Zdieľať cez


Zabezpečenie v službe Microsoft Fabric

Microsoft Fabric je softvér ako platforma typu služba (SaaS), ktorá umožňuje používateľom získavať, vytvárať, zdieľať a vizualizovať údaje.

Ako služba SaaS ponúka služba Fabric kompletný balík zabezpečenia pre celú platformu. Fabric odstraňuje náklady a zodpovednosť za udržiavanie vášho riešenia zabezpečenia a prenáša ho do cloudu. So službou Fabric môžete využiť odborné znalosti a zdroje spoločnosti Microsoft na zabezpečenie svojich údajov, opravu zraniteľných miest, monitorovanie hrozieb a dodržiavanie nariadení. Fabric tiež umožňuje spravovať, kontrolovať a auditovať nastavenia zabezpečenia v súlade s vašimi meniacimi sa potrebami a požiadavkami.

Pri prenose údajov do cloudu a používaní s rôznymi analytickými prostrediami, ako napríklad Power BI, Data Factory a ďalšou generáciou služby Synapse, spoločnosť Microsoft zabezpečuje, aby vstavané funkcie zabezpečenia a spoľahlivosti zabezpečili uložené údaje a boli prenášané. Spoločnosť Microsoft tiež zabezpečuje, aby sa vaše údaje dať obnoviť v prípade zlyhania infraštruktúry alebo katastrof.

Zabezpečenie služby Fabric je:

  • Vždy zapnuté – každá interakcia so službou Fabric je predvolene šifrovaná a overená pomocou ID služby Microsoft Entra. Všetka komunikácia medzi prostredím služby Fabric prebieha cez chrbticovú internetovú sieť spoločnosti Microsoft. Uložené údaje sa automaticky ukladajú zašifrované. Ak chcete regulovať prístup k službe Fabric, môžete pridávať ďalšie funkcie zabezpečenia, ako sú napríklad súkromné prepojenia alebo podmienený prístup Entra. Fabric sa tiež môže pomocou dôveryhodného prístupu pripojiť k údajom chráneným bránou firewall alebo súkromnou sieťou.

  • Kompatibilné – fabric má pri kapacitách s viacerými geografickými kapacitami nefunkčnú suverenitu údajov. Fabric tiež podporuje širokú škálu noriem dodržiavania súladu.

  • Riadenie – služba Fabric sa dodáva so súborom nástrojov na riadenie, ako je pôvod údajov, označenia ochrany informácií, ochrana pred únikom údajov a integrácia purview.

  • Konfigurovateľná – zabezpečenie služby Fabric môžete nakonfigurovať v súlade s politikami organizácie.

  • Vyvíjajúce sa – spoločnosť Microsoft neustále zlepšuje zabezpečenie služby Fabric pridávaním nových funkcií a ovládacích prvkov.

Overenie

Microsoft Fabric je platforma SaaS, rovnako ako mnoho ďalších služby Microsoft, ako sú Azure, Microsoft Office, OneDrive a Dynamics. Všetky tieto služby Microsoft SaaS vrátane služby Fabric používajú ako poskytovateľa cloudových identít id Microsoft Entra . Microsoft Entra ID pomáha používateľom rýchlo a jednoducho sa pripojiť z ľubovoľného zariadenia a akejkoľvek siete. Každá požiadavka na pripojenie k službe Fabric sa overí pomocou identifikátora Microsoft Entra ID, čo umožňuje používateľom bezpečne sa pripojiť k službe Fabric z podnikovej kancelárie, keď pracujú doma alebo zo vzdialeného miesta.

Vysvetlenie zabezpečenia siete

Fabric je služba SaaS, ktorá funguje v cloude Spoločnosti Microsoft. Niektoré scenáre zahŕňajú pripojenie k údajom, ktoré sa nachádza mimo platformy Fabric. Môžete napríklad zobraziť zostavu z vlastnej siete alebo sa pripojiť k údajom, ktoré sa nachádzajú v inej službe. Interakcie v rámci služby Fabric používajú internú sieť spoločnosti Microsoft a prenos mimo služby je predvolene chránený. Ďalšie informácie a podrobný popis nájdete v téme Prenášané údaje.

