Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Bezpieczeństwo jest kluczowym aspektem każdego rozwiązania do analizy danych, zwłaszcza gdy obejmuje poufne lub wrażliwe dane. Z tego powodu usługa Microsoft Fabric udostępnia kompleksowy zestaw funkcji zabezpieczeń, które umożliwiają ochronę danych magazynowanych i przesyłanych, a także kontrolę dostępu i uprawnień dla użytkowników i aplikacji.
W tym artykule dowiesz się o koncepcjach i funkcjach zabezpieczeń Fabric, które mogą pomóc ci pewnie tworzyć własne rozwiązania analityczne przy użyciu Fabric.
Informacje podstawowe
W tym artykule przedstawiono scenariusz, w którym jesteś inżynierem danych, który pracuje w organizacji opieki zdrowotnej w Stany Zjednoczone. Organizacja zbiera i analizuje dane pacjentów, które pochodzą z różnych systemów, w tym elektronicznej dokumentacji zdrowia, wyników laboratorium, roszczeń ubezpieczeniowych i urządzeń do noszenia.
Planujesz zbudować lakehouse używając architektury medalionowej w Fabric, która składa się z trzech warstw: brązowej, srebrnej i złotej.
- Warstwa z brązu przechowuje nieprzetworzone dane pochodzące ze źródeł danych.
- Warstwa srebrna stosuje kontrole jakości danych i przekształcenia w celu przygotowania danych do analizy.
- Warstwa złota udostępnia zagregowane i wzbogacone dane na potrzeby raportowania i wizualizacji.
Chociaż niektóre źródła danych znajdują się w sieci lokalnej, inne znajdują się za zaporami i wymagają bezpiecznego, uwierzytelnioowanego dostępu. Istnieją również niektóre źródła danych zarządzane na platformie Azure, takie jak Azure SQL Database i Azure Storage. Musisz połączyć się z tymi źródłami danych platformy Azure w sposób, który nie uwidacznia danych w publicznym Internecie.
Podjęto decyzję o użyciu usługi Fabric, ponieważ może bezpiecznie pozyskiwać, przechowywać, przetwarzać i analizować dane w chmurze. Co ważne, robi to przy zachowaniu zgodności z przepisami branżowymi i zasadami organizacji.
Ponieważ Fabric to oprogramowanie jako usługa (SaaS), nie musisz przydzielać poszczególnych zasobów, takich jak zasoby magazynowe i obliczeniowe. Wystarczy pojemność tkaniny.
Musisz skonfigurować wymagania dotyczące dostępu do danych. W szczególności musisz mieć pewność, że tylko Ty i twoi inżynierowie danych mają dostęp do danych w warstwach brązu i srebra nad jeziorem. Te warstwy to miejsce, w którym planowane jest czyszczenie danych, walidacja, transformacja i wzbogacanie. Należy również ograniczyć dostęp do danych w warstwie złota. Tylko autoryzowani użytkownicy, w tym analitycy danych i użytkownicy biznesowi, powinni mieć dostęp do warstwy złota. Wymagają one dostępu do korzystania z danych w różnych celach analitycznych, takich jak raportowanie, uczenie maszynowe i analiza predykcyjna. Dostęp do danych musi być dodatkowo ograniczony przez rolę i dział użytkownika.
Nawiązywanie połączenia z infrastrukturą Fabric (ochrona ruchu przychodzącego)
Najpierw skonfiguruj ochronę ruchu przychodzącego, która dotyczy sposobu, w jaki Ty i inni użytkownicy logujecie się oraz macie dostęp do systemu Fabric.
Ponieważ Fabric jest wdrażany w dzierżawie Microsoft Entra, uwierzytelnianie i autoryzacja są obsługiwane przez Microsoft Entra. Zaloguj się przy użyciu konta organizacji Microsoft Entra (konta służbowego lub szkolnego). Następnie zastanów się, jak inni użytkownicy będą łączyć się z Fabric.
Dzierżawa Microsoft Entra to granica zabezpieczeń tożsamości, która jest pod kontrolą działu IT. W ramach tej granicy zabezpieczeń administrowanie obiektami firmy Microsoft Entra (takimi jak konta użytkowników) i konfiguracją ustawień dotyczących całej dzierżawy są wykonywane przez administratorów IT. Podobnie jak każda usługa SaaS, Fabric logicznie izoluje najemców. Dane i zasoby w Twojej dzierżawie nigdy nie mogą być dostępne dla innych dzierżaw, chyba że wyraźnie na to zezwolisz.
