Cenário de segurança de ponta a ponta do Microsoft Fabric
A segurança é um aspeto fundamental de qualquer solução de análise de dados, especialmente quando envolve dados sensíveis ou confidenciais. Por esse motivo, o Microsoft Fabric fornece um conjunto abrangente de recursos de segurança que permite proteger seus dados em repouso e em trânsito, bem como controlar o acesso e as permissões para seus usuários e aplicativos.
Neste artigo, você aprenderá sobre os conceitos e recursos de segurança do Fabric que podem ajudá-lo a criar com confiança sua própria solução analítica com o Fabric.
Fundo
Este artigo apresenta um cenário em que você é um engenheiro de dados que trabalha para uma organização de saúde nos Estados Unidos. A organização coleta e analisa dados de pacientes provenientes de vários sistemas, incluindo registros de saúde eletrônicos, resultados de laboratório, reclamações de seguros e dispositivos vestíveis.
Você planeja construir uma casa de lago usando a arquitetura medalhão em tecido, que consiste em três camadas: bronze, prata e ouro.
- A camada de bronze armazena os dados brutos à medida que chegam das fontes de dados.
- A camada prateada aplica verificações e transformações de qualidade de dados para preparar os dados para análise.
- A camada ouro fornece dados agregados e enriquecidos para geração de relatórios e visualização.
Enquanto algumas fontes de dados estão localizadas em sua rede local, outras estão atrás de firewalls e exigem acesso seguro e autenticado. Há também algumas fontes de dados gerenciadas no Azure, como o Banco de Dados SQL do Azure e o Armazenamento do Azure. Você precisa se conectar a essas fontes de dados do Azure de uma forma que não exponha os dados à Internet pública.
Você decidiu usar o Fabric porque ele pode ingerir, armazenar, processar e analisar seus dados na nuvem com segurança. É importante ressaltar que ele faz isso em conformidade com as regulamentações do seu setor e as políticas da sua organização.
Como o Fabric é software como serviço (SaaS), você não precisa provisionar recursos individuais, como armazenamento ou recursos de computação. Tudo o que você precisa é de uma capacidade de tecido.
Você precisa configurar os requisitos de acesso aos dados. Especificamente, você precisa garantir que apenas você e seus colegas engenheiros de dados tenham acesso aos dados nas camadas bronze e prata da casa do lago. Essas camadas são onde você planeja executar limpeza, validação, transformação e enriquecimento de dados. Você também precisa restringir o acesso aos dados na camada ouro. Somente usuários autorizados, incluindo analistas de dados e usuários corporativos, devem ter acesso à camada ouro. Eles exigem esse acesso para usar os dados para vários fins analíticos, como relatórios, aprendizado de máquina e análise preditiva. O acesso aos dados precisa ser ainda mais restrito pela função e pelo departamento do usuário.
Conectar-se à malha (proteção de entrada)
Primeiro, você configura a proteção de entrada, que se preocupa com a forma como você e outros usuários entram e têm acesso ao Fabric.
Como o Fabric é implantado em um locatário do Microsoft Entra, a autenticação e a autorização são tratadas pelo Microsoft Entra. Você entra com uma conta de organização do Microsoft Entra (conta corporativa ou de estudante). Em seguida, considere como outros usuários se conectarão ao Fabric.
O locatário do Microsoft Entra é um limite de segurança de identidade que está sob o controle do seu departamento de TI. Dentro desse limite de segurança, a administração de objetos do Microsoft Entra (como contas de usuário) e a configuração de configurações de todo o locatário são feitas pelos administradores de TI. Como qualquer serviço SaaS, o Fabric isola logicamente os locatários. Os dados e recursos em seu locatário nunca podem ser acessados por outros locatários, a menos que você os autorize explicitamente a fazê-lo.