Zabezpečenie prichádzajúcej siete

Vaša organizácia možno bude chcieť na základe požiadaviek vašej spoločnosti obmedziť a zabezpečiť sieťový prenos do služby Fabric. Pomocou podmieneného prístupu a súkromných prepojení Microsoft Entra ID môžete vybrať správne riešenie prichádzajúcej komunikácie pre svoju organizáciu.

Podmienený prístup microsoft Entra ID

Microsoft Entra ID poskytuje službe Fabric podmienený prístup , ktorý vám umožní zabezpečiť prístup k službe Fabric pri každom pripojení. Tu je niekoľko príkladov obmedzení prístupu, ktoré môžete vynútiť pomocou podmieneného prístupu.

  • Definujte zoznam IP a služby pre prichádzajúce pripojenie k službe Fabric.

  • Používajte viacfaktorové overovanie (MFA).

  • Obmedziť prenos na základe parametrov, ako je napríklad krajina pôvodu alebo typ zariadenia.

Informácie o konfigurácii podmieneného prístupu nájdete v téme Podmienený prístup v službe Fabric.

Ďalšie informácie o overovaní v službe Fabric nájdete v téme Základy zabezpečenia služby Microsoft Fabric.

Súkromné prepojenia umožňujú zabezpečené pripojenie k službe Fabric obmedzením prístupu k nájomníkovi služby Fabric z virtuálnej siete Azure (VNet) a blokovaním všetkého verejného prístupu. Tým sa zabezpečí, že iba sieťová prevádzka zo siete VNet bude mať vo vašom nájomníkovi prístup k funkciám služby Fabric, ako sú napríklad Notebooky, Lakehouses a sklady údajov.

Ak chcete nakonfigurovať súkromné prepojenia v službe Fabric, pozrite si tému Nastavenie a používanie súkromných prepojení.

Zabezpečenie odchádzajúcej siete

Fabric má množinu nástrojov, ktoré umožňujú bezpečne sa pripojiť k externým zdrojom údajov a preniesť tieto údaje do služby Fabric. Táto časť obsahuje zoznam rôznych spôsobov importu a pripojenia k údajom zo zabezpečenej siete do štruktúry.

Dôveryhodný prístup k pracovnému priestoru

So službou Fabric môžete bezpečne získať prístup k kontách služby Azure Data Lake Gen2 s podporou brány firewall. Pracovné priestory služby Fabric, ktoré majú identitu pracovného priestoru, môžu bezpečne pristupovať k kontám služby Azure Data Lake Gen2, pričom prístup k verejnej sieti je povolený, z vybratých virtuálnych sietí a adries IP. Prístup služby ADLS gen2 môžete obmedziť ku konkrétnym pracovným priestorom služby Fabric. Ďalšie informácie nájdete v téme Dôveryhodný prístup k pracovnému priestoru.

Poznámka

Identity pracovného priestoru služby Fabric možno vytvoriť len v pracovných priestoroch súvisiacich s kapacitou SKU služby Fabric F. Informácie o kúpe predplatného na službu Fabric nájdete v téme Zakúpenie predplatného služby Microsoft Fabric.

Spravované súkromné koncové body

Spravované súkromné koncové body umožňujú zabezpečené pripojenia k zdrojom údajov, ako sú napríklad databázy Azure SQL, bez toho, aby sa vystavovali verejnej sieti alebo vyžadovali zložité konfigurácie siete.

Spravované virtuálne siete

Spravované virtuálne siete sú virtuálne siete, ktoré vytvára a spravuje služba Microsoft Fabric pre každý pracovný priestor služby Fabric. Spravované virtuálne siete poskytujú izoláciu siete pre vyťaženia služby Fabric Spark, čo znamená, že výpočtové klastre sú nasadené vo vyhradenej sieti a už nie sú súčasťou zdieľanej virtuálnej siete.

