Share via

Skydda inkommande trafik

  • Artikel

Inkommande trafik är trafik som kommer till Infrastrukturresurser från Internet. Den här artikeln förklarar skillnaderna mellan de två sätten att skydda inkommande trafik i Microsoft Fabric. Använd den här artikeln om du vill bestämma vilken metod som är bäst för din organisation.

  • Villkorlig åtkomst i Entra – När en användare autentiserar åtkomst bestäms baserat på en uppsättning principer som kan innehålla IP-adress, plats och hanterade enheter.

  • Privata länkar – Infrastrukturresurser använder en privat IP-adress från ditt virtuella nätverk. Med slutpunkten kan användare i nätverket kommunicera med Fabric via den privata IP-adressen med hjälp av privata länkar.

När trafiken kommer in i infrastrukturresurser autentiseras den av Microsoft Entra-ID, vilket är samma autentiseringsmetod som används av Microsoft 365, OneDrive och Dynamics 365. Med Microsoft Entra-ID-autentisering kan användarna på ett säkert sätt ansluta till molnprogram från alla enheter och nätverk, oavsett om de är hemma, på distans eller på företagets kontor.

Fabric-serverdelsplattformen skyddas av ett virtuellt nätverk och är inte direkt åtkomlig från det offentliga Internet förutom via säkra slutpunkter. Information om hur trafik skyddas i Infrastrukturresurser finns i Arkitekturdiagram för infrastrukturresurser.

Som standard kommunicerar Fabric mellan upplevelser med hjälp av det interna Microsoft-stamnätverket. När en Power BI-rapport läser in data från OneLake går data via det interna Microsoft-nätverket. Den här konfigurationen skiljer sig från att behöva konfigurera flera PaaS-tjänster (Plattform som en tjänst) för att ansluta till varandra via ett privat nätverk. Inkommande kommunikation mellan klienter som webbläsaren eller SQL Server Management Studio (SSMS) och Fabric använder TLS 1.2-protokollet och förhandlar till TLS 1.3 när det är möjligt.

Infrastrukturresursernas standardsäkerhetsinställningar är:

  • Microsoft Entra-ID som används för att autentisera varje begäran.

  • Vid lyckad autentisering dirigeras begäranden till lämplig serverdelstjänst via säkra Microsoft-hanterade slutpunkter.

  • Intern trafik mellan upplevelser i Fabric dirigeras via Microsofts stamnät.

  • Trafik mellan klienter och infrastrukturresurser krypteras med minst TLS-protokollet (Transport Layer Security) 1.2.

Villkorlig åtkomst för Entra

Varje interaktion med Fabric autentiseras med Microsoft Entra-ID. Microsoft Entra-ID baseras på Nolltillit säkerhetsmodell, som förutsätter att du inte är helt skyddad inom organisationens nätverksperimeter. I stället för att se nätverket som en säkerhetsgräns Nolltillit titta på identiteten som den primära perimetern för säkerhet.

För att fastställa åtkomst vid tidpunkten för autentiseringen kan du definiera och tillämpa principer för villkorlig åtkomst baserat på användarnas identitet, enhetskontext, plats, nätverk och programkänslighet. Du kan till exempel kräva multifaktorautentisering, enhetsefterlevnad eller godkända appar för åtkomst till dina data och resurser i Infrastrukturresurser. Du kan också blockera eller begränsa åtkomsten från riskfyllda platser, enheter eller nätverk.

Principer för villkorlig åtkomst hjälper dig att skydda dina data och program utan att äventyra användarnas produktivitet och upplevelse. Här följer några exempel på åtkomstbegränsningar som du kan tillämpa med villkorlig åtkomst.

  • Definiera en lista över IP-adresser för inkommande anslutning till Infrastrukturresurser.

  • Använd multifaktorautentisering (MFA).

  • Begränsa trafiken baserat på parametrar som ursprungsland eller enhetstyp.

Infrastrukturresurser stöder inte andra autentiseringsmetoder, till exempel kontonycklar eller SQL-autentisering, som förlitar sig på användarnamn och lösenord.

Konfigurera villkorlig åtkomst

För att konfigurera villkorlig åtkomst i Fabric måste du välja flera Infrastrukturrelaterade Azure-tjänster, till exempel Power BI, Azure Data Explorer, Azure SQL Database och Azure Storage.

Kommentar

Villkorsstyrd åtkomst kan anses vara för bred för vissa kunder eftersom alla principer tillämpas på Infrastrukturresurser och relaterade Azure-tjänster.

Licensiering

Villkorsstyrd åtkomst kräver Microsoft Entra ID P1-licenser. Ofta är dessa licenser redan tillgängliga i din organisation eftersom de delas med andra Microsoft-produkter, till exempel Microsoft 365. Information om hur du hittar rätt licens för dina krav finns i Licenskrav.

Betrodd åtkomst

Infrastrukturresurser behöver inte finnas i ditt privata nätverk, även om du har dina data lagrade i ett. Med PaaS-tjänster är det vanligt att placera beräkningen i samma privata nätverk som lagringskontot. Men med Fabric behövs detta inte. Om du vill aktivera betrodd åtkomst till Infrastrukturresurser kan du använda funktioner som lokala datagatewayer, åtkomst till betrodda arbetsytor och hanterade privata slutpunkter. Mer information finns i Säkerhet i Microsoft Fabric.

Med privata slutpunkter tilldelas tjänsten en privat IP-adress från ditt virtuella nätverk. Med slutpunkten kan andra resurser i nätverket kommunicera med tjänsten via den privata IP-adressen.

Med privata länkar skapar en tunnel från tjänsten till ett av dina undernät en privat kanal. Kommunikation från externa enheter överförs från deras IP-adress, till en privat slutpunkt i undernätet, genom tunneln och till tjänsten.

När du implementerar privata länkar är Fabric inte längre tillgängligt via det offentliga Internet. För att få åtkomst till Infrastruktur måste alla användare ansluta via det privata nätverket. Det privata nätverket krävs för all kommunikation med Fabric, inklusive att visa en Power BI-rapport i webbläsaren och använda SQL Server Management Studio (SSMS) för att ansluta till en SQL-slutpunkt.

Lokala nätverk

Om du använder lokala nätverk kan du utöka dem till Azure Virtual Network (VNet) med hjälp av en ExpressRoute-krets eller ett plats-till-plats-VPN för att få åtkomst till Infrastrukturresurser med privata anslutningar.

Bandbredd

Med privata länkar går all trafik till Infrastrukturresurser via den privata slutpunkten, vilket orsakar potentiella bandbreddsproblem. Användare kan inte längre läsa in globala distribuerade icke-datarelaterade resurser, till exempel avbildningar .css och .html filer som används av Fabric, från deras region. Dessa resurser läses in från platsen för den privata slutpunkten. För australiensiska användare med en privat slutpunkt i USA reser trafiken till USA först. Detta ökar belastningstiderna och kan minska prestandan.

Kostnad

Kostnaden för privata länkar och ökningen av ExpressRoute-bandbreddenför att tillåta privat anslutning från nätverket kan öka kostnaderna för din organisation.

Beaktanden och begränsningar

Med privata länkar stänger du av Fabric till det offentliga Internet. Därför finns det många överväganden och begränsningar som du behöver ta hänsyn till.

Relaterat innehåll