Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Fabric — это программное обеспечение как услуга (SaaS), которая позволяет пользователям получать, создавать, предоставлять общий доступ и визуализировать данные.
В качестве службы SaaS Fabric предлагает полный пакет безопасности для всей платформы. Фабрика снимает с вас затраты и ответственность за обслуживание вашего решения для обеспечения безопасности и переносит это в облако. С помощью Fabric вы можете использовать опыт и ресурсы Корпорации Майкрософт для обеспечения безопасности данных, уязвимостей исправлений, мониторинга угроз и соблюдения нормативных требований. Структура также позволяет управлять, контролировать и проверять параметры безопасности в соответствии с меняющимися нуждами и требованиями.
При переносе данных в облако и их использовании с различными аналитическими функциями, такими как Power BI, Фабрика данных и следующее поколение Synapse, корпорация Майкрософт гарантирует, что встроенные функции безопасности и надежности обеспечивают защиту неактивных и передаваемых данных. Корпорация Майкрософт также гарантирует, что ваши данные можно восстановить в случаях сбоев инфраструктуры или аварий.
Безопасность структуры:
Always on — каждое взаимодействие с Fabric шифруется по умолчанию и проходит проверку подлинности с помощью идентификатора Microsoft Entra. Все взаимодействие между Fabric-опытами проходит через магистральную сеть Microsoft. Неактивные данные автоматически хранятся в зашифрованном виде. Чтобы регулировать доступ к Fabric, можно добавить дополнительные функции безопасности, такие как Приватные ссылки или Entra Conditional Access. Структура также может подключаться к данным, защищенным брандмауэром или частной сетью, с помощью доверенного доступа.
Соответствие стандартам – Fabric имеет встроенный суверенитет данных с возможностями для работы в нескольких географических зонах. Fabric также поддерживает широкий спектр стандартов соответствия.
Говернэйбл — Структура поставляется с набором средств управления, таких как прослеживание происхождения данных, метки защиты информации, предотвращение потери данных и интеграция средств Purview.
Можно настроить безопасность Fabric в соответствии с политиками организации.
Развитие — Корпорация Майкрософт постоянно улучшает безопасность Fabric, добавляя новые функции и элементы управления.
Аутентификация
Microsoft Fabric — это платформа SaaS, как и многие другие службы Майкрософт, такие как Azure, Microsoft Office, OneDrive и Dynamics. Все эти службы Microsoft SaaS, включая Fabric, используют идентификатор Microsoft Entra в качестве поставщика облачных удостоверений. Идентификатор Microsoft Entra помогает пользователям быстро и легко подключаться к этим службам с любого устройства и любой сети. Каждый запрос на подключение к Fabric проходит проверку подлинности с помощью идентификатора Microsoft Entra, позволяя пользователям безопасно подключаться к Fabric из корпоративного офиса, при работе дома или из удаленного расположения.
понимать сетевую безопасность;
Fabric — это служба SaaS, которая выполняется в облаке Майкрософт. Некоторые сценарии включают подключение к данным, которые находятся за пределами платформы Fabric. Например, просмотр отчета из собственной сети или подключение к данным, которые находится в другой службе. Взаимодействия в Fabric используют внутреннюю сеть Microsoft, а трафик за пределами службы защищен по умолчанию. Дополнительные сведения и подробное описание см. в разделе "Данные во время передачи".
Безопасность входящего сетевого трафика
Вашей организации может потребоваться ограничить и защитить сетевой трафик, поступающий в Fabric на основе требований вашей компании. С помощью Microsoft Entra ID Conditional Access и Private Links, можно выбрать подходящее решение для вашей организации.
Условный доступ идентификатора Microsoft Entra
Идентификатор Microsoft Entra предоставляет Fabric условный доступ , который позволяет защитить доступ к Fabric на каждом подключении. Ниже приведены несколько примеров ограничений доступа, которые можно применить с помощью условного доступа.
Определите список IP-адресов для входящего подключения к Fabric.
Используйте многофакторную проверку подлинности (MFA).
Ограничить трафик на основе параметров, таких как страна или регион источника или тип устройства.
Сведения о настройке условного доступа см. в статье "Условный доступ" в Fabric.
