Säkerhet i Microsoft Fabric
Microsoft Fabric är en SaaS-plattform (programvara som en tjänst) som gör att användarna kan hämta, skapa, dela och visualisera data.
Som SaaS-tjänst erbjuder Fabric ett komplett säkerhetspaket för hela plattformen. Fabric tar bort kostnaden och ansvaret för att underhålla din säkerhetslösning och överför den till molnet. Med Fabric kan du använda Microsofts expertis och resurser för att skydda dina data, korrigera sårbarheter, övervaka hot och följa regler. Med Infrastruktur kan du också hantera, kontrollera och granska dina säkerhetsinställningar i enlighet med dina föränderliga behov och krav.
När du tar dina data till molnet och använder dem med olika analysupplevelser, till exempel Power BI, Data Factory och nästa generations Synapse, ser Microsoft till att inbyggda säkerhets- och tillförlitlighetsfunktioner skyddar dina data i vila och under överföring. Microsoft ser också till att dina data kan återställas i händelse av infrastrukturfel eller katastrofer.
Infrastruktursäkerhet är:
Always on – Varje interaktion med Fabric krypteras som standard och autentiseras med hjälp av Microsoft Entra-ID. All kommunikation mellan Fabric-upplevelser överförs via Microsofts stamnätsinternet. Vilande data lagras automatiskt krypterade. Om du vill reglera åtkomsten till Fabric kan du lägga till extra säkerhetsfunktioner som privata länkar eller villkorlig åtkomst i Entra. Infrastrukturresurser kan också ansluta till data som skyddas av en brandvägg eller ett privat nätverk med hjälp av betrodd åtkomst.
Kompatibel – Fabric har datasuveränitet direkt med flera geo-kapaciteter. Infrastrukturresurser har också stöd för en mängd olika efterlevnadsstandarder.
Styrningsbar – Fabric levereras med en uppsättning styrningsverktyg som data härkomst, informationsskyddsetiketter, dataförlustskydd och purview-integrering.
Konfigurerbar – Du kan konfigurera Infrastruktursäkerhet i enlighet med organisationens principer.
Utvecklas – Microsoft förbättrar ständigt fabric-säkerheten genom att lägga till nya funktioner och kontroller.
Autentisera
Microsoft Fabric är en SaaS-plattform, precis som många andra Microsoft-tjänster som Azure, Microsoft Office, OneDrive och Dynamics. Alla dessa Microsoft SaaS-tjänster, inklusive Fabric, använder Microsoft Entra-ID som molnbaserad identitetsprovider. Microsoft Entra-ID hjälper användare att snabbt och enkelt ansluta till dessa tjänster från valfri enhet och alla nätverk. Varje begäran om att ansluta till Infrastrukturresurser autentiseras med Microsoft Entra-ID, vilket gör att användarna på ett säkert sätt kan ansluta till Fabric från sitt företagskontor, när de arbetar hemma eller från en fjärransluten plats.
Förstå nätverkssäkerhet
Fabric är En SaaS-tjänst som körs i Microsoft-molnet. Vissa scenarier omfattar anslutning till data som finns utanför Fabric-plattformen. Du kan till exempel visa en rapport från ditt eget nätverk eller ansluta till data som finns i en annan tjänst. Interaktioner inom Fabric använder det interna Microsoft-nätverket och trafik utanför tjänsten skyddas som standard. Mer information och en detaljerad beskrivning finns i Data under överföring.
Inkommande nätverkssäkerhet
Din organisation kanske vill begränsa och skydda nätverkstrafiken som kommer till Infrastrukturresurser baserat på företagets krav. Med Villkorsstyrd åtkomst för Microsoft Entra-ID och privata länkar kan du välja rätt inkommande lösning för din organisation.
Villkorsstyrd åtkomst för Microsoft Entra-ID
Microsoft Entra-ID ger Infrastruktur med villkorsstyrd åtkomst som gör att du kan skydda åtkomsten till Infrastrukturresurser på varje anslutning. Här följer några exempel på åtkomstbegränsningar som du kan tillämpa med villkorlig åtkomst.
Definiera en lista över IP-adresser för inkommande anslutning till Infrastrukturresurser.
