Udalosti
31. 3., 23 - 2. 4., 23
Najväčšia vzdelávacia udalosť fabric, Power BI a SQL. 31. marec – 2. apríl. Pomocou kódu FABINSIDER ušetríte 400 USD.
Zaregistrujte saZáklady zabezpečenia služby Microsoft Fabric
Tento článok predstavuje pohľad na bezpečnostnú architektúru služby Microsoft Fabric tým, že popisuje, ako fungujú hlavné toky zabezpečenia v systéme. Popisuje tiež, ako používatelia overujú službu Fabric, ako sa vytvárajú údajové pripojenia a ako fabric ukladá a presúva údaje prostredníctvom služby.
Článok je primárne zameraný na správcov tkaniny, ktorí sú zodpovední za dohľad nad službou Fabric v organizácii. Je tiež relevantná pre účastníkov projektu podnikového zabezpečenia vrátane správcov zabezpečenia, správcov siete, správcov služby Azure, správcov pracovných priestorov a správcov databáz.
Microsoft Fabric predstavuje analytické riešenie typu všetko pre podniky, ktoré pokrývajú všetko od pohybu údajov až po dátovú vedu, analýzu v reálnom čase a Analytické nástroje (BI). Platforma Fabric sa skladá zo série služieb a komponentov infraštruktúry, ktoré podporujú spoločné funkcie pre všetky prostredia služby Fabric. Spoločne ponúkajú komplexnú množinu analytických skúseností navrhnutých na bezproblémovú spoluprácu. K skúsenostiam patria Lakehouse, Data Factory, fabric Dátový inžinier ing, sklad údajov služby Fabric, Power BI a ďalšie.
So službou Fabric nemusíte spájať rôzne služby od viacerých dodávateľov. Namiesto toho profitujete z vysoko integrovaného, komplexného a jednoducho použiteľného produktu, ktorý je navrhnutý na zjednodušenie vašich analytických potrieb. Fabric bol navrhnutý od začiatku na ochranu citlivých aktív.
Platforma Fabric je založená na softvéri ako službe SaaS, ktorá poskytuje spoľahlivosť, jednoduchosť a škálovateľnosť. Je založená na platforme Azure, čo je verejná cloudová výpočtová platforma spoločnosti Microsoft. Mnohé údajové produkty sú tradične platformou ako služba (PaaS), čo vyžaduje, aby správca služby nastavil zabezpečenie, súlad a riadenie každej služby. Keďže fabric je službou SaaS, mnohé z týchto funkcií sú zabudované v platforme SaaS a nevyžadujú žiadne nastavenie ani minimálne nastavenie.
Architektonický diagram nižšie zobrazuje zobrazenie bezpečnostnej architektúry služby Fabric na vysokej úrovni.
Architektonický diagram znázorňuje nasledujúce koncepty.
Používateľ používa na pripojenie k službe Fabric prehliadač alebo klientsku aplikáciu, ako je napríklad Power BI Desktop.
Overovanie vykonáva služba Microsoft Entra ID, predtým známa ako Azure Active Directory, čo je cloudová služba na správu identity a prístupu, ktorá overuje používateľa alebo objekt služby a spravuje prístup k službe Fabric.
Webová klientska stránka prijíma žiadosti používateľov a uľahčuje prihlásenie. Smeruje tiež požiadavky a poskytuje používateľovi klientsky obsah.
Platforma metaúdajov ukladá metaúdaje nájomníka, medzi ktoré môžu patriť údaje o zákazníkoch. Služby služby Fabric dotazujú túto platformu na požiadanie, aby sa načítali informácie o oprávneniach a aby mohli oprávniť a overovať žiadosti používateľov. Nachádza sa v domovskej oblasti nájomníka.
Platforma kapacity back-end je zodpovedná za výpočtové operácie a za ukladanie údajov zákazníkov a nachádza sa v oblasti kapacity. Využíva základné služby Azure v danej oblasti podľa potreby na konkrétne prostredie služby Fabric.
Služby infraštruktúry platformy fabric sú multitenantné. Existuje logická izolácia medzi nájomníkmi. Tieto služby nespracúvajú zložitý vstup používateľa a všetky sú napísané v spravovanom kóde. Služby platformy nikdy nespúšťajú žiadny kód napísaný používateľom.
Platforma metaúdajov a platforma kapacity serverovej verzie sú spustené v zabezpečených virtuálnych sieťach. Tieto siete zobrazujú na internete rad zabezpečených koncových bodov, aby mohli prijímať požiadavky od zákazníkov a iných služieb. Služby sú okrem týchto koncových bodov chránené pravidlami zabezpečenia siete, ktoré blokujú prístup z verejného internetu. Komunikácia vo virtuálnych sieťach je tiež obmedzená na základe oprávnení každej internej služby.