Spravované virtuálne siete tiež umožňujú funkcie zabezpečenia siete, ako sú napríklad spravované súkromné koncové body, a podporu súkromných prepojení na Dátový inžinier položiek a položiek dátovej vedy v službe Microsoft Fabric, ktoré používajú Apache Spark.

Brána údajov

Ak sa chcete pripojiť k lokálnym zdrojom údajov alebo zdroju údajov, ktorý môže byť chránený bránou firewall alebo virtuálnou sieťou, môžete použiť niektorú z týchto možností:

  • Lokálna brána údajov – Brána slúži ako most medzi lokálnymi zdrojmi údajov a službou Fabric. Brána je nainštalovaná na serveri v rámci vašej siete a umožňuje službe Fabric pripojiť sa k zdrojom údajov cez zabezpečený kanál bez toho, aby bolo potrebné otvárať porty alebo vykonávať zmeny v sieti.

  • Brána údajov virtuálnej siete (VNet) – Brána VNet umožňuje pripojenie z cloudových služieb Microsoft Cloud k vašim údajovým službám Azure v rámci VNet bez potreby lokálnej brány údajov.

Pripojenie k službe OneLake z existujúcej služby

K službe Fabric sa môžete pripojiť pomocou existujúcej služby Azure Platform ako služby (PaaS). Pre služby Synapse a Azure Data Factory (ADF) môžete použiť virtuálnu sieť Azure Integration Runtime (IR) alebo virtuálnu sieť spravovanú službou Azure Data Factory. Môžete sa tiež pripojiť k týmto službám a ďalším službám, ako napríklad Mapovanie tokov údajov, klastre Synapse Spark, klastre Databricks Spark a Azure HDInsight pomocou rozhraní API OneLake.

Značky služby Azure

Použite značky služby na ingestovanie údajov bez použitia brán údajov zo zdrojov údajov nasadených vo virtuálnej sieti služby Azure, ako sú napríklad virtuálne počítače Azure SQL (VM), Azure SQL Managed Instance (MI) a rozhrania REST API. Môžete tiež použiť značky služby na získanie prenosov z virtuálnej siete alebo brány firewall služby Azure. Značky služby môžu napríklad povoliť odchádzajúce prenosy do služby Fabric, aby sa používateľ virtuálneho počítača mohol pripojiť k službe Fabric SQL reťazec pripojenia zo SSMS, pričom prístup k iným verejným internetovým zdrojom nie je blokovaný.

Zoznamy povolených IP adries

Ak máte údaje, ktoré sa nenachádzajú v službe Azure, môžete povoliť zoznam povolených IP adries v sieti vašej organizácie, aby bolo možné prenosy do služby Fabric a z tejto služby. Povolený zoznam IP adries je užitočný, ak potrebujete získať údaje zo zdrojov údajov, ktoré nepodporujú značky služby, ako sú napríklad lokálne zdroje údajov. Pomocou týchto odkazov môžete získať údaje bez ich skopírovania do služby OneLake pomocou koncového bodu analýzy SQL Lakehouse alebo služby Direct Lake.

Zoznam IP a ip služby fabric môžete získať lokálne značky služby. Zoznam je k dispozícii ako súbor JSON alebo programovo s rozhraniami REST API, PowerShell a rozhraním príkazového riadka platformy Azure (CLI).

Zabezpečené údaje

V službe Fabric sú všetky údaje uložené v službe OneLake šifrované v pokoji. Všetky uložené údaje sú uložené vo vašej domovskej oblasti alebo v jednej z vašich kapacít vo vzdialenej oblasti podľa vášho výberu, aby ste mohli spĺňať predpisy suverenity všetkých štátov. Ďalšie informácie nájdete v téme Základy zabezpečenia služby Microsoft Fabric.