Oto co się stanie, gdy użytkownik zaloguje się do Fabric.
| Produkt | Opis |
|---|---|
|
Użytkownik otwiera przeglądarkę (lub aplikację kliencką) i loguje się do portalu Fabric. |
|
Użytkownik jest natychmiast przekierowywany do identyfikatora Entra firmy Microsoft i jest on wymagany do uwierzytelnienia. Uwierzytelnianie sprawdza, czy jest to prawidłowa osoba logując się. |
|
Po pomyślnym uwierzytelnieniu fronton internetowy odbiera żądanie użytkownika i dostarcza zawartość frontonu (HTML i CSS) z najbliższej lokalizacji. Kieruje również żądanie do platformy metadanych i platformy zasobów backendu. |
|
Platforma metadanych, która znajduje się w głównym regionie dzierżawy, przechowuje metadane dzierżawy, takie jak obszary robocze i mechanizmy kontroli dostępu. Ta platforma gwarantuje, że użytkownik ma autoryzację dostępu do odpowiednich obszarów roboczych i elementów Fabricu. |
|
Platforma zaplecza back-end wykonuje operacje obliczeniowe i przechowuje Twoje dane. Znajduje się on w regionie pojemności. Po przypisaniu obszaru roboczego do pojemności Fabric wszystkie dane znajdujące się w obszarze roboczym, w tym jezioro danych OneLake, są przechowywane i przetwarzane w regionie pojemności. |
Platforma metadanych i platforma pojemności zaplecza technicznego są uruchamiane w zabezpieczonych sieciach wirtualnych. Te sieci uwidaczniają szereg bezpiecznych punktów końcowych w Internecie, dzięki czemu mogą odbierać żądania od użytkowników i innych usług. Oprócz tych punktów końcowych usługi są chronione przez reguły zabezpieczeń sieci, które blokują dostęp z publicznego Internetu.
Gdy użytkownicy logują się do Fabric, możesz wymusić inne warstwy ochrony. W ten sposób dzierżawa będzie dostępna tylko dla niektórych użytkowników i gdy inne warunki, takie jak lokalizacja sieciowa i zgodność urządzeń, są spełnione. Ta warstwa ochrony jest nazywana ochroną przychodzącą.
W tym scenariuszu odpowiadasz za poufne informacje o pacjentach w systemie Fabric. W związku z tym organizacja ma obowiązek, aby wszyscy użytkownicy uzyskujący dostęp do sieci szkieletowej musieli wykonywać uwierzytelnianie wieloskładnikowe (MFA) i że muszą znajdować się w sieci firmowej — po prostu zabezpieczanie tożsamości użytkownika nie wystarczy.
Twoja organizacja zapewnia również elastyczność użytkownikom, umożliwiając im pracę z dowolnego miejsca i korzystanie z urządzeń osobistych. Ponieważ usługa Microsoft Intune obsługuje funkcję "przynieś własne urządzenie" (BYOD), należy zarejestrować zatwierdzone urządzenia użytkowników w usłudze Intune.
Ponadto należy upewnić się, że te urządzenia są zgodne z zasadami organizacji. W szczególności te zasady wymagają, aby urządzenia mogły łączyć się tylko wtedy, gdy mają zainstalowany najnowszy system operacyjny i najnowsze poprawki zabezpieczeń. Te wymagania dotyczące zabezpieczeń są konfigurowane przy użyciu usługi Dostęp warunkowy usługi Microsoft Entra.
Dostęp warunkowy oferuje kilka sposobów ochrony dzierżawcy. Masz następujące możliwości:
- Udzielanie lub blokowanie dostępu według lokalizacji sieciowej.
- Blokuj dostęp do urządzeń uruchomionych w nieobsługiwanych systemach operacyjnych.
- Wymagaj zgodnego urządzenia, urządzenia dołączonego do usługi Intune lub uwierzytelniania wieloskładnikowego dla wszystkich użytkowników.
- I więcej.
Jeśli chcesz zablokować całą dzierżawę Fabric, możesz użyć sieci wirtualnej i zablokować publiczny dostęp do internetu. Dostęp do Fabric jest następnie dopuszczony tylko z wnętrza tej bezpiecznej sieci wirtualnej. To wymaganie jest konfigurowane przez włączenie linków prywatnych na poziomie dzierżawcy dla Fabric. Gwarantuje to, że wszystkie punkty końcowe sieci szkieletowej rozpoznają prywatny adres IP w sieci wirtualnej, w tym dostęp do wszystkich raportów usługi Power BI. (Włączenie prywatnych punktów końcowych wpływa na wiele elementów Fabric, dlatego przed ich włączeniem należy dokładnie zapoznać się z tym artykułem).