Vrstva aplikácie zaisťuje, že nájomníci majú prístup k údajom iba v rámci vlastného nájomníka.
Na overenie používateľov (alebo objektov služby) využíva fabric na ID služby Microsoft Entra. Po overení používatelia získajú prístupové tokeny z id Microsoft Entra. Fabric používa tieto tokeny na vykonávanie operácií v kontexte používateľa.
Kľúčovou funkciou identifikácie Microsoft Entra ID je podmienený prístup. Podmienený prístup zabezpečí, že nájomníci budú zabezpečení vynucovaním viacfaktorového overovania, čím sa prístup ku konkrétnym službám umožní len pre zariadenia zaregistrované službou Microsoft Intune . Podmienený prístup tiež obmedzuje umiestnenia používateľov a rozsahy IP adries.
Všetky povolenia služby Fabric sú centrálne uložené platformou metaúdajov. Služby služby fabric dotazujú platformu metaúdajov na požiadanie, aby sa získali informácie o oprávneniach a aby mohli oprávniť a overovať žiadosti používateľov.
Z dôvodu výkonu služba Fabric niekedy zapuzdruje informácie o autorite do podpísaných tokenov. Prihlásené tokeny vydáva len platforma kapacity back-end a zahŕňajú prístupový token, informácie o oprávneniach a ďalšie metaúdaje.
V službe Fabric je nájomník priradený ku klastru platformy domovských metaúdajov, ktorý sa nachádza v jednej oblasti, ktorá spĺňa požiadavky na pobyt údajov podľa geografickej oblasti. Metaúdaje nájomníka, ktoré môžu zahŕňať údaje o zákazníkoch, sú uložené v tomto klastri.
Zákazníci môžu kontrolovať, kde sa ich pracovné priestory nachádzajú. Môžu sa rozhodnúť vyhľadať svoje pracovné priestory v rovnakej geografickej oblasti ako ich klaster platformy metaúdajov, a to buď explicitne tak, že priradia svoje pracovné priestory do kapacít v danej oblasti alebo implicitne pomocou skúšobnej verzie služby Fabric, služby Power BI Pro alebo režimu licencie Power BI Premium na používateľa. V druhom prípade sú všetky údaje o zákazníkoch uložené a spracované v tomto samostatnom geografickom jazyku. Ďalšie informácie nájdete v téme Koncepty a licencie na Microsoft Fabric.
Zákazníci môžu tiež vytvárať kapacity multi-Geo, ktoré sa nachádzajú v iných geografických oblastiach než v ich domovskej oblasti. V tomto prípade sa vypočíta a ukladací priestor (vrátane služby OneLake a ukladacieho priestoru špecifického pre prostredie) nachádza v oblasti Multi-Geo, ale metaúdaje nájomníka zostanú v domovskej oblasti. Zákaznícke údaje sa uložia a spracujú iba v týchto dvoch geografických oblastiach. Ďalšie informácie nájdete v téme Konfigurácia podpory funkcie Multi-Geo pre službu Fabric.
Táto časť poskytuje prehľad o tom, ako funguje spracovanie údajov v službe Fabric. Popisuje ukladanie, spracovanie a premiestňovanie zákazníckych údajov.
Všetky obchody s údajmi služby Fabric sú šifrované pomocou kľúčov spravovaných spoločnosťou Microsoft. Údaje o štruktúre zahŕňajú zákaznícke údaje, ako aj systémové údaje a metaúdaje.
Hoci údaje je možné spracovať v pamäti v nešifrovanom stave, nikdy nie sú trvalé na trvalom úložisku, kým sú v nešifrovanom stave.
Údaje prenášané medzi služby Microsoft sú vždy šifrované aspoň protokolom TLS 1.2. Fabric rokuje o protokole TLS 1.3 vždy, keď je to možné. Prenos medzi služby Microsoft vždy smeruje cez globálnu sieť spoločnosti Microsoft.
Komunikácia prostredníctvom prichádzajúcej komunikácie vynucuje protokol TLS 1.2 a rokuje s protokolom TLS 1.3 vždy, keď je to možné. Odchádzajúca komunikácia s infraštruktúrou v vlastníctve zákazníka uprednostňuje zabezpečené protokoly, ale môže sa vrátiť k starším, nezabezpečeným protokolom (vrátane protokolu TLS 1.0), keď nie sú podporované novšie protokoly.
Telemetria sa používa na zachovanie výkonu a spoľahlivosti platformy Fabric. Telemetrické úložisko platformy Fabric je navrhnuté tak, aby bolo v súlade s nariadeniami o ochrane osobných údajov pre zákazníkov vo všetkých oblastiach, kde je k dispozícii služba Fabric, vrátane Európskej únie (EÚ). Ďalšie informácie nájdete v téme Služby EÚ data border Services.
