązać połączenie z lokalnymi źródłami danych lub źródłem danych, które mogą być chronione przez zaporę lub sieć wirtualną, możesz użyć jednej z następujących opcji:

  • Brama danych lokalnych — brama działa jako most między lokalnymi źródłami danych a platformą Fabric. Brama jest zainstalowana na serwerze w Twojej sieci i umożliwia Fabric łączenie się ze źródłami danych za pośrednictwem bezpiecznego kanału, bez konieczności otwierania portów lub wprowadzania zmian w sieci.

  • Brama danych sieci wirtualnej — brama sieci wirtualnej umożliwia łączenie się z usługami Microsoft Cloud z usługami danych platformy Azure w sieci wirtualnej bez potrzeby lokalnej bramy danych.

Nawiązywanie połączenia z usługą OneLake z istniejącej usługi

Możesz nawiązać połączenie z Fabric, używając istniejącej usługi Platforma jako Usługa (PaaS) w Azure. W przypadku usług Synapse i Azure Data Factory (ADF) można użyć środowiska Azure Integration Runtime (IR) lub zarządzanej sieci wirtualnej Azure Data Factory. Możesz również nawiązać połączenie z tymi usługami i innymi usługami, takimi jak przepływy mapowania danych, klastry Synapse Spark, klastry Databricks Spark i Azure HDInsight przy użyciu OneLake APIs.

Tagi usługi platformy Azure

Użyj Tagów usługi, aby pozyskiwać dane bez użycia bram danych ze źródeł danych wdrożonych w sieci wirtualnej platformy Azure, takich jak maszyny wirtualne (VM) Azure SQL, wystąpienia zarządzane (MI) Azure SQL i interfejsy API REST. Możesz również użyć tagów usługi, aby uzyskać ruch z sieci wirtualnej lub zapory platformy Azure. Na przykład tagi usługi mogą zezwalać na ruch wychodzący do Fabric, dzięki czemu użytkownik na maszynie wirtualnej może łączyć się z łańcuchami połączeń SQL Fabric z SSMS, jednocześnie będąc zablokowanym w dostępie do innych publicznych zasobów internetowych.

Listy dozwolonych adresów IP

Jeśli masz dane, które nie znajdują się na platformie Azure, możesz włączyć listę dozwolonych adresów IP w sieci organizacji, aby zezwolić na ruch do i z sieci szkieletowej. Lista dozwolonych adresów IP jest przydatna, jeśli musisz pobrać dane ze źródeł danych, które nie obsługują tagów usług, takich jak lokalne źródła danych. Dzięki tym skrótom możesz uzyskać dane bez kopiowania ich do usługi OneLake przy użyciu punktu końcowego analizy SQL usługi Lakehouse lub usługi Direct Lake.

Listę adresów IP Fabric można pobrać z tagów usługi na miejscu. Lista jest dostępna jako plik JSON lub programowo z interfejsami API REST, programem PowerShell i interfejsem wiersza polecenia platformy Azure.

Zabezpieczanie danych

W usłudze Fabric wszystkie dane przechowywane w OneLake są szyfrowane, gdy są nieaktywne. Wszystkie dane w spoczynku są przechowywane w twoim regionie macierzystym lub w jednej z Twoich zdolności w wybranym regionie zdalnym, aby spełnić przepisy dotyczące suwerenności danych w spoczynku. Aby uzyskać więcej informacji, zobacz Podstawy zabezpieczeń usługi Microsoft Fabric.

Możesz użyć kluczy zarządzanych przez klienta obszaru roboczego , aby dodać kolejną warstwę szyfrowania do danych w obszarach roboczych usługi Fabric. Za pomocą kluczy zarządzanych przez klienta dla obszaru roboczego możesz użyć kluczy Azure Key Vault do szyfrowania klucza firmy Microsoft.

Zrozumieć najemców w różnych lokalizacjach geograficznych

Wiele organizacji ma globalną obecność i wymaga usług w wielu lokalizacjach geograficznych platformy Azure. Na przykład firma może mieć swoją siedzibę w Stany Zjednoczone, wykonując działalność w innych obszarach geograficznych, takich jak Australia. Aby zapewnić zgodność z lokalnymi przepisami, firmy mające globalną obecność muszą zapewnić, że dane pozostają przechowywane w spoczynku w kilku regionach. W Fabric jest to nazywane multi-geo.