Bezpieczny dostęp do danych poza siecią Szkieletową (ochrona ruchu wychodzącego)
Następnie skonfigurujesz ochronę ruchu wychodzącego, która dotyczy bezpiecznego uzyskiwania dostępu do danych za zaporami lub prywatnymi punktami końcowymi.
Twoja organizacja ma niektóre źródła danych, które znajdują się w sieci lokalnej. Ponieważ te źródła danych znajdują się za zaporami, Fabric wymaga bezpiecznego dostępu. Aby umożliwić usłudze Fabric bezpieczne łączenie się z lokalnym źródłem danych, należy zainstalować lokalną bramę danych.
Bramka może być używana przez przepływy danych usługi Data Factory oraz potoki do pobierania, przygotowywania i przekształcania danych lokalnych, a następnie ładowania ich do usługi OneLake za pomocą działania kopiowania. Usługa Data Factory obsługuje kompleksowy zestaw łączników, które umożliwiają łączenie się z ponad 100 różnymi magazynami danych.
Następnie utworzysz przepływy danych za pomocą dodatku Power Query, co zapewnia intuicyjne środowisko z interfejsem o niskim kodzie. Służy do pozyskiwania danych ze źródeł danych i przekształcania ich przy użyciu dowolnej z 300 przekształceń danych. Następnie utworzysz i koordynujesz złożony proces wyodrębniania, przekształcania i ładowania (ETL) za pomocą pipeline'ów. Procesy ETL mogą odświeżać przepływy danych i wykonywać wiele różnych zadań na dużą skalę, przetwarzać petabajty danych.
W tym scenariuszu masz już wiele procesów ETL. Przede wszystkim, masz kilka potoków w usłudze Azure Data Factory (ADF). Obecnie te potoki pozyskiwają dane lokalne i ładują je do magazynu typu data lake w usłudze Azure Storage przy użyciu własnego środowiska Integration Runtime. Po drugie, masz strukturę pozyskiwania danych w usłudze Azure Databricks napisaną na platformie Spark.
Teraz, gdy używasz Fabric, po prostu przekierowujesz miejsce docelowe danych wyjściowych potoków ADF, aby używać łącznika lakehouse. Ponadto, w przypadku struktury pozyskiwania w Azure Databricks, używa się interfejsów API OneLake, które obsługują sterownik systemu plików Blob platformy Azure (ABFS), w celu integracji OneLake z Azure Databricks. (Można również użyć tej samej metody do zintegrowania Usługa OneLake z usługą Azure Synapse Analytics przy użyciu platformy Apache Spark).
Masz również niektóre źródła danych, które znajdują się w usłudze Azure SQL Database. Musisz połączyć się z tymi źródłami danych przy użyciu prywatnych punktów końcowych. W takim przypadku decydujesz się ustanowić bramkę danych sieci wirtualnej (VNet) i używać przepływów danych do bezpiecznego łączenia się z danymi na platformie Azure oraz ich ładowania do Fabric. W przypadku bram danych sieci wirtualnej nie trzeba aprowizować infrastruktury i zarządzać nią (ponieważ trzeba to zrobić w przypadku lokalnej bramy danych). Dzieje się tak, ponieważ Fabric bezpiecznie i dynamicznie tworzy kontenery w Twojej sieci wirtualnej Azure Virtual Network.
Jeśli tworzysz lub migrujesz strukturę pozyskiwania danych na platformie Spark, możesz bezpiecznie i prywatnie łączyć się ze źródłami danych na platformie Azure z poziomu notebooks Fabric i zadań za pomocą zarządzanych prywatnych punktów końcowych. Zarządzane prywatne punkty końcowe można utworzyć w obszarach roboczych usługi Fabric w celu nawiązania połączenia ze źródłami danych na platformie Azure, które zablokowały publiczny dostęp do Internetu. Obsługują prywatne punkty końcowe, takie jak Azure SQL Database i Azure Storage. Zarządzane prywatne punkty końcowe są aprowizowane i zarządzane w zarządzanej sieci VNet dedykowanej obszarowi roboczemu Fabric. W przeciwieństwie do typowych Wirtualnych Sieci Azure zarządzane sieci wirtualne Azure i zarządzane prywatne punkty końcowe nie będą widoczne w Portalu Azure. Dzieje się tak, ponieważ są one w pełni zarządzane przez Fabric i znajdują się w ustawieniach przestrzeni roboczej.
Ponieważ masz już wiele danych przechowywanych na kontach usługi Azure Data Lake Storage (ADLS) Gen2, teraz musisz tylko połączyć z nimi obciążenia systemu Fabric, takie jak Spark i Power BI. Ponadto dzięki skrótom OneLake ADLS można łatwo nawiązać połączenie z istniejącymi danymi z dowolnego środowiska Fabric, jak potoki integracji danych, notatniki inżynierii danych i raporty usługi Power BI.