Veja o que acontece quando um usuário entra no Fabric.
| Item | Descrição |
|---|---|
 |
O usuário abre um navegador (ou um aplicativo cliente) e entra no portal da malha. |
 |
O usuário é imediatamente redirecionado para o Microsoft Entra ID e é necessário autenticá-lo. A autenticação verifica se é a pessoa correta que está a iniciar sessão. |
 |
Depois que a autenticação é bem-sucedida, o front-end da Web recebe a solicitação do usuário e entrega o conteúdo do front-end (HTML e CSS) do local mais próximo. Ele também encaminha a solicitação para a plataforma de metadados e a plataforma de capacidade de back-end. |
 |
A plataforma de metadados, que reside na região inicial do locatário, armazena os metadados do locatário, como espaços de trabalho e controles de acesso. Essa plataforma garante que o usuário esteja autorizado a acessar os espaços de trabalho e itens de malha relevantes. |
 |
A plataforma de capacidade de back-end executa operações de computação e armazena seus dados. Ele está localizado na região de capacidade. Quando um espaço de trabalho é atribuído à capacidade de malha, todos os dados que residem no espaço de trabalho, incluindo o data lake OneLake, são armazenados e processados na região de capacidade. |
A plataforma de metadados e a plataforma de capacidade de back-end são executadas em redes virtuais seguras. Estas redes expõem uma série de terminais seguros à Internet para que possam receber pedidos de utilizadores e outros serviços. Para além destes terminais, os serviços estão protegidos por regras de segurança de rede que bloqueiam o acesso a partir da Internet pública.
Quando os usuários entram no Fabric, você pode impor outras camadas de proteção. Dessa forma, seu locatário só estará acessível a determinados usuários e quando outras condições, como localização de rede e conformidade do dispositivo, forem atendidas. Essa camada de proteção é chamada de proteção de entrada.
Nesse cenário, você é responsável por informações confidenciais do paciente no Fabric. Portanto, sua organização determinou que todos os usuários que acessam o Fabric devem executar a autenticação multifator (MFA) e que eles devem estar na rede corporativa — apenas proteger a identidade do usuário não é suficiente.
Sua organização também oferece flexibilidade para os usuários, permitindo que eles trabalhem de qualquer lugar e usem seus dispositivos pessoais. Como o Microsoft Intune oferece suporte a BYOD (traga seu próprio dispositivo), você registra dispositivos de usuário aprovados no Intune.
Além disso, você precisa garantir que esses dispositivos estejam em conformidade com as políticas da organização. Especificamente, essas políticas exigem que os dispositivos só possam se conectar quando tiverem o sistema operacional mais recente instalado e os patches de segurança mais recentes. Você configura esses requisitos de segurança usando o Acesso Condicional do Microsoft Entra.
O Acesso Condicional oferece várias formas de proteger o seu inquilino. Pode:
- Conceda ou bloqueie o acesso por local de rede.
- Bloqueie o acesso a dispositivos executados em sistemas operativos não suportados.
- Exija um dispositivo compatível, um dispositivo associado ao Intune ou uma MFA para todos os utilizadores.
- E mais.
No caso de precisar bloquear todo o locatário do Fabric, você pode usar uma rede virtual e bloquear o acesso público à Internet. O acesso ao Fabric só é permitido a partir dessa rede virtual segura. Esse requisito é configurado habilitando links privados no nível do locatário para o Fabric. Ele garante que todos os pontos de extremidade do Fabric sejam resolvidos para um endereço IP privado em sua rede virtual, incluindo o acesso a todos os seus relatórios do Power BI. (A habilitação de pontos de extremidade privados afeta muitos itens de malha, portanto, leia atentamente este artigo antes de ativá-los.)
Acesso seguro a dados fora da malha (proteção de saída)
Em seguida, você configura a proteção de saída, que se preocupa em acessar dados com segurança por trás de firewalls ou pontos de extremidade privados.
Sua organização tem algumas fontes de dados localizadas em sua rede local. Como essas fontes de dados estão atrás de firewalls, o Fabric requer acesso seguro. Para permitir que o Fabric se conecte com segurança à sua fonte de dados local, instale um gateway de dados local.
O gateway pode ser usado por fluxos de dados e pipelines de dados do Data Factory para ingerir, preparar e transformar os dados locais e, em seguida, carregá-los no OneLake com uma atividade de cópia. O Data Factory suporta um conjunto abrangente de conectores que permitem que você se conecte a mais de 100 armazenamentos de dados diferentes.