Använd multifaktorautentisering (MFA).
Begränsa trafiken baserat på parametrar som ursprungsland eller enhetstyp.
Information om hur du konfigurerar villkorlig åtkomst finns i Villkorlig åtkomst i Infrastrukturresurser.
Mer information om autentisering i Infrastruktur finns i Grunderna för Microsoft Fabric-säkerhet.
Privata länkar
Privata länkar möjliggör säker anslutning till Infrastrukturresurser genom att begränsa åtkomsten till din Infrastruktur-klientorganisation från ett virtuellt Azure-nätverk (VNet) och blockera all offentlig åtkomst. Detta säkerställer att endast nätverkstrafik från det virtuella nätverket får åtkomst till infrastrukturresurser som notebook-filer, lakehouses och informationslager i din klientorganisation.
Information om hur du konfigurerar privata länkar i Infrastrukturresurser finns i Konfigurera och använda privata länkar.
Utgående nätverkssäkerhet
Fabric har en uppsättning verktyg som gör att du kan ansluta till externa datakällor och föra dessa data till Infrastrukturresurser på ett säkert sätt. I det här avsnittet visas olika sätt att importera och ansluta till data från ett säkert nätverk till infrastrukturresurser.
Åtkomst till betrodd arbetsyta
Med Fabric kan du komma åt brandväggsaktiverade Azure Data Lake Gen 2-konton på ett säkert sätt. Infrastrukturarbetsytor som har en arbetsyteidentitet kan på ett säkert sätt komma åt Azure Data Lake Gen 2-konton med åtkomst till offentligt nätverk aktiverat från valda virtuella nätverk och IP-adresser. Du kan begränsa ADLS gen 2-åtkomsten till specifika infrastrukturarbetsytor. Mer information finns i Åtkomst till betrodd arbetsyta.
Hanterade privata slutpunkter
Hanterade privata slutpunkter tillåter säkra anslutningar till datakällor som Azure SQL-databaser utan att exponera dem för det offentliga nätverket eller kräver komplexa nätverkskonfigurationer.
Hanterade virtuella nätverk
Hanterade virtuella nätverk är virtuella nätverk som skapas och hanteras av Microsoft Fabric för varje Infrastruktur-arbetsyta. Hanterade virtuella nätverk tillhandahåller nätverksisolering för Fabric Spark-arbetsbelastningar, vilket innebär att beräkningskluster distribueras i ett dedikerat nätverk och inte längre ingår i det delade virtuella nätverket.
Hanterade virtuella nätverk aktiverar även nätverkssäkerhetsfunktioner som hanterade privata slutpunkter och stöd för privata länkar för Datateknik och Datavetenskap objekt i Microsoft Fabric som använder Apache Spark.
Data-gateway
Om du vill ansluta till lokala datakällor eller en datakälla som kan skyddas av en brandvägg eller ett virtuellt nätverk kan du använda något av följande alternativ:
Lokal datagateway – Gatewayen fungerar som en brygga mellan dina lokala datakällor och Infrastrukturresurser. Gatewayen är installerad på en server i nätverket och gör att Fabric kan ansluta till dina datakällor via en säker kanal utan att behöva öppna portar eller göra ändringar i nätverket.
Virtuell nätverksdatagateway (VNet) – Med VNet-gatewayen kan du ansluta från Microsoft Cloud-tjänster till dina Azure-datatjänster i ett virtuellt nätverk, utan att behöva en lokal datagateway.
Anslut till OneLake från en befintlig tjänst
Du kan ansluta till Fabric med din befintliga PaaS-tjänst (Azure Platform as a Service). För Synapse och Azure Data Factory (ADF) kan du använda Azure Integration Runtime (IR) eller ett hanterat virtuellt Azure Data Factory-nätverk. Du kan också ansluta till dessa tjänster och andra tjänster, till exempel Mappa dataflöden, Synapse Spark-kluster, Databricks Spark-kluster och Azure HDInsight med onelake-API :er.