Obszary robocze Fabric z identyfikatorem obszaru roboczego mogą bezpiecznie uzyskiwać dostęp do kont magazynu usługi ADLS Gen2, nawet gdy sieć publiczna jest wyłączona. Dzięki dostępowi do zaufanego obszaru roboczego jest to możliwe. Umożliwia technologii Fabric bezpieczne łączenie się z kontami magazynu przy użyciu sieci szkieletowej Microsoft. Oznacza to, że komunikacja nie korzysta z Internetu publicznego, co pozwala wyłączyć dostęp do Internetu publicznego do konta magazynowania, ale nadal zezwalać niektórym obszarom roboczym Fabric na łączenie się z nimi.
Zgodność
Chcesz używać Fabric do bezpiecznego pozyskiwania, przechowywania, przetwarzania i analizowania danych w chmurze, zachowując zgodność z regulacjami branżowymi oraz politykami organizacji.
Sieć Fabric jest częścią usług Microsoft Azure Core Services i podlega Warunkom korzystania z usług online firmy Microsoft oraz Oświadczeniu o ochronie prywatności przedsiębiorstwa Microsoft. Certyfikaty zwykle występują po uruchomieniu produktu (GA, czyli Generalnie Dostępne), ale firma Microsoft integruje najlepsze praktyki dotyczące zgodności od samego początku i w całym cyklu rozwoju. Takie proaktywne podejście zapewnia silną podstawę przyszłych certyfikatów, mimo że są one zgodne z ustalonymi cyklami inspekcji. Mówiąc prościej, ustalamy priorytety zgodności budynku od samego początku, nawet jeśli nastąpi później formalna certyfikacja.
Sieć szkieletowa jest zgodna z wieloma standardami branżowymi, takimi jak ISO 27001, 27017, 27018 i 27701. "Fabric jest również zgodny ze standardem HIPAA, co ma kluczowe znaczenie dla ochrony prywatności i bezpieczeństwa danych w opiece zdrowotnej." Możesz sprawdzić dodatek A i B w ofertach zgodności platformy Microsoft Azure, aby uzyskać szczegółowe informacje o tym, które usługi w chmurze znajdują się w zakresie certyfikacji. Dostęp do dokumentacji inspekcji można również uzyskać z poziomu portalu zaufania usług (STP).
Zgodność jest wspólną odpowiedzialnością. Aby zapewnić zgodność z przepisami i przepisami, dostawcy usług w chmurze i ich klienci wprowadzają wspólną odpowiedzialność w celu zapewnienia, że każdy z nich wykonuje swoją część. Rozważanie i ocenianie usług w chmurze publicznej ma kluczowe znaczenie dla zrozumienia modelu wspólnej odpowiedzialności oraz zadań związanych z zabezpieczeniami obsługiwanych przez dostawcę usług w chmurze oraz zadań, które obsługujesz.
Obsługa danych
Ponieważ masz do czynienia z poufnymi informacjami o pacjentach, musisz upewnić się, że wszystkie dane są wystarczająco chronione zarówno w spoczynku, jak i podczas przesyłania.
Szyfrowanie danych w stanie spoczynku zapewnia ochronę przechowywanych danych. Ataki na dane magazynowane obejmują próby uzyskania fizycznego dostępu do sprzętu, na którym są przechowywane dane, a następnie naruszenie bezpieczeństwa danych na tym sprzęcie. Szyfrowanie danych w spoczynku jest przeznaczone do uniemożliwienia osobie atakującej dostępu do niezaszyfrowanych danych, zapewniając, że dane są szyfrowane podczas przechowywania na dysku. Szyfrowanie w spoczynku jest obowiązkowym środkiem wymaganym do zapewnienia zgodności z niektórymi branżowymi standardami i przepisami, takimi jak International Organization for Standardization (ISO) i Health Insurance Portability and Accountability Act (HIPAA).
Wszystkie magazyny danych sieci Szkieletowej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez firmę Microsoft, co zapewnia ochronę danych klienta, a także danych systemowych i metadanych. Dane nigdy nie są utrwalane w magazynie trwałym w stanie niezaszyfrowanym. Dzięki kluczom zarządzanym przez firmę Microsoft możesz korzystać z szyfrowania danych magazynowanych bez ryzyka lub kosztów niestandardowego rozwiązania do zarządzania kluczami.