Em seguida, cria fluxos de dados com o Power Query, que proporciona uma experiência intuitiva com uma interface low-code. Você o usa para ingerir dados de suas fontes de dados e transformá-los usando qualquer uma das transformações de dados 300+. Em seguida, você cria e orquestra um processo complexo de extração, transformação e carregamento (ETL) com pipelines de dados. Os processos ETL podem atualizar fluxos de dados e executar muitas tarefas diferentes em escala, processando petabytes de dados.
Nesse cenário, você já tem vários processos ETL. Primeiro, você tem alguns pipelines no Azure Data Factory (ADF). Atualmente, esses pipelines ingerem seus dados locais e os carregam em um data lake no Armazenamento do Azure usando o tempo de execução de integração auto-hospedado. Em segundo lugar, você tem uma estrutura de ingestão de dados no Azure Databricks escrita no Spark.
Agora que você está usando o Fabric, basta redirecionar o destino de saída dos pipelines do ADF para usar o conector lakehouse. E, para a estrutura de ingestão no Azure Databricks, você usa as APIs do OneLake que dão suporte ao driver ABFS (Sistema de Arquivos do Blog do Azure) para integrar o OneLake ao Azure Databricks. (Você também pode usar o mesmo método para integrar OneLake com Azure Synapse Analytics usando o Apache Spark.)
Você também tem algumas fontes de dados que estão no Banco de Dados SQL do Azure. Você precisa se conectar a essas fontes de dados usando pontos de extremidade privados. Nesse caso, você decide configurar um gateway de dados de rede virtual (VNet) e usar fluxos de dados para se conectar com segurança aos seus dados do Azure e carregá-los na Malha. Com gateways de dados VNet, você não precisa provisionar e gerenciar a infraestrutura (como precisa fazer para o gateway de dados local). Isso porque o Fabric cria de forma segura e dinâmica os contêineres em sua Rede Virtual do Azure.
Se você estiver desenvolvendo ou migrando sua estrutura de ingestão de dados no Spark, poderá se conectar a fontes de dados no Azure de forma segura e privada a partir de blocos de anotações e trabalhos do Fabric com a ajuda de pontos de extremidade privados gerenciados. Pontos de extremidade privados gerenciados podem ser criados em seus espaços de trabalho do Fabric para se conectar a fontes de dados no Azure que bloquearam o acesso público à Internet. Eles dão suporte a pontos de extremidade privados, como o Banco de Dados SQL do Azure e o Armazenamento do Azure. Os pontos de extremidade privados gerenciados são provisionados e gerenciados em uma VNet gerenciada dedicada a um espaço de trabalho do Fabric. Ao contrário das suas Redes Virtuais do Azure típicas, as redes virtuais geridas e os pontos de extremidade privados geridos não serão encontrados no portal do Azure. Isso porque eles são totalmente gerenciados pelo Fabric e você os encontra nas configurações do espaço de trabalho.
Como você já tem muitos dados armazenados nas contas Gen2 do Azure Data Lake Storage (ADLS), agora só precisa conectar cargas de trabalho do Fabric, como Spark e Power BI, a ele. Além disso, graças aos atalhos do OneLake ADLS, você pode se conectar facilmente aos seus dados existentes a partir de qualquer experiência do Fabric, como pipelines de integração de dados, blocos de anotações de engenharia de dados e relatórios do Power BI.
Os espaços de trabalho de malha que têm uma identidade de espaço de trabalho podem acessar com segurança as contas de armazenamento do ADLS Gen2, mesmo quando você desabilitou a rede pública. Isso é possível graças ao acesso confiável ao espaço de trabalho. Ele permite que o Fabric se conecte com segurança às contas de armazenamento usando uma rede de backbone da Microsoft. Isso significa que a comunicação não usa a Internet pública, o que permite desabilitar o acesso à rede pública à conta de armazenamento, mas ainda permitir que determinados espaços de trabalho do Fabric se conectem a eles.
Conformidade
Você deseja usar o Fabric para ingerir, armazenar, processar e analisar seus dados na nuvem com segurança, mantendo a conformidade com as regulamentações do seu setor e as políticas da sua organização.