Azure-tjänsttaggar
Använd tjänsttaggar för att mata in data utan att använda datagatewayer, från datakällor som distribuerats i ett virtuellt Azure-nätverk, till exempel Virtuella Azure SQL-datorer (VM), Azure SQL Managed Instance (MI) och REST-API:er. Du kan också använda tjänsttaggar för att hämta trafik från ett virtuellt nätverk eller en Azure-brandvägg. Tjänsttaggar kan till exempel tillåta utgående trafik till Infrastrukturresurser så att en användare på en virtuell dator kan ansluta till SQL-slutpunkter för infrastrukturresurser från SSMS, samtidigt som de blockeras från att komma åt andra offentliga Internetresurser.
IP-tillåtna listor
Om du har data som inte finns i Azure kan du aktivera en LISTA över TILLÅTNA IP-adresser i organisationens nätverk för att tillåta trafik till och från Infrastrukturresurser. En IP-tillåtna lista är användbar om du behöver hämta data från datakällor som inte stöder tjänsttaggar, till exempel lokala datakällor. Med dessa genvägar kan du hämta data utan att kopiera dem till OneLake med hjälp av en Lakehouse SQL-slutpunkt eller Direct Lake.
Du kan hämta listan över INFRASTRUKTUR-IP-adresser från tjänsttaggar lokalt. Listan är tillgänglig som en JSON-fil eller programmatiskt med REST API:er, PowerShell och Azure Command-Line Interface (CLI).
Säkra data
I Infrastruktur krypteras alla data som lagras i OneLake i vila. Alla vilande data lagras i din hemregion, eller i någon av dina kapaciteter i en fjärransluten region som du väljer så att du kan uppfylla regler för vilande suveränitet. Mer information finns i Säkerhetsgrunder för Microsoft Fabric.
Förstå klienter i flera geografiska områden
Många organisationer har en global närvaro och kräver tjänster i flera Azure-geografiska områden. Ett företag kan till exempel ha sitt huvudkontor i USA, samtidigt som det gör affärer i andra geografiska områden, till exempel Australien. För att följa lokala regler måste företag med global närvaro se till att data lagras i vila i flera regioner. I Infrastruktur kallas detta multi-geo.
Frågekörningslagret, frågecacheminnen och objektdata som tilldelats till en multi-geo-arbetsyta finns kvar i Azure-geografin när de skapas. Vissa metadata och bearbetning lagras dock i vila i klientorganisationens hemgeografi.
Fabric är en del av ett större Microsoft-ekosystem. Om din organisation redan använder andra molnprenumerationstjänster, till exempel Azure, Microsoft 365 eller Dynamics 365, fungerar Fabric inom samma Microsoft Entra-klientorganisation. Din organisationsdomän (till exempel contoso.com) är associerad med Microsoft Entra-ID. Precis som alla Microsoft-molntjänster.
Infrastrukturresurser säkerställer att dina data är säkra mellan regioner när du arbetar med flera klienter som har flera kapaciteter i ett antal geografiska områden.
Data logisk separation – Fabric-plattformen ger logisk isolering mellan klienter för att skydda dina data.
Datasuveränitet – Information om hur du börjar arbeta med multi-geo finns i Konfigurera Multi-Geo-stöd för Infrastrukturresurser.
Åtkomst till data
Fabric styr dataåtkomst med hjälp av arbetsytor. I arbetsytor visas data i form av infrastrukturobjekt och användarna kan inte visa eller använda objekt (data) om du inte ger dem åtkomst till arbetsytan. Mer information om arbetsytor och objektbehörigheter finns i Behörighetsmodell.
Arbetsyteroller
Åtkomst till arbetsyta visas i tabellen nedan. Den innehåller arbetsyteroller och infrastrukturresurser och OneLake-säkerhet. Användare med en visningsroll kan köra FRÅGOR om SQL-, dataanalysuttryck (DAX) eller flerdimensionella uttryck (MDX), men de kan inte komma åt infrastrukturobjekt eller köra en notebook-fil.
| Roll | Arbetsyteåtkomst | OneLake-åtkomst |
|---|---|---|
| Administratör, medlem och deltagare | Kan använda alla objekt på arbetsytan | 
|
| Tittare | Kan se alla objekt på arbetsytan | 
|
Dela objekt
Du kan dela Infrastrukturobjekt med användare i din organisation som inte har någon arbetsyteroll. Delningsobjekt ger begränsad åtkomst, så att användarna endast kan komma åt det delade objektet på arbetsytan.