Dane są również szyfrowane podczas przesyłania. Cały ruch przychodzący do punktów końcowych Fabric z systemów klienckich wymusza użycie co najmniej protokołu Transport Layer Security (TLS) 1.2. Negocjuje również protokół TLS 1.3, jeśli jest to możliwe. Protokół TLS zapewnia silne uwierzytelnianie, prywatność wiadomości i integralność (umożliwia wykrywanie naruszenia, przechwytywania i fałszowania komunikatów), współdziałanie, elastyczność algorytmu oraz łatwość wdrażania i używania.
Oprócz szyfrowania ruch sieciowy między usługi firmy Microsoft zawsze kieruje się przez globalną sieć firmy Microsoft, która jest jedną z największych sieci szkieletowych na świecie.
Szyfrowanie klucza zarządzanego przez klienta (CMK) i usługa Microsoft Fabric
Klucze zarządzane przez klienta (CMK) umożliwiają szyfrowanie danych w stanie spoczynku przy użyciu własnych kluczy. Domyślnie usługa Microsoft Fabric szyfruje dane magazynowane przy użyciu kluczy zarządzanych przez platformę. W tym modelu firma Microsoft jest odpowiedzialna za wszystkie aspekty zarządzania kluczami, a dane magazynowane w usłudze OneLake są szyfrowane przy użyciu kluczy. Z punktu widzenia zgodności klienci mogą mieć wymóg używania klucza cmK do szyfrowania danych magazynowanych. W modelu CMK użytkownik obejmuje pełną kontrolę nad kluczem i używa swojego klucza do szyfrowania danych w stanie spoczynku.
Jeśli istnieje wymóg użycia klucza CMK do szyfrowania danych w stanie spoczynku, masz dwie opcje. Klucze zarządzane przez klienta obszaru roboczego umożliwiają skonfigurowanie klucza CMK przechowywanego w usłudze Azure Key Vault lub w zarządzanym module Azure Key Vault HSM w celu szyfrowania danych przechowywanych w spoczynku w obszarze roboczym Fabric. W przypadku korzystania z dowolnego magazynu kluczy należy przypisać wymagane uprawnienia do usługi Power BI i usługi Microsoft Fabric w celu uzyskania dostępu do kluczy na potrzeby operacji szyfrowania. Możesz też użyć innych usług magazynu w chmurze (ADLS Gen2, AWS S3, GCS) z włączonym szyfrowaniem CMK i uzyskiwać dostęp do danych z usługi Microsoft Fabric przy użyciu skrótów OneLake. W tym wzorcu dane nadal znajdują się w usłudze przechowywania w chmurze lub zewnętrznym rozwiązaniu magazynowym, w którym włączone jest szyfrowanie danych w stanie spoczynku przy użyciu klucza CMK zarządzanego przez klienta, i można wykonywać operacje odczytu w miejscu z Fabric, przy zachowaniu zgodności. Po utworzeniu skrótu w ramach Fabric, dane będą dostępne w innych środowiskach Fabric.
Klucz CMK na poziomie obszaru roboczego jest obsługiwany we wszystkich pojemnościach Fabric, w tym w przypadku tych z obsługą BYOK. W przypadku używania funkcji BYOK i CMK razem można użyć tego samego klucza lub oddzielnych kluczy. Model BYOK na poziomie pojemności szyfruje modele semantyczne Power BI, a klucz zarządzany przez klienta (CMK) na poziomie obszaru roboczego szyfruje inne elementy platformy Fabric, takie jak lakehouses, potoki i notesy.
Istnieje kilka zagadnień dotyczących używania tego wzorca:
- Użyj wzorca omówionego tutaj dla danych, które mają wymaganie dotyczące szyfrowania danych w stanie spoczynku przy użyciu klucza zarządzanego przez klienta. Dane, które nie mają tego wymagania, mogą być szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę, a dane mogą być przechowywane natywnie w usłudze Microsoft Fabric OneLake.
- Usługa Fabric Lakehouse i baza danych KQL to dwa obciążenia w usłudze Microsoft Fabric, które obsługują tworzenie skrótów. W tym wzorze, w którym dane nadal znajdują się w zewnętrznej usłudze magazynowania z włączonym kluczem CMK, można używać skrótów w bazach danych Lakehouses i KQL, aby przenieść dane do Microsoft Fabric do analizy, ale dane są fizycznie przechowywane poza OneLake, gdzie włączono szyfrowanie CMK.
- Skrót ADLS Gen2 obsługuje zarówno odczyt, jak i zapis, a używając tego typu skrótu, można również zapisywać dane z powrotem do usługi magazynowej, gdzie będą one szyfrowane w stanie spoczynku przy użyciu klucza zarządzanego przez klienta. Podczas korzystania z CMK z usługą ADLS Gen2 należy wziąć pod uwagę następujące kwestie dotyczące usługi Azure Key Vault (AKV) i usługi Azure Storage.