O Fabric faz parte dos Serviços Principais do Microsoft Azure e é regido pelos Termos do Microsoft Online Services e pela Declaração de Privacidade da Microsoft Enterprise. Embora as certificações normalmente ocorram após o lançamento de um produto (Geralmente Disponível ou GA), a Microsoft integra as práticas recomendadas de conformidade desde o início e durante todo o ciclo de vida do desenvolvimento. Essa abordagem proativa garante uma base sólida para futuras certificações, mesmo que elas sigam ciclos de auditoria estabelecidos. Em termos mais simples, priorizamos a construção da conformidade desde o início, mesmo quando a certificação formal vem mais tarde.
O tecido está em conformidade com muitas normas da indústria, como ISO 27001, 27017, 27018 e 27701. O Fabric também é compatível com a HIPAA , o que é fundamental para a privacidade e a segurança dos dados de saúde. Você pode verificar os Apêndices A e B nas Ofertas de Conformidade do Microsoft Azure para obter informações detalhadas sobre quais serviços de nuvem estão no escopo das certificações. Você também pode acessar a documentação de auditoria do Service Trust Portal (STP).
A conformidade é uma responsabilidade partilhada. Para cumprir as leis e regulamentos, os fornecedores de serviços na nuvem e os seus clientes assumem uma responsabilidade partilhada para garantir que cada um faz a sua parte. Ao considerar e avaliar os serviços de nuvem pública, é fundamental entender o modelo de responsabilidade compartilhada e quais tarefas de segurança o provedor de nuvem lida e quais tarefas você executa.
Processamento de dados
Como você está lidando com informações confidenciais do paciente, precisa garantir que todos os seus dados estejam suficientemente protegidos, tanto em repouso quanto em trânsito.
A criptografia em repouso fornece proteção de dados para dados armazenados (em repouso). Os ataques contra dados em repouso incluem tentativas de obter acesso físico ao hardware no qual os dados são armazenados e, em seguida, comprometer os dados nesse hardware. A criptografia em repouso foi projetada para impedir que um invasor acesse os dados não criptografados, garantindo que os dados sejam criptografados quando estiverem no disco. A criptografia em repouso é uma medida obrigatória necessária para a conformidade com algumas das normas e regulamentações do setor, como a Organização Internacional de Padronização (ISO) e a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA).
Todos os armazenamentos de dados do Fabric são criptografados em repouso usando chaves gerenciadas pela Microsoft, o que fornece proteção para os dados do cliente e também para os dados e metadados do sistema. Os dados nunca são mantidos em armazenamento permanente enquanto estiverem em um estado não criptografado. Com chaves gerenciadas pela Microsoft, você se beneficia da criptografia de seus dados em repouso sem o risco ou o custo de uma solução personalizada de gerenciamento de chaves.
Os dados também são criptografados em trânsito. Todo o tráfego de entrada para pontos de extremidade de malha dos sistemas clientes impõe um mínimo de Transport Layer Security (TLS) 1.2. Também negoceia o TLS 1.3, sempre que possível. O TLS fornece autenticação forte, privacidade e integridade da mensagem (permitindo a deteção de adulteração, intercetação e falsificação de mensagens), interoperabilidade, flexibilidade de algoritmo e facilidade de implantação e uso.
Além da criptografia, o tráfego de rede entre os serviços da Microsoft sempre é roteado pela rede global da Microsoft, que é uma das maiores redes de backbone do mundo.
Residência de dados
Como você está lidando com dados de pacientes, por motivos de conformidade, sua organização determinou que os dados nunca devem sair do limite geográfico dos Estados Unidos. As principais operações da sua organização têm lugar em Nova Iorque e a sua sede em Seattle. Ao configurar o Power BI, sua organização escolheu a região Leste dos EUA como a região inicial do locatário. Para suas operações, você criou uma capacidade de malha na região Oeste dos EUA, que está mais próxima de suas fontes de dados. Como o OneLake está disponível em todo o mundo, você está preocupado se pode atender às políticas de residência de dados da sua organização ao usar o Fabric.
No Fabric, você aprende que pode criar capacidades Multi-Geo, que são capacidades localizadas em geografias (geos) diferentes da região de origem do locatário. Você atribui seus espaços de trabalho do Fabric a essas capacidades. Nesse caso, a computação e o armazenamento (incluindo o OneLake e o armazenamento específico da experiência) para todos os itens no espaço de trabalho residem na região multigeográfica, enquanto os metadados do locatário permanecem na região inicial. Os seus dados só serão armazenados e processados nestas duas geografias, garantindo assim que os requisitos de residência de dados da sua organização são cumpridos.