Vysvetlenie nájomníkov vo viacerých geografických oblastiach

V mnohých organizáciách je globálna prítomnosť a vyžadujú služby vo viacerých geografických oblastiach Azure. Napríklad spoločnosť môže mať svoje sídlo v Spojených štátoch, zatiaľ čo podniká v iných geografických oblastiach, ako je Austrália. V súlade s miestnymi nariadeniami musia podniky s globálnou prítomnosťou zabezpečiť, aby údaje zostali uložené vo viacerých regiónoch. V službe Fabric sa nazýva Multi-geo.

Vrstva vykonávania dotazov, vyrovnávacia pamäť dotazov a údaje položiek priradené k pracovnému priestoru s viacerými geografickými oblasťami zostávajú v geografii služby Azure, ktorú vytvorili. Niektoré metaúdaje a spracovanie sú však uložené v domovskej geografii nájomníka.

Fabric je súčasťou väčšieho ekosystému spoločnosti Microsoft. Ak už vaša organizácia používa iné cloudové predplatné služby, ako sú napríklad Azure, Microsoft 365 alebo Dynamics 365, služba Fabric funguje v rámci toho istého nájomníka služby Microsoft Entra. Vaša doména organizácie (napríklad contoso.com) je priradená k ID microsoft Entra. Rovnako ako všetky cloudové služby spoločnosti Microsoft.

Keď pracujete s viacerými nájomníkmi, ktorí majú viaceré kapacity v rôznych geografických oblastiach, služba Fabric zabezpečí, aby boli vaše údaje v rámci oblastí zabezpečené.

Prístup k údajom

Fabric ovláda prístup k údajom pomocou pracovných priestorov. V pracovných priestoroch sa údaje zobrazujú vo forme položiek služby Fabric a používatelia nemôžu zobrazovať ani používať položky (údaje), pokiaľ im nedáte prístup do pracovného priestoru. Ďalšie informácie o pracovnom priestore a povoleniach položiek nájdete v téme Model povolení.

Roly pracovného priestoru

Prístup k pracovnému priestoru je uvedený v tabuľke nižšie. Obsahuje roly pracovného priestoru a zabezpečenie Fabric a OneLake. Používatelia s rolou čitateľa môžu spúšťať dotazy SQL, Data Analysis Expressions (DAX) alebo multidimenzionálne výrazy (MDX), ale nemôžu získať prístup k položkám služby Fabric ani spúšťať poznámkový blok.

Rola Prístup k pracovnému priestoru Prístup OneLake
Správca, člen a prispievateľ Môže používať všetky položky v pracovnom priestore
Divák Môže zobraziť všetky položky v pracovnom priestore

Zdieľanie položiek

Položky služby Fabric môžete zdieľať s používateľmi vo vašej organizácii, ktorí nemajú žiadnu rolu pracovného priestoru. Zdieľanie položiek poskytuje obmedzený prístup, čo umožňuje používateľom prístup iba k zdieľanej položke v pracovnom priestore.

Obmedziť prístup

Prístup čitateľa k údajom môžete obmedziť pomocou zabezpečenia na úrovni riadkov (RLS), zabezpečenia na úrovni stĺpca (CLS) a zabezpečenia na úrovni objektu (OLS). So zabezpečením na úrovni riadkov, CLS a OLS môžete vytvárať identity používateľov, ktoré majú prístup k určitým častiam vašich údajov, a obmedziť výsledky SQL tak, že vrátia len to, k čomu má používateľ prístup.

Zabezpečenie na úrovni riadkov môžete pridať aj do množiny údajov DirectLake. Ak definujete zabezpečenie pre SQL aj DAX, DirectLake prejde späť do režimu DirectQuery pre tabuľky, ktoré majú zabezpečenie na úrovni riadkov v SQL. V takýchto prípadoch sú výsledky jazyka DAX alebo MDX obmedzené na identitu používateľa.