- Jeśli używasz rozwiązania magazynowania innej firmy, które jest zgodne z platformą AWS S3 (Cloudflare, Qumolo Core z publicznym punktem końcowym, Public MinIO i Dell ECS z publicznym punktem końcowym) i ma włączony klucz CMK, wzorzec omówiony w tym dokumencie można rozszerzyć na te rozwiązania magazynowania innych firm. Za pomocą skrótu zgodnego z Amazon S3 można przenieść dane do Fabric, używając skrótu pochodzącego z tych rozwiązań. Podobnie jak w przypadku usług magazynu w chmurze, można przechowywać dane w magazynie zewnętrznym przy użyciu szyfrowania CMK i wykonywać operacje odczytu w miejscu.
- Usługa AWS S3 obsługuje szyfrowanie danych w stanie spoczynku przy użyciu kluczy zarządzanych przez klienta. Platforma może wykonywać bezpośrednie odczyty w kubełkach S3 przy użyciu skrótu S3; jednak operacje zapisu przy użyciu skrótu do AWS S3 nie są obsługiwane.
- Usługa Google Cloud Storage obsługuje szyfrowanie danych przy użyciu kluczy zarządzanych przez klienta. Fabric może wykonywać bezpośrednie odczyty w usłudze GCS; jednak operacje zapisu przy użyciu skrótowego dostępu do GCS nie są obsługiwane.
- Włącz inspekcję dla usługi Microsoft Fabric, aby śledzić działania.
- W usłudze Microsoft Fabric, usługa Power BI używa funkcji Bring your own encryption keys (BYOK) do szyfrowania modeli semantycznych Power BI na poziomie pojemności, podczas gdy klucz CMK (Customer-Managed Key) szyfruje inne elementy Fabric na poziomie obszaru roboczego. Te funkcje umożliwiają obsługę warstwowych mechanizmów szyfrowania dostosowanych do architektury zabezpieczeń.
- Wyłącz funkcję buforowania skrótów dla skrótów S3, GCS i skrótów kompatybilnych z S3, ponieważ dane z buforu są przechowywane w usłudze OneLake.
Rezydencja danych
Ponieważ masz do czynienia z danymi pacjentów, ze względów zgodności organizacja nakazała, aby dane nigdy nie opuszczały granic geograficznych Stanów Zjednoczonych. Główne operacje organizacji odbywają się w Nowym Jorku i siedzibie głównej w Seattle. Podczas konfigurowania usługi Power BI organizacja wybrała region wschodni USA jako region macierzysty dzierżawy. Na potrzeby swoich operacji utworzono pojemność typu Fabric w regionie Zachodnich Stanów Zjednoczonych, co pozwala na bliższą lokalizację względem źródeł danych. Ponieważ usługa OneLake jest dostępna na całym świecie, obawiasz się, czy możesz spełnić zasady przechowywania danych organizacji podczas korzystania z usługi Fabric.
W usłudze Fabric dowiesz się, że możesz tworzyć pojemności multi-geo, które są pojemnościami znajdującymi się w lokalizacjach geograficznych (geograficznych) innych niż w regionie macierzysnym dzierżawy. Obszary robocze usługi Fabric są przypisywane do tych pojemności. W takim przypadku zasoby obliczeniowe i magazyn (w tym usługa OneLake i magazyn specyficzny dla środowiska) dla wszystkich elementów w obszarze roboczym znajdują się w regionie obejmującym wiele obszarów geograficznych, podczas gdy metadane dzierżawy pozostają w regionie macierzysty. Dane będą przechowywane i przetwarzane tylko w tych dwóch lokalizacjach geograficznych, co zapewnia spełnienie wymagań dotyczących przechowywania danych w organizacji.
Kontrola dostępu
Musisz mieć pewność, że tylko Ty i Twoi koledzy inżynierowie danych mają pełny dostęp do danych w warstwach brązu i srebra nad jeziorem. Te warstwy umożliwiają czyszczenie, walidację, przekształcanie i wzbogacanie danych. Musisz ograniczyć dostęp do danych w warstwie złota tylko autoryzowanym użytkownikom, takim jak analitycy danych i użytkownicy biznesowi, którzy mogą używać danych do różnych celów analitycznych, takich jak raportowanie i analiza.