Дополнительные сведения о проверке подлинности в Fabric см. в разделе "Основы безопасности Microsoft Fabric".
Приватные каналы
Приватные каналы обеспечивают безопасное подключение к Fabric, ограничивая доступ к клиенту Fabric из виртуальной сети Azure и блокируя весь общедоступный доступ. Это гарантирует, что только сетевой трафик из этой виртуальной сети разрешен для доступа к функциям Fabric, таким как записные книжки, Lakehouses, хранилища данных и базы данных в клиенте.
Чтобы настроить приватные ссылки в Fabric, см. статью «Настройка и использование приватных ссылок».
Безопасность исходящей сети
Fabric имеет набор средств, позволяющих подключаться к внешним источникам данных и безопасно переносить эти данные в Fabric. В этом разделе перечислены различные способы импорта и подключения к данным из безопасной сети в структуру.
Доступ к доверенной рабочей области
С помощью Fabric можно безопасно получить доступ к учетным записям Azure Data Lake 2-го поколения. Рабочие пространства Fabric с идентификацией могут безопасно подключаться к учетным записям Azure Data Lake 2-го поколения, имеющим доступ к публичной сети, из выбранных виртуальных сетей и IP-адресов. Вы можете ограничить доступ ADLS 2-го поколения к определенным рабочим областям Fabric. Дополнительные сведения см. в разделе "Доверенный доступ к рабочей области".
Примечание.
Удостоверения рабочей области Fabric можно создавать только в рабочих областях, связанных с емкостью SKU Fabric F. Сведения о покупке подписки Fabric см. в статье "Приобретение подписки Microsoft Fabric".
Управляемые частные конечные точки
Управляемые частные конечные точки позволяют безопасно подключаться к источникам данных, таким как базы данных SQL Azure, не предоставляя их общедоступной сети или требуя сложных конфигураций сети.
Управляемые виртуальные сети
Управляемые виртуальные сети — это виртуальные сети , созданные и управляемые Microsoft Fabric для каждой рабочей области Fabric. Управляемые виртуальные сети обеспечивают изоляцию сети для рабочих нагрузок Fabric Spark, то есть вычислительные кластеры развертываются в выделенной сети и больше не являются частью общей виртуальной сети.
Управляемые виртуальные сети также обеспечивают функции безопасности сети, такие как управляемые частные конечные точки, а также поддержку приватного канала для элементов инжиниринга данных и науки о данных в Microsoft Fabric, использующих Apache Spark.
Шлюз данных
Чтобы подключиться к локальным источникам данных или источнику данных, которые могут быть защищены брандмауэром или виртуальной сетью, можно использовать один из следующих вариантов:
Шлюз для локальных данных — шлюз выступает в качестве моста между вашими локальными источниками данных и Fabric. Шлюз устанавливается на сервере в сети и позволяет Fabric подключаться к источникам данных через безопасный канал без необходимости открывать порты или вносить изменения в сеть.
Шлюз данных виртуальной сети — шлюз виртуальной сети позволяет подключаться из служб Microsoft Cloud к службам данных Azure в виртуальной сети без необходимости локального шлюза данных.
Подключение к OneLake из существующей службы
Вы можете подключиться к Fabric с помощью существующей службы Платформы Azure как службы (PaaS). Для Synapse и Фабрика данных Azure (ADF) можно использовать среду выполнения интеграции Azure (IR) или Фабрика данных Azure управляемую виртуальную сеть. Вы также можете подключиться к этим службам и другим службам, таким как потоки данных для сопоставления, кластеры Synapse Spark, кластеры Databricks Spark и Azure HDInsight с помощью API OneLake.
Теги службы Azure
Используйте Service Tags для приема данных без использования шлюзов данных из источников данных, развернутых в виртуальной сети Azure, таких как виртуальные машины SQL Azure (VM), управляемый экземпляр SQL Azure (MI) и REST API. Теги служб также можно использовать для получения трафика из виртуальной сети или брандмауэра Azure. Например, теги служб могут разрешать исходящий трафик к Fabric, чтобы пользователь на виртуальной машине мог подключаться к строкам подключения Fabric SQL из SSMS, при этом блокируя доступ к другим общедоступным интернет-ресурсам.