Begränsa åtkomst
Du kan begränsa visningsprogrammets åtkomst till data med hjälp av säkerhet på radnivå (RLS), säkerhet på kolumnnivå (CLS) och säkerhet på objektnivå (OLS). Med RLS, CLS och OLS kan du skapa användaridentiteter som har åtkomst till vissa delar av dina data och begränsa SQL-resultat som bara returnerar vad användarens identitet kan komma åt.
Du kan också lägga till RLS i en DirectLake-datauppsättning. Om du definierar säkerhet för både SQL och DAX återgår DirectLake till DirectQuery för tabeller som har RLS i SQL. I sådana fall är DAX- eller MDX-resultat begränsade till användarens identitet.
Om du vill exponera rapporter med hjälp av en DirectLake-datauppsättning med RLS utan en DirectQuery-återställning använder du direkt datauppsättningsdelning eller appar i Power BI. Med appar i Power BI kan du ge åtkomst till rapporter utan visningsåtkomst. Den här typen av åtkomst innebär att användarna inte kan använda SQL. För att DirectLake ska kunna läsa data måste du växla datakällans autentiseringsuppgifter från Enkel inloggning (SSO) till en fast identitet som har åtkomst till filerna i sjön.
Skydda data
Fabric stöder känslighetsetiketter från Microsoft Purview Information Protection. Det här är etiketter som Allmänt, Konfidentiellt och Strikt konfidentiellt som används ofta i Microsoft Office-appen som Word, PowerPoint och Excel för att skydda känslig information. I Infrastruktur kan du klassificera objekt som innehåller känsliga data med samma känslighetsetiketter. Känslighetsetiketterna följer sedan data automatiskt från objekt till objekt när de flödar genom Infrastruktur, hela vägen från datakälla till företagsanvändare. Känslighetsetiketten följer även när data exporteras till format som stöds, till exempel PBIX, Excel, PowerPoint och PDF, vilket säkerställer att dina data förblir skyddade. Endast behöriga användare kan öppna filen. Mer information finns i Styrning och efterlevnad i Microsoft Fabric.
För att hjälpa dig att styra, skydda och hantera dina data kan du använda Microsoft Purview. Microsoft Purview och Fabric fungerar tillsammans så att du kan lagra, analysera och styra dina data från en enda plats, Microsoft Purview-hubben.
Återställa data
Återhämtning av infrastrukturdata säkerställer att dina data är tillgängliga om det uppstår ett haveri. Med Infrastruktur kan du också återställa dina data i händelse av en katastrof, Haveriberedskap. Mer information finns i Tillförlitlighet i Microsoft Fabric.
Administrera infrastrukturresurser
Som administratör i Fabric får du kontrollera funktioner för hela organisationen. Infrastrukturresurser möjliggör delegering av administratörsrollen till kapaciteter, arbetsytor och domäner. Genom att delegera administratörsansvaret till rätt personer kan du implementera en modell som låter flera nyckeladministratörer styra allmänna infrastrukturinställningar i organisationen, medan andra administratörer som ansvarar för inställningar relaterade till specifika områden.
Med hjälp av olika verktyg kan administratörer också övervaka viktiga infrastrukturresurser, till exempel kapacitetsförbrukning. Du kan också visa granskningsloggar för att övervaka användaraktiviteter och undersöka oväntade incidenter om det behövs.
Funktioner
I det här avsnittet finns en lista över några av de säkerhetsfunktioner som är tillgängliga i Microsoft Fabric.
| Kapacitet | beskrivning |
|---|---|
| Villkorlig åtkomst | Skydda dina appar med hjälp av Microsoft Entra-ID |
| Säker databas | Kontrollera hur Microsoft-tekniker får åtkomst till dina data |
| Infrastrukturresurser och OneLake-säkerhet | Lär dig hur du skyddar dina data i Fabric och OneLake. |
| Elasticitet | Tillförlitlighet och regional återhämtning med Azure-tillgänglighetszoner |
| Tjänsttaggar | Aktivera en Azure SQL Managed Instance (MI) för att tillåta inkommande anslutningar från Microsoft Fabric |
Relaterat innehåll
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för