Platforma Fabryczna udostępnia elastyczny model uprawnień, który umożliwia kontrolowanie dostępu do elementów i danych w przestrzeniach roboczych. Obszar roboczy to zabezpieczalna jednostka logiczna do grupowania elementów w Fabric. Role w obszarze roboczym służą do kontrolowania dostępu do elementów w obszarze roboczym. Cztery podstawowe role obszaru roboczego to:
- Administrator: może wyświetlać, modyfikować, udostępniać i zarządzać całą zawartością w obszarze roboczym, w tym zarządzać uprawnieniami.
- Członek: może wyświetlać, modyfikować i udostępniać całą zawartość w obszarze roboczym.
- Współautor: może wyświetlać i modyfikować całą zawartość w obszarze roboczym.
- Osoba przeglądająca: może wyświetlać całą zawartość w obszarze roboczym, ale nie może jej modyfikować.
W tym scenariuszu utworzysz trzy obszary robocze, po jednym dla każdej warstwy medalonu (brązowy, srebrny i złoty). Ponieważ utworzono obszar roboczy, użytkownik jest automatycznie przypisywany do roli administratora .
Następnie należy dodać grupę zabezpieczeń do roli Współautor tych trzech obszarów roboczych. Ponieważ grupa zabezpieczeń obejmuje twoich kolegów inżynierów jako członków, mogą oni tworzyć i modyfikować elementy Fabric w tych obszarach roboczych — jednak nie mogą udostępniać żadnych elementów innym osobom. Nie mogą też udzielać dostępu innym użytkownikom.
W obszarach roboczych z brązu i srebra ty i inni inżynierowie tworzycie elementy platformy Fabric w celu pozyskiwania, przechowywania i przetwarzania danych. Elementy fabricu składają się z lakehouse, pipeline'ów i notatników. W złotym obszarze roboczym utworzysz dwa magazyny typu lakehouse, wiele potoków i notesów oraz model semantyczny usługi Direct Lake, który zapewnia szybką wydajność zapytań dotyczących danych przechowywanych w jednym z magazynów typu lakehouse.
Następnie należy wziąć pod uwagę sposób, w jaki analitycy danych i użytkownicy biznesowi mogą uzyskiwać dostęp do danych, do których mają uprawnienia. W szczególności mogą uzyskiwać dostęp tylko do danych istotnych dla ich roli i działu.
Pierwszy lakehouse zawiera rzeczywiste dane i nie wymusza żadnych uprawnień dostępu do danych w punkcie końcowym analizy SQL. Drugi magazyn lakehouse zawiera skróty do pierwszego magazynu lakehouse i wymusza szczegółowe uprawnienia do danych w punkcie końcowym analizy SQL. Model semantyczny łączy się z pierwszym "lakehouse". Aby wymusić odpowiednie uprawnienia danych dla użytkowników (dzięki czemu mogą uzyskiwać dostęp tylko do danych odpowiednich dla ich roli i działu), nie udostępniasz pierwszej usługi lakehouse użytkownikom. Zamiast tego udostępniasz tylko model semantyczny Direct Lake i drugi lakehouse, który wymusza uprawnienia do danych w punkcie końcowym analityki SQL.
Skonfigurowano model semantyczny tak, aby używał stałej tożsamości, a następnie zaimplementowano zabezpieczenia na poziomie wiersza w modelu semantycznym w celu wymuszania reguł modelu w celu zarządzania danymi, do których użytkownicy mogą uzyskiwać dostęp. Następnie udostępniasz analitykom danych i użytkownikom biznesowym tylko model semantyczny, ponieważ nie powinni oni uzyskiwać dostępu do innych elementów w środowisku roboczym, takich jak potoki i notesy. Na koniec udzielasz uprawnień do tworzenia modelu semantycznego, aby użytkownicy mogli tworzyć raporty usługi Power BI. W ten sposób semantyczny model staje się udostępnionym modelem semantycznym i źródłem raportów usługi Power BI.
Analitycy danych potrzebują dostępu do drugiego lakehouse w złotym środowisku roboczym. Nawiążą one połączenie z punktem końcowym analizy SQL w usłudze Lakehouse, aby napisać zapytania SQL i przeprowadzić analizę. Więc udostępniasz z nimi ten lakehouse i zapewniasz dostęp tylko do potrzebnych obiektów (takich jak tabele, wiersze i kolumny z regułami maskowania) w końcowym punkcie analizy SQL lakehouse, używając modelu zabezpieczeń SQL. Analitycy danych mogą teraz uzyskiwać dostęp tylko do danych istotnych dla ich roli i działu, a także nie mogą uzyskać dostępu do innych elementów w obszarze roboczym, takich jak potoki i notatniki.