Списки разрешенных IP-адресов
Если у вас есть данные, которые не находятся в Azure, вы можете включить список разрешенных IP-адресов в сети вашей организации, чтобы разрешить передачу трафика в и из Fabric. Список разрешенных IP-адресов полезен, если необходимо получить данные из источников данных, которые не поддерживают служебные теги, например из источников данных, находящихся на вашем местоположении. С помощью этих сочетаний клавиш вы можете получить данные без копирования в OneLake с помощью конечной точки аналитики SQL Lakehouse или Direct Lake.
Список IP-адресов Fabric можно получить из тегов служб в локальной среде. Список доступен в виде JSON-файла или программно с помощью REST API, PowerShell и интерфейс командной строки Azure (CLI).
Обеспечение безопасности данных
В Fabric все данные, хранящиеся в OneLake, шифруются в состоянии покоя. Все данные в состоянии покоя хранятся в вашем домашнем регионе или в одном из ваших хранилищ в удалённом регионе по вашему выбору, чтобы обеспечить соответствие нормативным требованиям по суверенитету данных. Дополнительные сведения см. в разделе "Основы безопасности Microsoft Fabric".
Вы можете использовать ключи, управляемые клиентами для рабочих областей для добавления дополнительного уровня шифрования данных в ваших рабочих областях Fabric. С помощью ключей, управляемых клиентом рабочей области, вы можете использовать ключи Azure Key Vault для шифрования ключа шифрования Майкрософт.
Понять арендаторов в нескольких географических регионах
Многие организации имеют глобальное присутствие и требуют служб в нескольких географических регионах Azure. Например, компания может иметь свою штаб-квартиру в США, выполняя бизнес в других географических районах, таких как Австралия. Чтобы соответствовать местным нормативным требованиям, предприятиям с глобальным присутствием необходимо обеспечить хранение данных в неактивных местах в нескольких регионах. В Fabric это называется мультигео.
Уровень выполнения запросов, кэши запросов и данные элементов, назначенные мультигеографическому рабочему пространству, остаются в географической области Azure, в которой они были созданы. Однако некоторые метаданные и обработка хранятся в состоянии покоя в домашней географии клиента.
Структура является частью более крупной экосистемы Майкрософт. Если ваша организация уже использует другие облачные службы подписки, такие как Azure, Microsoft 365 или Dynamics 365, Fabric работает в том же клиенте Microsoft Entra. Домен организации (например, contoso.com) связан с идентификатором Microsoft Entra. Как и все облачные службы Майкрософт.
Платформа обеспечивает безопасность ваших данных в разных регионах при работе с несколькими арендаторами, имеющими многочисленные возможности в разных географиях.
Логическое разделение данных — платформа Fabric обеспечивает логическую изоляцию между клиентами для защиты данных.
Суверенитет данных. Чтобы начать работу с несколькими географическими данными, ознакомьтесь с разделом "Настройка поддержки нескольких регионов" для Fabric.
Доступ к данным
Структура управляет доступом к данным с помощью рабочих областей. В рабочих областях данные отображаются в виде элементов Fabric, и пользователи не могут просматривать или использовать элементы (данные), если вы не предоставляете им доступ к рабочей области. Дополнительные сведения о разрешениях рабочей области и элемента см. в модели разрешений.
Роли рабочей области
Доступ к рабочей области указан в таблице ниже. Она включает роли рабочей области и безопасность Fabric и OneLake. Пользователи с ролью просмотрщика могут запускать SQL-запросы, запросы выражений для анализа данных (DAX) или многомерных выражений (MDX), но не могут получить доступ к элементам Fabric или запускать записную книжку.
| Роль | Доступ к рабочей области | Доступ к "OneLake" |
|---|---|---|
| Администратор, член и участник | Может использовать все элементы в рабочей области | ✅ |
| Зритель | Может видеть все объекты в рабочей области | ❌ |
Делиться элементами
Вы можете совместно использовать элементы Fabric с пользователями в вашей организации, у которых нет роли в рабочей области. Элементы общего доступа предоставляют ограниченный доступ, позволяя пользователям получать доступ только к общему элементу в рабочей области.