Warstwa wykonywania zapytania, pamięć podręczna zapytań i dane elementów przypisane do obszaru roboczego z wieloma obszarami geograficznymi pozostają w geografii Azure, w której zostały utworzone. Jednak niektóre metadane i procesy są przechowywane w stanie spoczynku w domowej lokalizacji geograficznej dzierżawcy.

Sieć szkieletowa jest częścią większego ekosystemu firmy Microsoft. Jeśli Twoja organizacja korzysta już z innych usług subskrypcji w chmurze, takich jak Azure, Microsoft 365 lub Dynamics 365, usługa Fabric działa w ramach tej samej dzierżawy firmy Microsoft Entra. Domena organizacyjna (na przykład contoso.com) jest skojarzona z identyfikatorem Entra firmy Microsoft. Podobnie jak wszystkie usługi w chmurze firmy Microsoft.

Platforma zapewnia bezpieczeństwo danych w różnych regionach, gdy pracujesz z wieloma dzierżawcami posiadającymi wiele zasobów w różnych geografiach.

  • Logiczna separacja danych - Platforma Fabric zapewnia logiczną izolację między najemcami w celu ochrony danych.

  • Suwerenność danych — aby rozpocząć pracę z wieloma obszarami geograficznymi, zobacz Konfigurowanie obsługi Multi-Geo dla Fabrik.

Uzyskiwanie dostępu do danych

Sieć szkieletowa kontroluje dostęp do danych przy użyciu obszarów roboczych. W obszarach roboczych dane są wyświetlane w postaci elementów Fabric, a użytkownicy nie będą mogli wyświetlać ani używać tych elementów, czyli danych, chyba że przyznasz im dostęp do obszaru roboczego. Więcej informacji na temat uprawnień do obszaru roboczego i elementu można znaleźć w Modelu uprawnień.

Role obszaru roboczego

Dostęp do obszaru roboczego znajduje się w poniższej tabeli. Obejmuje role obszaru roboczego oraz zabezpieczenia Fabric i OneLake. Użytkownicy z rolą przeglądarki mogą uruchamiać zapytania SQL, Data Analysis Expressions (DAX) lub Multidimensional Expressions (MDX), ale nie mogą mieć dostępu do elementów Fabric ani uruchamiać notebooka.

Rola Dostęp do obszaru roboczego Dostęp do usługi OneLake
Administrator, członek i współautor Może używać wszystkich elementów w obszarze roboczym
Oglądający Może wyświetlić wszystkie elementy w obszarze roboczym

Udostępnianie elementów

Elementy Fabric można udostępniać użytkownikom w organizacji, którzy nie mają żadnej roli w obszarze roboczym. Udostępnianie elementów zapewnia ograniczony dostęp, umożliwiając użytkownikom dostęp tylko do elementu udostępnionego w obszarze roboczym.

Ograniczanie dostępu

Dostęp do danych można ograniczyć za pomocą zabezpieczeń na poziomie wiersza, zabezpieczeń na poziomie kolumny (CLS) i zabezpieczeń na poziomie obiektu (OLS). Dzięki RLS, CLS i OLS, można tworzyć tożsamości użytkowników, które mają dostęp do określonych części danych, oraz ograniczyć wyniki SQL, które zwracają tylko to, do czego tożsamość użytkownika ma uprawnienia.

Możesz również dodać RLS (zabezpieczenia na poziomie wiersza) do zestawu danych DirectLake. Jeśli zdefiniujesz zabezpieczenia zarówno dla SQL, jak i DAX, funkcja DirectLake automatycznie przełącza się na tryb DirectQuery dla tabel, które mają RLS w SQL. W takich przypadkach rezultaty DAX lub MDX są ograniczone do tożsamości użytkownika.