Typowe scenariusze zabezpieczeń
W poniższej tabeli wymieniono typowe scenariusze zabezpieczeń i narzędzia, których można użyć do ich wykonania.
| Scenariusz | Narzędzia | Kierunek |
|---|---|---|
| Jestem deweloperem ETL i chcę załadować duże ilości danych do Fabric w dużej skali z wielu systemów źródłowych i tabel. Dane źródłowe znajdują się lokalnie (lub w innych chmurach) i są chronione zaporami lub źródłami danych platformy Azure z prywatnymi punktami końcowymi. | Użyj lokalnej bramy danych z operacją kopiowania w potoku. | Wychodzący |
| Jestem użytkownikiem zaawansowanym i chcę załadować dane do Fabric z systemów źródłowych, do których mam dostęp. Ponieważ nie jestem deweloperem, muszę przekształcić dane przy użyciu interfejsu z małą ilością kodu. Dane źródłowe są lokalne (lub w innej chmurze) i są za zaporami. | Użyj lokalnej bramy danych na miejscu z usługą Dataflow Gen 2. | Wychodzący |
| Jestem zaawansowanym użytkownikiem i chcę załadować dane w Fabric z systemów źródłowych, do których mam dostęp. Dane źródłowe znajdują się na platformie Azure za prywatnymi punktami końcowymi. Nie chcę instalować ani obsługiwać infrastruktury lokalnej bramy danych. | Użyj bramy danych VNet z przepływem danych Gen 2. | Wychodzący |
| Jestem deweloperem, który może pisać kod pozyskiwania danych przy użyciu notesów platformy Spark. Chcę załadować dane do Fabric z systemów źródłowych, do których mam dostęp. Dane źródłowe znajdują się na platformie Azure za prywatnymi punktami końcowymi. Nie chcę instalować ani obsługiwać infrastruktury lokalnej bramy danych. | Użyj notatników Fabric z prywatnymi punktami końcowymi Azure. | Wychodzący |
| Mam wiele istniejących potoków danych w usługach Azure Data Factory (ADF) i Synapse, które łączą się ze źródłami danych i ładują dane do platformy Azure. Teraz chcę zmodyfikować te potoki, aby załadować dane do Fabric. | Użyj łącznika Lakehouse w istniejących potokach. | Wychodzący |
| Mam strukturę pozyskiwania danych opracowaną na platformie Spark, która łączy się z moimi źródłami danych bezpiecznie i ładuje je na platformę Azure. Korzystam z niego w usłudze Azure Databricks i/lub usłudze Synapse Spark. Chcę nadal używać usługi Azure Databricks i/lub usługi Synapse Spark, aby załadować dane do sieci szkieletowej. | Używanie interfejsu API usługi OneLake i usługi Azure Data Lake Storage (ADLS) Gen2 (sterownik systemu plików obiektów blob platformy Azure) | Wychodzący |
| Chcę zapewnić, że moje punkty końcowe sieci Fabric są chronione przed publicznym internetem. | Jako usługa SaaS, zaplecze Fabric jest już chronione przed publicznym Internetem. Aby uzyskać większą ochronę, należy użyć zasad dostępu warunkowego firmy Microsoft dla sieci szkieletowej i/lub włączyć łącza prywatne na poziomie dzierżawy dla sieci szkieletowej i zablokować publiczny dostęp do Internetu. | Przychodzący |
| Chcę mieć pewność, że dostęp do Fabric jest możliwy tylko z sieci firmowej i/lub z zgodnych urządzeń. | Użyj zasad dostępu warunkowego Microsoft Entra dla Fabric. | Przychodzący |
| Chcę mieć pewność, że każda osoba uzyskująca dostęp do Fabric musi przeprowadzać uwierzytelnianie wieloskładnikowe. | Użyj zasad dostępu warunkowego Microsoft Entra dla Fabric. | Przychodzący |
| Chcę zablokować dostęp do całego dzierżawcy Fabric z publicznego Internetu i umożliwić dostęp wyłącznie z moich sieci wirtualnych. | Włącz łącza prywatne na poziomie dzierżawy dla Fabric i zablokuj publiczny dostęp do Internetu. | Przychodzący |
Powiązana zawartość
Aby uzyskać więcej informacji na temat bezpieczeństwa platformy Fabric, zobacz następujące zasoby.
- Zabezpieczenia w usłudze Microsoft Fabric
- Omówienie zabezpieczeń usługi OneLake
- Pojęcia i licencje usługi Microsoft Fabric
- Pytania? Spróbuj zapytać społeczność Microsoft Fabric.
- Sugestie? Wnieś pomysły, aby ulepszyć Microsoft Fabric.