Ограничить доступ
Вы можете ограничить доступ средства просмотра к данным с помощью безопасности на уровне строк (RLS), безопасности на уровне столбцов (CLS) и безопасности на уровне объектов (OLS). С помощью RLS, CLS и OLS можно создать идентификаторы пользователей, имеющие доступ к определённым частям данных, и ограничить результаты SQL, возвращая только то, к чему может получить доступ идентификатор пользователя.
Вы также можете добавить RLS в набор данных DirectLake. Если вы определяете безопасность для SQL и DAX, DirectLake возвращается в DirectQuery для таблиц с RLS в SQL. В таких случаях результаты DAX или MDX ограничены удостоверением пользователя.
Чтобы предоставлять отчеты с помощью набора данных DirectLake с RLS без использования DirectQuery в качестве резервного варианта, используйте прямое использование набора данных или приложения в Power BI. С помощью приложений в Power BI вы можете предоставить доступ к отчетам без доступа к просмотру. Такой доступ означает, что пользователи не могут использовать SQL. Чтобы включить DirectLake для чтения данных, необходимо переключить учетные данные источника данных с «Единый вход (SSO)» на фиксированное удостоверение, имеющее доступ к файлам в хранилище.
Защита данных
Fabric поддерживает метки чувствительности из Microsoft Purview Information Protection. Это метки, такие как общие, конфиденциальные и строго конфиденциальные, которые широко используются в microsoft Приложение Office, таких как Word, PowerPoint и Excel для защиты конфиденциальной информации. В Fabric можно классифицировать элементы, содержащие конфиденциальные данные, с помощью этих же меток конфиденциальности. Метки конфиденциальности затем автоматически сопровождают данные на всем их пути через Fabric, начиная от источника данных и вплоть до бизнес-пользователя. Метка конфиденциальности сохраняется даже при экспорте данных в такие поддерживаемые форматы, как PBIX, Excel, PowerPoint и PDF, обеспечивая, что ваши данные остаются защищенными. Только авторизованные пользователи могут открыть файл. Дополнительные сведения см. в разделе "Управление и соответствие требованиям" в Microsoft Fabric.
Чтобы помочь вам управлять, защищать и управлять данными, можно использовать Microsoft Purview. Microsoft Purview и Fabric совместно позволяют хранить, анализировать и управлять данными из одного расположения, центра Microsoft Purview.
Восстановление данных
Устойчивость данных структуры гарантирует доступность данных в случае аварии. Fabric также позволяет восстановить данные в случае бедствия, восстановление после аварии. Дополнительные сведения см. в разделе "Надежность" в Microsoft Fabric.
Управление системой Fabric
Будучи администратором в Fabric, вы можете управлять возможностями всей организации. Фабрика позволяет делегировать роль администратора ресурсам, рабочим областям и доменам. Делегируя обязанности администратора правильным пользователям, вы можете реализовать модель, которая позволяет нескольким ключевым администраторам управлять общими параметрами Fabric в организации, в то время как другие администраторы отвечают за параметры, связанные с конкретными областями.
С помощью различных средств администраторы также могут отслеживать ключевые аспекты Структуры, такие как потребление емкости.
Журналы аудита
Чтобы просмотреть журналы аудита, следуйте инструкциям в разделе "Отслеживание действий пользователей в Microsoft Fabric". Вы также можете ознакомиться со списком операций, чтобы узнать, какие действия доступны для поиска в журналах аудита.
Возможности
В этом разделе приведен список некоторых функций безопасности, доступных в Microsoft Fabric.
| Возможность | Описание |
|---|---|
| Условный доступ | Защита приложений с помощью идентификатора Microsoft Entra |
| Защищенное хранилище | Управление доступом инженеров Майкрософт к данным |
| Безопасность Fabric и OneLake | Узнайте, как защитить данные в Fabric и OneLake. |
| Устойчивость | Надежность и региональная устойчивость с зонами доступности Azure |
| Теги служб | Разрешить входящие подключения к Управляемому экземпляру Azure SQL (MI) из Microsoft Fabric. |