Ak chcete sprístupniť zostavy pomocou množiny údajov DirectLake so zabezpečením na úrovni riadkov bez záložného režimu DirectQuery, použite priame zdieľanie množiny údajov alebo aplikácie v službe Power BI. S aplikáciami v službe Power BI môžete udeliť prístup k zostavám bez prístupu čitateľa. Tento druh prístupu znamená, že používatelia nemôžu používať SQL. Ak chcete povoliť službe DirectLake čítať údaje, musíte prepnúť prihlasovacie údaje zdroja údajov z Jediné prihlásenie (SSO) na pevnú identitu, ktorá má prístup k súborom v úložiske Lake.

Ochrana údajov

Fabric podporuje označenia citlivosti zo služby Microsoft Purview Information Protection. Ide o označenia, ako napríklad Všeobecné, Dôverné a Vysoko dôverné, ktoré sa bežne používajú v aplikácii Microsoft aplikácia Office, ako napríklad Word, PowerPoint a Excel na ochranu citlivých informácií. V službe Fabric môžete klasifikovať položky, ktoré obsahujú citlivé údaje, pomocou týchto rovnakých označení citlivosti. Označenia citlivosti potom automaticky sledujú údaje z položky do položky počas toku cez službu Fabric, a to úplne od zdroja údajov až po podnikového používateľa. Označenie citlivosti sleduje aj vtedy, keď sa údaje exportujú do podporovaných formátov, ako sú PBIX, Excel, PowerPoint a PDF, aby sa zaistilo, že vaše údaje zostanú chránené. Súbor môžu otvoriť iba oprávnení používatelia. Ďalšie informácie nájdete v téme Riadenie a dodržiavanie súladu v službe Microsoft Fabric.

Ak chcete pomôcť riadiť, chrániť a spravovať svoje údaje, môžete použiť funkciu Microsoft Purview. Microsoft Purview a Fabric spolupracujú a umožňujú ukladať, analyzovať a riadiť údaje z jedného umiestnenia centra Microsoft Purview.

Obnovenie údajov

Odolnosť údajov v službe Fabric zabezpečí, že vaše údaje budú k dispozícii v prípade katastrofy. Fabric tiež umožňuje obnoviť svoje údaje v prípade katastrofy, zotavenie po havárii. Ďalšie informácie nájdete v téme Spoľahlivosť v službe Microsoft Fabric.

Správa tkaniny

Ako správca služby Fabric dostanete možnosť kontroly nad možnosťami pre celú organizáciu. Fabric umožňuje delegovať rolu správcu na kapacity, pracovné priestory a domény. Delegovaním zodpovedností správcu správnym ľuďom môžete implementovať model, ktorý umožní niekoľkým kľúčovým správcom kontrolovať všeobecné nastavenia služby Fabric v rámci organizácie, zatiaľ čo iní správcovia, ktorí majú na starosti nastavenia týkajúce sa konkrétnych oblastí.

Pomocou rôznych nástrojov môžu správcovia tiež monitorovať kľúčové aspekty služby Fabric, ako je napríklad spotreba kapacity.

Denníky auditu

Ak chcete zobraziť denníky auditu, postupujte podľa pokynov v téme Sledovanie aktivít používateľa v službe Microsoft Fabric. Môžete si tiež prezrieť zoznam Operácií a zistiť, ktoré aktivity sú k dispozícii na vyhľadávanie v denníkoch auditu.

Možnosti

V tejto časti nájdete zoznam niektorých funkcií zabezpečenia, ktoré sú k dispozícii v službe Microsoft Fabric.

Funkcia Description
Podmienený prístup Zabezpečte aplikácie pomocou identifikátora Microsoft Entra ID
Lockbox Ovládajte spôsob, akým inžinieri spoločnosti Microsoft pristupujú k vašim údajom
Fabric a OneLake security Zistite, ako zabezpečiť údaje v službách Fabric a OneLake.
Odolnosť Spoľahlivosť a regionálna odolnosť so zónami dostupnosti Azure
Značky služby Povolenie Azure SQL Managed Instance (MI) na povolenie prichádzajúcich pripojení zo služby Microsoft Fabric