Compartilhar via


Segurança no Microsoft Fabric

O Microsoft Fabric é uma plataforma de software como serviço (SaaS) que permite que os usuários obtenham, criem, compartilhem e visualizem dados.

Como um serviço SaaS, o Fabric oferece um pacote de segurança completo para toda a plataforma. O Fabric elimina o custo e a responsabilidade de manter sua solução de segurança e a transfere para a nuvem. Com ele, você pode usar a experiência e os recursos da Microsoft para manter seus dados seguros, corrigir vulnerabilidades, monitorar ameaças e cumprir as regulamentações. Além disso, o Fabric permite a você gerenciar, controlar e realizar auditoria das configurações de segurança, conforme suas necessidades e demandas em constante mudança.

À medida que você traz seus dados para a nuvem e os usa com diversas experiências de análise, como o Power BI, o Data Factory e a próxima geração do Synapse, a Microsoft garante que os recursos internos de segurança e de confiabilidade protejam os dados inativos e em trânsito. A Microsoft também garante que seus dados possam ser recuperados em casos de falhas de infraestrutura ou desastres.

A segurança do Fabric é:

  • Sempre ativado - Cada interação com o Fabric é criptografada por padrão e autenticada usando o Microsoft Entra ID. Toda a comunicação entre as experiências do Fabric trafega pela Internet do backbone da Microsoft. Os dados inativos são automaticamente armazenados criptografados. Para regular o acesso ao Fabric, você pode adicionar recursos de segurança extras, como Links Privados ou Acesso Condicional ao Entra. O Fabric também pode se conectar a dados protegidos por um firewall ou uma rede privada usando acesso confiável.

  • Em conformidade – O Fabric tem soberania de dados pronta para uso com capacidades multigeográficas. O Fabric também tem suporte a uma ampla gama de padrões de conformidade.

  • Governável - O Fabric vem com um conjunto de ferramentas de governança, como linhagem de dados, rótulos de proteção de informações, prevenção contra perda de dados e integração ao purview.

  • Configurável - É possível configurar a segurança do Fabric de acordo com suas políticas organizacionais.

  • Em evolução - A Microsoft está constantemente aprimorando a segurança do Fabric ao adicionar novos recursos e controles.

Authenticate

O Microsoft Fabric é uma plataforma de SaaS, como muitos outros serviços Microsoft, como o Azure, o Microsoft Office, o OneDrive e o Dynamics. Todos esses serviços de SaaS da Microsoft, incluindo o Fabric, usam o Microsoft Entra ID como o provedor de identidade baseado em nuvem. O Microsoft Entra ID ajuda os usuários a se conectarem a esses serviços de forma rápida e fácil usando qualquer dispositivo e rede. Cada solicitação de conexão ao Fabric é autenticada com o Microsoft Entra ID, permitindo que os usuários se conectem com segurança ao Fabric usando o escritório da corporação, ao trabalhar em casa ou em uma localização remota.

Entender a segurança de rede

O Fabric é um serviço de SaaS executado na Microsoft Cloud. Alguns cenários envolvem a conexão com dados que são externos à plataforma do Fabric. Por exemplo, a exibição de um relatório da sua própria rede ou a conexão com dados que estão em outro serviço. As interações dentro do Fabric usam a rede interna da Microsoft e o tráfego externo ao serviço é protegido por padrão. Para obter mais informações e uma descrição detalhada, consulte Dados em trânsito.

Segurança de rede de entrada

Sua organização pode desejar restringir e proteger o tráfego de rede que entra no Fabric com base nos requisitos da empresa. Com o Acesso Condicional e os Links Privados do Microsoft Entra ID, você pode selecionar a solução de entrada certa para sua organização.

Acesso condicional do Microsoft Entra ID

O Microsoft Entra ID fornece acesso condicional ao Fabric, o que permite proteger o acesso ao Fabric em todas as conexões. Aqui estão alguns exemplos de restrições de acesso que você pode impor usando o Acesso condicional.

  • Defina uma lista de IPs para conectividade de entrada com o Fabric.

  • Usar a MFA (autenticação multifator).