OneLake je jediné, zjednotené, logické dátové jazero pre celú organizáciu a automaticky sa poskytuje pre každého nájomníka služby Fabric. Je postavený na službe Azure a dokáže ukladať akýkoľvek typ súboru, štruktúrovaného alebo neštruktúrovaného. Okrem toho všetky položky služby Fabric, ako sú napríklad sklady a jazerá, automaticky ukladajú svoje údaje v službe OneLake.
OneLake podporuje rovnaké rozhrania API a súpravy SDK služby Azure Data Lake Storage Gen2 (ADLS Gen2), preto je kompatibilná s existujúcimi aplikáciami služby ADLS Gen2 vrátane služby Azure Databricks.
Ďalšie informácie nájdete v téme Zabezpečenie fabric a OneLake.
Pracovné priestory predstavujú primárnu hranicu zabezpečenia pre údaje uložené v službe OneLake. Každý pracovný priestor predstavuje jednu doménu alebo oblasť projektu, v ktorej môžu tímy spolupracovať na údajoch. Zabezpečenie v pracovnom priestore spravujete priradením používateľov k rolám pracovného priestoru.
Ďalšie informácie nájdete v téme Zabezpečenie služby Fabric a služby OneLake (zabezpečenie pracovného priestoru).
V rámci pracovného priestoru môžete priradiť povolenia priamo na položky služby Fabric, ako sú napríklad sklady a domovy jazier. Zabezpečenie položky poskytuje flexibilitu na udelenie prístupu k jednotlivej položke služby Fabric bez udelenia prístupu k celému pracovnému priestoru. Používatelia môžu nastaviť povolenia pre jednotlivé položky buď zdieľaním položky , alebo spravovaním povolení položky.
Služba Fabric sa riadi podmienkami poskytovania online služieb spoločnosti Microsoft a vyhlásením o ochrane osobných údajov spoločnosti Microsoft pre podniky.
Miesto spracovania údajov nájdete v podmienkach miesta spracovania údajov v podmienkach poskytovania online služieb spoločnosti Microsoft a doplnku pre ochranu údajov.
Microsoft Trust Center je primárnym zdrojom informácií o dodržiavaní súladu pre fabric. Ďalšie informácie o dodržiavaní súladu nájdete v ponukách dodržiavania súladu od spoločnosti Microsoft.
Služba Fabric sleduje životný cyklus vývoja zabezpečenia (SDL), ktorý sa skladá zo súboru prísnych bezpečnostných postupov, ktoré podporujú zabezpečenie zabezpečenia a požiadavky na dodržiavanie súladu. SDL pomáha vývojárom vytvárať bezpečnejší softvér znížením počtu a závažnosti zraniteľných miest v softvéri a zároveň znižuje náklady na vývoj. Ďalšie informácie nájdete v téme Postupy životného cyklu vývoja zabezpečenia spoločnosti Microsoft.
Ďalšie informácie o zabezpečení služby Fabric nájdete v nasledujúcich zdrojoch.
- Zabezpečenie v službe Microsoft Fabric
- Scenár zabezpečenia služby Microsoft Fabric od konca
- Prehľad zabezpečenia OneLake
- Koncepty a licencie na microsoft Fabric
- Máte nejaké otázky? Skúste sa spýtať v komunite služby Microsoft Fabric.
- Návrhy? Prispejte nápadmi na zlepšenie služby Microsoft Fabric.
Ďalšie zdroje informácií
Školenie
Modul
Secure data access in Microsoft Fabric - Training
Learn the key concepts and strategies for securing data access in Microsoft Fabric.
Certifikácia
Microsoft Certified: Fabric Data Engineer Associate - Certifications
As a Fabric Data Engineer, you should have subject matter expertise with data loading patterns, data architectures, and orchestration processes.
Dokumentácia
-
Prehľad zabezpečenia služby Power BI - Microsoft Fabric
Získajte informácie o zabezpečení v službe Power BI a o tom, ako služba Power BI chráni vaše údaje, aby ste mohli bezpečne používať všetky funkcie služby Power BI.
-
Zabezpečenie služby Microsoft Fabric - Microsoft Fabric
Zistite, aké bezpečnostné funkcie sú k dispozícii pre službu Microsoft Fabric a ako ich používať.
-
Technická dokumentácia k zabezpečeniu v službe Microsoft Fabric - Microsoft Fabric
Stiahnite si a skontrolujte technickú dokumentáciu o zabezpečení služby Microsoft Fabric, aby ste pochopili funkcie a možnosti zabezpečenia služby Microsoft Fabric.