Поделиться через


Защита входящего трафика

Входящий трафик — это трафик, поступающий в Fabric из Интернета. В этой статье описываются различия между двумя способами защиты входящего трафика в Microsoft Fabric, частными ссылками и условным доступом Entra. Используйте эту статью, чтобы решить, какой метод лучше всего подходит для вашей организации.

  • Приватные ссылки (вариант 1, клиентская виртуальная сеть) — Структура использует частный IP-адрес из виртуальной сети. Конечная точка позволяет пользователям в сети взаимодействовать с Fabric через частный IP-адрес с помощью частных ссылок.

  • Entra Условный доступ (вариант 2, пользователь) — когда пользователь проходит проверку подлинности, доступ определяется на основе набора политик, которые могут включать IP-адрес, местоположение и управляемые устройства.

Схема, показывающая два метода аутентификации для входящего трафика в Fabric, виртуальные сети и Microsoft Entra ID.

После входа трафика в Fabric он проходит проверку подлинности с помощью идентификатора Microsoft Entra ID, который является одним и тем же методом проверки подлинности, используемым Microsoft 365, OneDrive и Dynamics 365. Проверка подлинности идентификатора Microsoft Entra позволяет пользователям безопасно подключаться к облачным приложениям с любого устройства и любой сети, будь то дома, удаленно или в корпоративном офисе.

Серверная платформа Fabric защищена виртуальной сетью и не доступна напрямую из общедоступного Интернета, кроме безопасных конечных точек. Чтобы понять, как трафик защищен в Fabric, просмотрите схему архитектуры Fabric.

По умолчанию Fabric взаимодействует между интерфейсами с помощью внутренней магистральной сети Майкрософт. Когда отчет Power BI загружает данные из OneLake, данные проходят через внутреннюю сеть Майкрософт. Эта конфигурация отличается от необходимости настраивать несколько служб Platform as a Service (PaaS) для подключения друг к другу через частную сеть. При входящем обмене данными между клиентами, такими как ваш браузер или SQL Server Management Studio (SSMS), и Fabric, используется протокол TLS 1.2 с попыткой согласования до TLS 1.3, если это возможно.

Параметры безопасности структуры по умолчанию включают:

  • Идентификатор Microsoft Entra, используемый для проверки подлинности каждого запроса.

  • После успешной проверки подлинности запросы направляются в соответствующую серверную службу через безопасные управляемые конечные точки Майкрософт.

  • Внутренний трафик между опытами в Fabric передается по сети Microsoft.

  • Трафик между клиентами и Fabric шифруется по крайней мере с помощью протокола TLS 1.2.

Entra: Условный доступ

Каждое взаимодействие с Fabric проходит проверку подлинности с помощью идентификатора Microsoft Entra. Идентификатор Microsoft Entra основан на модели безопасности нулевого доверия, которая предполагает, что вы не полностью защищены в пределах сетевого периметра вашей организации. Вместо того чтобы смотреть на сеть как границу безопасности, модель Zero Trust рассматривает удостоверение как главный периметр безопасности.

Чтобы определить доступ во время проверки подлинности, можно определить и применить политики условного доступа на основе удостоверений пользователей, контекста устройства, расположения, сети и конфиденциальности приложений. Например, для доступа к данным и ресурсам в Fabric можно требовать многофакторную проверку подлинности, соответствие устройств или утвержденные приложения. Вы также можете заблокировать или ограничить доступ из опасных расположений, устройств или сетей.

Политики условного доступа помогают защитить данные и приложения без ущерба для производительности пользователей и взаимодействия. Ниже приведены несколько примеров ограничений доступа, которые можно применить с помощью условного доступа.

  • Определите список IP-адресов для входящего подключения к Fabric.

  • Используйте многофакторную проверку подлинности (MFA).

  • Ограничить трафик на основе параметров, таких как страна или регион источника или тип устройства.

Структура не поддерживает другие методы проверки подлинности, такие как ключи учетной записи или проверка подлинности SQL, которые используют имена пользователей и пароли.

Настройка условного доступа

Чтобы настроить условный доступ в Fabric, необходимо выбрать несколько связанных служб Azure Fabric, таких как Power BI, Azure Data Explorer, База данных SQL Azure и служба хранилища Azure.

Примечание.

Условный доступ можно считать слишком широким для некоторых клиентов, так как любая политика будет применяться к Fabric и связанным службам Azure.

Лицензирование

Для условного доступа требуются лицензии Microsoft Entra ID P1. Часто эти лицензии уже доступны в вашей организации, так как они совместно используются другими продуктами Майкрософт, такими как Microsoft 365. Чтобы найти подходящую лицензию для ваших нужд, см.: Лицензионные требования.

Доверенный доступ

Структура не должна находиться в частной сети, даже если у вас есть данные, хранящиеся внутри одной. Службы PaaS обычно помещают вычислительные ресурсы в ту же частную сеть, что и учетная запись хранения. Однако при использовании Fabric это не требуется. Чтобы включить доверенный доступ в Fabric, можно использовать такие функции, как локальные шлюзы данных, доступ к доверенной рабочей области и управляемые частные конечные точки. Дополнительные сведения см. в разделе "Безопасность" в Microsoft Fabric.

При использовании частных конечных точек вашей службы назначается частный IP-адрес из виртуальной сети. Конечная точка позволяет другим ресурсам в сети взаимодействовать со службой через частный IP-адрес.

Используя частные ссылки, туннель от службы в одну из ваших подсетей создает частный канал. Обмен данными с внешних устройств начинается с их IP-адреса, перемещается в частную конечную точку в этой подсети, проходит через туннель и поступает в службу.

После реализации частных ссылок Фабрика больше не доступна через общедоступный интернет. Чтобы получить доступ к Fabric, все пользователи должны подключаться через частную сеть. Частная сеть необходима для всех взаимодействий с Fabric, включая просмотр отчета Power BI в браузере и использование SQL Server Management Studio (SSMS) для подключения к строке подключений SQL, например <guid_unique_your_item>.datawarehouse.fabric.microsoft.com.

Локальные сети

Если вы используете локальные сети, их можно расширить до виртуальной сети Azure (VNet) с помощью канала ExpressRoute или VPN типа "сеть-сеть", чтобы получить доступ к Fabric через частные подключения.

Пропускная способность

При использовании частных каналов весь трафик в Fabric перемещается через частную конечную точку, вызывая потенциальные проблемы с пропускной способностью. Пользователи больше не смогут загружать глобальные распределенные неданные связанные ресурсы, такие как изображения .css и .html файлы, используемые Fabric, из своего региона. Эти ресурсы загружаются из местоположения частного конечного узла. Например, для австралийских пользователей с частной конечной точкой США трафик перемещается в США в первую очередь. Это увеличивает время загрузки и может снизить производительность.

Себестоимость

Стоимость частных каналов и увеличение пропускной способности ExpressRoute , чтобы разрешить частное подключение из сети, может добавить затраты в вашу организацию.

Рекомендации и ограничения

При использовании частных ссылок вы изолируете Fabric от общедоступного интернета. В результате необходимо учитывать множество соображений и ограничений .