Controlo de acesso
Você precisa garantir que apenas você e seus colegas engenheiros de dados tenham acesso total aos dados nas camadas bronze e prata da casa do lago. Essas camadas permitem que você execute limpeza, validação, transformação e enriquecimento de dados. Você precisa restringir o acesso aos dados na camada ouro apenas a usuários autorizados, como analistas de dados e usuários corporativos, que podem usar os dados para vários fins analíticos, como relatórios e análises.
O Fabric fornece um modelo de permissão flexível que permite controlar o acesso a itens e dados em seus espaços de trabalho. Um espaço de trabalho é uma entidade lógica protegível para agrupar itens no Fabric. Você usa funções de espaço de trabalho para controlar o acesso a itens nos espaços de trabalho. As quatro funções básicas de um espaço de trabalho são:
- Admin: pode visualizar, modificar, compartilhar e gerenciar todo o conteúdo no espaço de trabalho, incluindo o gerenciamento de permissões.
- Membro: pode visualizar, modificar e compartilhar todo o conteúdo no espaço de trabalho.
- Colaborador: pode visualizar e modificar todo o conteúdo no espaço de trabalho.
- Visualizador: pode visualizar todo o conteúdo no espaço de trabalho, mas não pode modificá-lo.
Nesse cenário, você cria três espaços de trabalho, um para cada uma das camadas de medalhão (bronze, prata e ouro). Como você criou o espaço de trabalho, você é automaticamente atribuído à função de administrador .
Em seguida, você adiciona um grupo de segurança à função de Colaborador desses três espaços de trabalho. Como o grupo de segurança inclui seus colegas engenheiros como membros, eles podem criar e modificar itens do Fabric nesses espaços de trabalho, mas não podem compartilhar nenhum item com mais ninguém. Também não podem conceder acesso a outros utilizadores.
Nos espaços de trabalho bronze e prata, você e seus colegas engenheiros criam itens de malha para ingerir dados, armazená-los e processá-los. Os itens de tecido compreendem uma casa de lago, dutos e cadernos. No espaço de trabalho dourado, você cria duas lakehouses, vários pipelines e notebooks e um modelo semântico Direct Lake, que oferece desempenho de consulta rápido de dados armazenados em uma das lakehouses.
Em seguida, você considera cuidadosamente como os analistas de dados e os usuários corporativos podem acessar os dados que têm permissão para acessar. Especificamente, eles só podem acessar dados que sejam relevantes para sua função e departamento.
O primeiro lakehouse contém os dados reais e não impõe nenhuma permissão de dados em seu ponto de extremidade de análise SQL. O segundo lakehouse contém atalhos para o primeiro lakehouse e impõe permissões de dados granulares em seu endpoint de análise SQL. O modelo semântico se conecta à primeira casa do lago. Para impor permissões de dados apropriadas para os usuários (para que eles só possam acessar dados relevantes para sua função e departamento), você não compartilha o primeiro lakehouse com os usuários. Em vez disso, você compartilha apenas o modelo semântico Direct Lake e o segundo lakehouse que impõe permissões de dados em seu ponto de extremidade de análise SQL.
Configure o modelo semântico para usar uma identidade fixa e, em seguida, implemente a segurança em nível de linha (RLS) no modelo semântico para impor regras de modelo para controlar quais dados os usuários podem acessar. Em seguida, você compartilha apenas o modelo semântico com os analistas de dados e usuários corporativos porque eles não devem acessar os outros itens no espaço de trabalho, como pipelines e blocos de anotações. Por fim, você concede permissão de compilação no modelo semântico para que os usuários possam criar relatórios do Power BI. Dessa forma, o modelo semântico se torna um modelo semântico compartilhado e uma fonte para seus relatórios do Power BI.