Aby wyeksponować raporty przy użyciu zestawu danych DirectLake z zabezpieczeniami na poziomie wiersza, bez zapasowego trybu DirectQuery, użyj bezpośredniego udostępniania zestawu danych lub aplikacji w usłudze Power BI. Za pomocą aplikacji w usłudze Power BI możesz udzielić dostępu do raportów bez dostępu do przeglądarki. Ten rodzaj dostępu oznacza, że użytkownicy nie mogą używać języka SQL. Aby umożliwić DirectLake odczytywanie danych, należy zmienić poświadczenia źródła danych z logowania jednokrotnego (SSO) na ustaloną tożsamość, która ma dostęp do plików w jeziorze.

Ochrona danych

Platforma Microsoft Fabric obsługuje etykiety poufności z usługi Microsoft Purview Information Protection. Są to etykiety, takie jak Ogólne, Poufne i Wysoce poufne, które są powszechnie używane w aplikacja pakietu Office firmy Microsoft, takich jak Word, PowerPoint i Excel w celu ochrony poufnych informacji. W Fabric można klasyfikować elementy zawierające poufne dane, korzystając z tych samych etykiet poufności. Etykiety poufności następnie automatycznie podążają za danymi od elementu do elementu, gdy te przepływają przez Fabric, od źródła danych aż po użytkownika biznesowego. Etykieta poufności pozostaje nawet wtedy, gdy dane są eksportowane do obsługiwanych formatów, takich jak PBIX, Excel, PowerPoint i PDF, dzięki czemu dane pozostają chronione. Tylko autoryzowani użytkownicy mogą otworzyć plik. Aby uzyskać więcej informacji, zobacz Zarządzanie i zgodność w usłudze Microsoft Fabric.

Aby ułatwić zarządzanie danymi, ich ochronę i zarządzanie nimi, możesz użyć usługi Microsoft Purview. Usługi Microsoft Purview i Fabric współpracują ze sobą, umożliwiając przechowywanie, analizowanie i zarządzanie danymi z jednej lokalizacji — centrum Microsoft Purview.

Odzyskiwanie danych

Odporność danych sieci szkieletowej zapewnia dostępność danych w przypadku awarii. Sieć szkieletowa umożliwia również odzyskiwanie danych w przypadku awarii, odzyskiwania po awarii. Aby uzyskać więcej informacji, zobacz Niezawodność w usłudze Microsoft Fabric.

Administrowanie siecią szkieletową

Jako administrator w usłudze Fabric uzyskujesz kontrolę nad możliwościami dla całej organizacji. Sieć szkieletowa umożliwia delegowanie roli administratora do pojemności, obszarów roboczych i domen. Delegowanie obowiązków administratora do odpowiednich osób umożliwia zaimplementowanie modelu, który pozwala kilku kluczowym administratorom na kontrolowanie ogólnych ustawień sieci szkieletowej w całej organizacji, podczas gdy inni administratorzy pełnią kontrolę nad ustawieniami odnoszącymi się do konkretnych obszarów.

Za pomocą różnych narzędzi administratorzy mogą również monitorować kluczowe aspekty sieci szkieletowej, takie jak zużycie pojemności.

Dzienniki inspekcji

Aby wyświetlić dzienniki inspekcji, postępuj zgodnie z instrukcjami w temacie Śledzenie działań użytkowników w usłudze Microsoft Fabric. Możesz również zapoznać się z listą operacji, aby zobaczyć, które działania są dostępne do wyszukiwania w dziennikach inspekcji.

Możliwości

Zapoznaj się z tą sekcją, aby zapoznać się z listą niektórych funkcji zabezpieczeń dostępnych w usłudze Microsoft Fabric.

Zdolność opis
Dostęp warunkowy Zabezpieczanie aplikacji przy użyciu identyfikatora Entra firmy Microsoft
Skrytka Kontrolowanie sposobu uzyskiwania dostępu do danych przez inżynierów firmy Microsoft
Zabezpieczenia Fabric i OneLake Dowiedz się, jak zabezpieczyć dane w usłudze Fabric i usłudze OneLake.
Odporność Niezawodność i regionalna odporność ze strefami dostępności platformy Azure
Tagi usługi Włączanie usługi Azure SQL Managed Instance (MI) w celu zezwalania na połączenia przychodzące z usługi Microsoft Fabric