  • Restrinja o tráfego com base em parâmetros como país de origem ou tipo de dispositivo.

Para configurar o acesso condicional, veja Acesso condicional no Fabric.

Para compreender mais sobre a autenticação no Fabric, confira Fundamentos de segurança do Microsoft Fabric.

Os links privados permitem a conectividade segura com o Fabric restringindo o acesso ao locatário do Fabric a partir de uma rede virtual (VNet) do Azure e bloqueando todo o acesso público. Isso garante que apenas o tráfego de rede dessa VNet tenha permissão para acessar recursos do Fabric, como Notebooks, Lakehouses e data warehouses, em seu locatário.

Para configurar Links Privados no Fabric, consulte Configurar e usar links privados.

Segurança de rede de saída

O Fabric tem um conjunto de ferramentas que permitem a conexão com fontes de dados externas e a transmissão desses dados para o Fabric de maneira segura. Esta seção lista diferentes maneiras de importar e realizar a conexão de dados de uma rede segura para o Fabric.

Acesso confiável ao espaço de trabalho

Com o Fabric, você pode acessar contas do Azure Data Lake Gen 2 habilitadas para firewall de maneira segura. Os espaços de trabalho do Fabric que têm uma identidade de espaço de trabalho podem acessar com segurança contas do Azure Data Lake Gen 2 com acesso à rede pública habilitado em redes virtuais e endereços IP selecionados. Você pode limitar o acesso do ADLS Gen 2 a espaços de trabalho específicos do Fabric. Para obter mais informações, consulte Acesso confiável ao espaço de trabalho.

Observação

As identidades do espaço de trabalho do Fabric só podem ser criadas em espaços de trabalho associados a uma capacidade de SKU F do Fabric. Para obter informações sobre como comprar uma assinatura do Fabric, consulte Comprar uma assinatura do Microsoft Fabric.

Pontos de extremidade privados gerenciados

Os pontos de extremidade privados gerenciados permitem conexões seguras a fontes de dados como os bancos de dados do Azure SQL sem expô-las à rede pública e sem exigir configurações de rede complexas.

Redes virtuais gerenciadas

Redes virtuais gerenciadas são redes virtuais criadas e gerenciadas pelo Microsoft Fabric para cada espaço de trabalho do Fabric. As redes virtuais gerenciadas fornecem isolamento de rede para cargas de trabalho do Fabric Spark, o que significa que os clusters de cálculo são implantados em uma rede dedicada e não fazem mais parte da rede virtual compartilhada.

As redes virtuais gerenciadas também habilitam recursos de segurança de rede, como pontos de extremidade privados gerenciados e suporte a links privados para os itens de Engenharia e Ciência de Dados no Microsoft Fabric que usam o Apache Spark.

Gateway de dados

Para se conectar a fontes de dados locais ou a uma fonte de dados que possa estar protegida por um firewall ou uma rede virtual, você pode usar uma das opções a seguir:

  • Gateway de dados local: o gateway atua como uma ponte entre suas fontes de dados locais e o Fabric. O gateway é instalado em um servidor dentro da rede e permite que o Fabric se conecte às fontes de dados por um canal de segurança sem a necessidade de abrir portas ou fazer alterações na rede.

  • Gateway de dados de rede virtual (VNet): o Gateway VNet permite que você se conecte dos serviços em nuvem da Microsoft aos serviços de dados do Azure em uma VNet sem precisar de um gateway de dados local.

Conectar-se ao OneLake a partir de um serviço existente

É possível realizar uma conexão ao Fabric usando seu serviço existente da Plataforma como Serviço (PaaS) do Azure. Para o Synapse e o Azure Data Factory (ADF), você pode usar o Tempo de Execução de Integração do Azure (IR) ou a Rede virtual gerenciada do Azure Data Factory. Também pode se conectar a esses serviços e a outros serviços, como fluxos de dados de mapeamento, clusters Synapse Spark, clusters Databricks Spark e Azure HDInsight usando APIs do OneLake.

Marcas de serviço do Azure

Use Marcas de Serviço para ingerir dados, sem usar gateways de dados, de fontes de dados implantadas em uma rede virtual do Azure, como as Máquinas Virtuais (VMs) do SQL do Azure, a Instância Gerenciada de SQL do Azure (MI) e as APIs REST. Você também pode usar marcas de serviço para obter tráfego de uma rede virtual ou de um firewall do Azure. Por exemplo, marcas de serviço podem permitir o tráfego de saída para o Fabric para que um usuário em uma VM possa se conectar a cadeias de conexão do Fabric SQL no SSMS enquanto é impedido de acessar outros recursos públicos da Internet.

Listas de IPs permitidos

Caso tenha dados que não residem no Azure, você poderá habilitar uma lista de IPs permitidos na rede da sua organização para permitir o tráfego de e para o Fabric. Uma lista de IPs permitidos é útil se você precisar obter dados de fontes de dados que não sejam compatíveis com marcas de serviço, como fontes de dados locais. Com esses atalhos, é possível obter dados sem copiá-los para o OneLake usando um ponto de extremidade de análise do SQL do Lakehouse ou Direct Lake.

Você pode obter a lista de IPs do Fabric de marcas de serviço locais. A lista está disponível como um arquivo JSON ou programaticamente com APIs REST, PowerShell e CLI (Interface de Linha de Comando) do Azure.

Dados Seguros

No Fabric, todos os dados armazenados no OneLake são criptografados em repouso. Todos os dados inativos são armazenados na região de origem ou em uma das capacidades em uma região remota de sua escolha para que você possa atender aos regulamentos de soberania de dados inativos. Para obter mais informações, consulte Fundamentos de segurança do Microsoft Fabric.

Compreender locatários em várias áreas geográficas

Muitas organizações têm uma presença global e precisam de serviços em várias áreas geográficas do Azure. Por exemplo, uma empresa pode ter sede nos Estados Unidos e fazer negócios em outras áreas geográficas, como a Austrália. Para atender às regulamentações locais, empresas com presença global precisam garantir que os dados permaneçam armazenados em repouso em várias regiões. No Fabric, isso é chamado de multigeográfico.

A camada de execução de consultas, os caches de consultas e os dados de itens atribuídos a um espaço de trabalho multigeo permanecem na área geográfica do Azure de sua criação. No entanto, alguns metadados e o processamento são armazenados em repouso na localização geográfica do locatário.

O Fabric faz parte de um ecossistema maior da Microsoft. Se sua organização já estiver usando outros serviços de assinatura de nuvem, como o Azure, o Microsoft 365 ou o Dynamics 365, o Fabric operará no mesmo locatário do Microsoft Entra. Seu domínio organizacional (por exemplo, contoso.com) está associado ao Microsoft Entra ID. Como todos os serviços em nuvem da Microsoft.

O Fabric garante que seus dados estejam seguros entre regiões quando você estiver trabalhando com vários locatários que têm várias capacidades em várias áreas geográficas.

Acessar dados

O Fabric controla o acesso a dados usando espaços de trabalho. Nos espaços de trabalho, os dados aparecem na forma de itens do Fabric. Os usuários, por sua vez, não podem visualizar ou usar itens (dados), a menos que você conceda a eles acesso ao espaço de trabalho. Você pode encontrar mais informações sobre permissões de espaço de trabalho e item em Modelo de permissão.

Funções de workspace

O acesso ao espaço de trabalho está listado na tabela abaixo. Inclui funções de espaço de trabalho e segurança do Fabric e do OneLake. Usuários com função de visualizador podem executar consultas SQL, DAX (Data Analysis Expressions) ou MDX (Multidimensional Expressions), mas não podem acessar itens do Fabric ou executar um notebook.

Função Acesso ao workspace Acesso ao OneLake
Administrador, membro e colaborador Pode usar todos os itens do espaço de trabalho
Visualizador Pode ver todos os itens do espaço de trabalho

Compartilhar itens

Você pode compartilhar itens do Fabric com usuários em sua organização que não têm nenhuma função de espaço de trabalho. O compartilhamento de itens dá acesso restrito, permitindo que os usuários acessem apenas o item compartilhado no espaço de trabalho.

Limitar o acesso

Você pode limitar o acesso do visualizador aos dados usando RLS (segurança em nível de linha), CLS (segurança em nível de coluna) e OLS (segurança em nível de objeto). Com a RLS, a CLS e a OLS, você pode criar identidades de usuário que têm acesso a determinadas partes de seus dados e limitar os resultados SQL retornando apenas o que a identidade do usuário pode acessar.

Você também pode adicionar a RLS a um conjunto de dados do DirectLake. Se você definir segurança para SQL e DAX, o DirectLake retornará ao DirectQuery para tabelas que tenham RLS no SQL. Nesses casos, os resultados do DAX ou MDX são limitados à identidade do usuário.

Para expor relatórios ao usar um conjunto de dados DirectLake com RLS sem um substituto do DirectQuery, use o compartilhamento direto de conjunto de dados ou os aplicativos no Power BI. Com aplicativos no Power BI, você pode dar acesso a relatórios sem acesso de visualizador. Com esse tipo de acesso, os usuários não podem usar SQL. Para permitir que o DirectLake leia os dados, você precisa alternar a credencial da fonte de dados de logon único (SSO) para uma identidade fixa que tenha acesso aos arquivos no lago.

Proteger dados

O Fabric oferece suporte a rótulos de confidencialidade de Proteção de Informações do Microsoft Purview. Esses são os rótulos, como Geral, Confidencial e Altamente Confidencial, os quais são amplamente usados ​​em aplicativos do Microsoft Office, como o Word, o PowerPoint e o Excel, para proteger informações confidenciais. No Fabric, é possível classificar itens que contêm dados confidenciais ao usar esses mesmos rótulos de confidencialidade. Os rótulos de confidencialidade seguem os dados automaticamente de item para item à medida que eles são transmitidos pelo Fabric, desde a fonte de dados até os Usuários de Negócios. O rótulo de confidencialidade segue mesmo quando os dados são exportados para formatos com suporte, como PBIX, Excel, PowerPoint e PDF, garantindo que os dados permaneçam protegidos. Somente usuários autorizados podem abrir o arquivo. Para obter mais informações, confira Governança e conformidade no Microsoft Fabric.

Para ajudar você com a governança, a proteção e o gerenciamento dos dados, é possível usar o Microsoft Purview. O Microsoft Purview e o Fabric trabalham juntos, permitindo a você armazenar, analisar e controlar os dados usando um único local, o hub do Microsoft Purview.

Recuperar dados

A resiliência de dados do Fabric garante que os dados estejam disponíveis em caso de desastre. O Fabric também permite recuperar dados em caso de desastre, recuperação de desastres. Para obter mais informações, consulte Confiabilidade no Microsoft Fabric.

Administrar o Fabric

Como um administrador no Fabric, você controla as funcionalidades de toda a organização. O Fabric possibilita a delegação da função de administrador a capacidades, espaços de trabalho e domínios. Ao delegar responsabilidades administrativas às pessoas adequadas, você pode implementar um modelo que permite que vários administradores importantes controlem as configurações gerais do Fabric em toda a organização, enquanto outros administradores são responsáveis pelas configurações relacionadas a áreas específicas.

Ao usar várias ferramentas, os administradores também podem monitorar os principais aspectos do Fabric, como o consumo de capacidade.

Logs de Auditoria

Para exibir seus logs de auditoria, siga as instruções em Controlar atividades do usuário no Microsoft Fabric. Você também pode consultar a Lista de operações para ver quais atividades estão disponíveis para pesquisa nos logs de auditoria.

Funcionalidades

Examine esta seção para obter uma lista de alguns dos recursos de segurança disponíveis no Microsoft Fabric.

Capacidade Descrição
Acesso condicional Proteja seus aplicativos usando o Microsoft Entra ID
Proteção de dados Controle como os engenheiros da Microsoft acessam seus dados
Segurança do Fabric e do OneLake Saiba como proteger seus dados no Fabric e no OneLake.
Resiliência Confiabilidade e resiliência regional com as zonas de disponibilidade do Azure
Marcas de serviço Habilite uma MI (Instância Gerenciada) de SQL do Azure para permitir conexões de entrada do Microsoft Fabric