Seus analistas de dados precisam ter acesso à segunda casa do lago no espaço de trabalho dourado. Eles se conectarão ao ponto de extremidade de análise SQL desse lakehouse para escrever consultas SQL e executar análises. Assim, você compartilha essa lakehouse com eles e fornece acesso apenas aos objetos de que eles precisam (como tabelas, linhas e colunas com regras de mascaramento) no ponto de extremidade de análise SQL lakehouse usando o modelo de segurança SQL. Agora, os analistas de dados só podem acessar dados relevantes para sua função e departamento e não podem acessar os outros itens no espaço de trabalho, como pipelines e blocos de anotações.
Cenários de segurança comuns
A tabela a seguir lista cenários de segurança comuns e as ferramentas que você pode usar para realizá-los.
| Cenário | Ferramentas | Direção |
|---|---|---|
| Sou um desenvolvedor de ETL e quero carregar grandes volumes de dados para o Fabric em escala a partir de vários sistemas e tabelas de origem. Os dados de origem estão no local (ou em outra nuvem) e estão protegidos por firewalls e/ou fontes de dados do Azure com pontos de extremidade privados. | Use o gateway de dados local com pipelines de dados (atividade de cópia). | De Saída |
| Sou um usuário avançado e quero carregar dados para o Fabric a partir de sistemas de origem aos quais tenho acesso. Como não sou um desenvolvedor, preciso transformar os dados usando uma interface low-code. Os dados de origem estão no local (ou em outra nuvem) e estão protegidos por firewalls. | Use o gateway de dados local com o Dataflow Gen 2. | De Saída |
| Sou um usuário avançado e quero carregar dados no Fabric de sistemas de origem aos quais tenho acesso. Os dados de origem estão no Azure atrás de pontos de extremidade privados e não quero instalar e manter a infraestrutura de gateway de dados local. | Use um gateway de dados VNet com o Dataflow Gen 2. | De Saída |
| Sou um desenvolvedor que pode escrever código de ingestão de dados usando blocos de anotações do Spark. Quero carregar dados no Fabric de sistemas de origem aos quais tenho acesso. Os dados de origem estão no Azure atrás de pontos de extremidade privados e não quero instalar e manter a infraestrutura de gateway de dados local. | Use blocos de anotações de malha com pontos de extremidade privados do Azure. | De Saída |
| Tenho muitos pipelines existentes no Azure Data Factory (ADF) e pipelines Synapse que se conectam às minhas fontes de dados e carregam dados no Azure. Agora quero modificar esses pipelines para carregar dados no Fabric. | Use o conector Lakehouse em dutos existentes. | De Saída |
| Tenho uma estrutura de ingestão de dados desenvolvida no Spark que se conecta às minhas fontes de dados com segurança e as carrega no Azure. Estou a executá-lo no Azure Databricks e/ou Synapse Spark. Quero continuar usando o Azure Databricks e/ou o Synapse Spark para carregar dados no Fabric. | Usar o OneLake e a API Gen2 do Azure Data Lake Storage (ADLS) (driver do sistema de arquivos Blob do Azure) | De Saída |
| Quero garantir que meus pontos de extremidade do Fabric estejam protegidos da Internet pública. | Como um serviço SaaS, o back-end do Fabric já está protegido da Internet pública. Para obter mais proteção, use as políticas de acesso condicional do Microsoft Entra para o Fabric e/ou habilite links privados no nível do locatário para o Fabric e bloqueie o acesso público à Internet. | Interna |
| Quero garantir que o Fabric possa ser acessado somente da minha rede corporativa e/ou de dispositivos compatíveis. | Use as políticas de acesso condicional do Microsoft Entra para o Fabric. | Interna |
| Quero garantir que qualquer pessoa que acesse o Fabric execute a autenticação multifator. | Use as políticas de acesso condicional do Microsoft Entra para o Fabric. | Interna |
| Quero bloquear todo o meu inquilino do Fabric a partir da Internet pública e permitir o acesso apenas a partir das minhas redes virtuais. | Habilite links privados no nível do locatário para o Fabric e bloqueie o acesso público à Internet. | Interna |
Conteúdos relacionados
Para obter mais informações sobre a segurança do Fabric, consulte os recursos a seguir.
- Segurança no Microsoft Fabric
- Visão geral da segurança do OneLake
- Conceitos e licenças do Microsoft Fabric
- Perguntas? Tente perguntar à comunidade do Microsoft Fabric.
- Sugestões? Contribua com ideias para melhorar o Microsoft Fabric.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários