Säkerhetsscenario för Microsoft Fabric från slutpunkt till slutpunkt
Säkerhet är en viktig aspekt av alla dataanalyslösningar, särskilt när det gäller känsliga eller konfidentiella data. Därför tillhandahåller Microsoft Fabric en omfattande uppsättning säkerhetsfunktioner som gör att du kan skydda dina data i vila och under överföring, samt kontrollera åtkomst och behörigheter för dina användare och program.
I den här artikeln får du lära dig mer om infrastruktursäkerhetsbegrepp och funktioner som kan hjälpa dig att skapa en egen analyslösning med Fabric.
Bakgrund
I den här artikeln beskrivs ett scenario där du är datatekniker och arbetar för en sjukvårdsorganisation i USA. Organisationen samlar in och analyserar patientdata som kommer från olika system, inklusive elektroniska hälsojournaler, labbresultat, försäkringsanspråk och bärbara enheter.
Du planerar att bygga ett sjöhus med hjälp av arkitekturen medallion i Fabric, som består av tre lager: brons, silver och guld.
- Bronslagret lagrar rådata när de kommer från datakällorna.
- Silverlagret tillämpar datakvalitetskontroller och transformeringar för att förbereda data för analys.
- Det guldfärgade lagret innehåller aggregerade och berikade data för rapportering och visualisering.
Vissa datakällor finns i ditt lokala nätverk, medan andra ligger bakom brandväggar och kräver säker, autentiserad åtkomst. Det finns också vissa datakällor som hanteras i Azure, till exempel Azure SQL Database och Azure Storage. Du måste ansluta till dessa Azure-datakällor på ett sätt som inte exponerar data för det offentliga Internet.
Du har bestämt dig för att använda Infrastrukturresurser eftersom det på ett säkert sätt kan mata in, lagra, bearbeta och analysera dina data i molnet. Det är viktigt att det gör det samtidigt som det följer reglerna för din bransch och din organisations policyer.
Eftersom Fabric är programvara som en tjänst (SaaS) behöver du inte etablera enskilda resurser, till exempel lagrings- eller beräkningsresurser. Allt du behöver är en infrastrukturkapacitet.
Du måste konfigurera krav för dataåtkomst. Mer specifikt behöver du se till att endast du och dina datatekniker har åtkomst till data i brons- och silverskikten i sjöhuset. I de här lagren planerar du att utföra datarensning, validering, transformering och berikning. Du måste också begränsa åtkomsten till data i guldskiktet. Endast behöriga användare, inklusive dataanalytiker och företagsanvändare, ska ha åtkomst till guldskiktet. De kräver den här åtkomsten för att använda data för olika analytiska ändamål, till exempel rapportering, maskininlärning och förutsägelseanalys. Dataåtkomsten måste begränsas ytterligare av användarens roll och avdelning.
Ansluta till infrastrukturresurser (inkommande skydd)
Du konfigurerar först inkommande skydd, vilket handlar om hur du och andra användare loggar in och har åtkomst till Infrastrukturresurser.
Eftersom Fabric distribueras till en Microsoft Entra-klientorganisation hanteras autentisering och auktorisering av Microsoft Entra. Du loggar in med ett Microsoft Entra-organisationskonto (arbets- eller skolkonto). Sedan bör du fundera på hur andra användare ska ansluta till Infrastrukturresurser.
Microsoft Entra-klientorganisationen är en identitetssäkerhetsgräns som kontrolleras av IT-avdelningen. Inom den här säkerhetsgränsen utförs administrationen av Microsoft Entra-objekt (till exempel användarkonton) och konfigurationen av inställningar för hela klientorganisationen av IT-administratörerna. Precis som alla SaaS-tjänster isolerar Fabric logiskt klientorganisationer. Data och resurser i klientorganisationen kan aldrig nås av andra klienter om du inte uttryckligen ger dem behörighet att göra det.
Det här händer när en användare loggar in på Infrastrukturresurser.
Artikel | Beskrivning |
---|---|
Användaren öppnar en webbläsare (eller ett klientprogram) och loggar in på Infrastrukturportalen. | |
Användaren omdirigeras omedelbart till Microsoft Entra-ID och de måste autentiseras. Autentisering verifierar att det är rätt person som loggar in. | |
När autentiseringen har slutförts tar webbklientdelen emot användarens begäran och levererar innehållet i klientdelen (HTML och CSS) från närmaste plats. Den dirigerar också begäran till metadataplattformen och serverdelskapacitetsplattformen. | |
Metadataplattformen, som finns i din klients hemregion, lagrar din klients metadata, till exempel arbetsytor och åtkomstkontroller. Den här plattformen säkerställer att användaren har behörighet att komma åt relevanta arbetsytor och infrastrukturobjekt. | |
Backend-kapacitetsplattformen utför beräkningsåtgärder och lagrar dina data. Den finns i kapacitetsregionen. När en arbetsyta tilldelas infrastrukturkapacitet lagras och bearbetas alla data som finns på arbetsytan, inklusive datasjön OneLake, i kapacitetsregionen. |
Metadataplattformen och backend-kapacitetsplattformen körs i skyddade virtuella nätverk. Dessa nätverk exponerar en rad säkra slutpunkter på Internet så att de kan ta emot begäranden från användare och andra tjänster. Förutom dessa slutpunkter skyddas tjänsterna av nätverkssäkerhetsregler som blockerar åtkomst från det offentliga Internet.
När användare loggar in på Infrastrukturresurser kan du framtvinga andra skyddslager. På så sätt är din klient endast tillgänglig för vissa användare och när andra villkor, till exempel nätverksplats och enhetsefterlevnad, uppfylls. Det här skyddsskiktet kallas inkommande skydd.
I det här scenariot ansvarar du för känslig patientinformation i Fabric. Därför har din organisation gett i uppdrag att alla användare som har åtkomst till Infrastrukturresurser måste utföra multifaktorautentisering (MFA) och att de måste finnas i företagsnätverket– att bara skydda användaridentiteten räcker inte.
Din organisation ger också flexibilitet för användare genom att låta dem arbeta var som helst och använda sina personliga enheter. Eftersom Microsoft Intune stöder BYOD (bring-your-own-device) registrerar du godkända användarenheter i Intune.
Dessutom måste du se till att dessa enheter följer organisationens principer. Mer specifikt kräver dessa principer att enheterna bara kan ansluta när de har det senaste operativsystemet installerat och de senaste säkerhetskorrigeringarna. Du konfigurerar dessa säkerhetskrav med hjälp av villkorsstyrd åtkomst i Microsoft Entra.
Villkorlig åtkomst erbjuder flera sätt att skydda din klientorganisation. Du kan:
- Bevilja eller blockera åtkomst via nätverksplats.
- Blockera åtkomst till enheter som körs på operativsystem som inte stöds.
- Kräv en kompatibel enhet, Intune-ansluten enhet eller MFA för alla användare.
- Och mer.
Om du behöver låsa hela fabric-klientorganisationen kan du använda ett virtuellt nätverk och blockera offentlig Internetåtkomst. Åtkomst till Infrastrukturresurser tillåts sedan endast inifrån det säkra virtuella nätverket. Det här kravet konfigureras genom att aktivera privata länkar på klientorganisationsnivå för Infrastrukturresurser. Det säkerställer att alla Fabric-slutpunkter matchar en privat IP-adress i ditt virtuella nätverk, inklusive åtkomst till alla dina Power BI-rapporter. (Aktivering av privata slutpunkter påverkar många fabric-objekt, så du bör läsa den här artikeln noggrant innan du aktiverar dem.)
Säker åtkomst till data utanför Infrastrukturresurser (utgående skydd)
Därefter konfigurerar du utgående skydd, vilket handlar om säker åtkomst till data bakom brandväggar eller privata slutpunkter.
Din organisation har vissa datakällor som finns i ditt lokala nätverk. Eftersom dessa datakällor ligger bakom brandväggar kräver Fabric säker åtkomst. Om du vill tillåta att Fabric ansluter på ett säkert sätt till din lokala datakälla installerar du en lokal datagateway.
Gatewayen kan användas av Data Factory-dataflöden och datapipelines för att mata in, förbereda och transformera lokala data och sedan läsa in den till OneLake med en kopieringsaktivitet. Data Factory har stöd för en omfattande uppsättning anslutningsappar som gör att du kan ansluta till mer än 100 olika datalager.
Sedan skapar du dataflöden med Power Query, vilket ger en intuitiv upplevelse med ett lågkodsgränssnitt. Du använder den för att mata in data från dina datakällor och transformera dem med hjälp av någon av över 300 datatransformeringar. Sedan skapar och samordnar du en komplex ETL-process (extract, transform, and load) med datapipelines. ETL-processer kan uppdatera dataflöden och utföra många olika uppgifter i stor skala och bearbeta petabyte med data.
I det här scenariot har du redan flera ETL-processer. Först har du några pipelines i Azure Data Factory (ADF). För närvarande matar dessa pipelines in dina lokala data och läser in dem i en datasjö i Azure Storage med hjälp av den lokala integrationskörningen. För det andra har du ett ramverk för datainmatning i Azure Databricks som är skrivet i Spark.
Nu när du använder Infrastrukturresurser omdirigerar du bara utdatamålet för ADF-pipelines för att använda lakehouse-anslutningsappen. Och för inmatningsramverket i Azure Databricks använder du OneLake-API :erna som stöder ABFS-drivrutinen (Azure Blog Filesystem) för att integrera OneLake med Azure Databricks. (Du kan också använda samma metod för att integrera OneLake med Azure Synapse Analytics med hjälp av Apache Spark.)
Du har också vissa datakällor som finns i Azure SQL Database. Du måste ansluta till dessa datakällor med hjälp av privata slutpunkter. I det här fallet bestämmer du dig för att konfigurera en virtuell nätverksdatagateway (VNet) och använda dataflöden för att på ett säkert sätt ansluta till dina Azure-data och läsa in dem i Infrastrukturresurser. Med VNet-datagatewayer behöver du inte etablera och hantera infrastrukturen (som du behöver göra för den lokala datagatewayen). Det beror på att Fabric skapar containrarna på ett säkert och dynamiskt sätt i ditt virtuella Azure-nätverk.
Om du utvecklar eller migrerar ditt ramverk för datainmatning i Spark kan du ansluta till datakällor i Azure på ett säkert och privat sätt från Fabric Notebooks och jobb med hjälp av hanterade privata slutpunkter. Hanterade privata slutpunkter kan skapas på dina Infrastruktur-arbetsytor för att ansluta till datakällor i Azure som har blockerat offentlig Internetåtkomst. De stöder privata slutpunkter, till exempel Azure SQL Database och Azure Storage. Hanterade privata slutpunkter etableras och hanteras i ett hanterat virtuellt nätverk som är dedikerat till en infrastrukturresursarbetsyta. Till skillnad från dina vanliga virtuella Azure-nätverk finns inte hanterade virtuella nätverk och hanterade privata slutpunkter i Azure-portalen. Det beror på att de hanteras helt av Fabric och du hittar dem i dina arbetsyteinställningar.
Eftersom du redan har mycket data lagrade i Azure Data Lake Storage (ADLS) Gen2-konton behöver du nu bara ansluta Infrastrukturarbetsbelastningar, till exempel Spark och Power BI, till den. Tack vare OneLake ADLS-genvägar kan du enkelt ansluta till dina befintliga data från valfri infrastrukturmiljö, till exempel dataintegreringspipelines, notebook-filer för datateknik och Power BI-rapporter.
Infrastrukturarbetsytor som har en arbetsyteidentitet kan på ett säkert sätt komma åt ADLS Gen2-lagringskonton, även när du har inaktiverat det offentliga nätverket. Det möjliggörs av åtkomst till betrodda arbetsytor. Det gör att Fabric kan ansluta till lagringskontona på ett säkert sätt med hjälp av ett Microsoft-stamnätverk. Det innebär att kommunikationen inte använder det offentliga Internet, vilket gör att du kan inaktivera åtkomsten till det offentliga nätverket till lagringskontot, men ändå tillåta att vissa Infrastruktur-arbetsytor ansluter till dem.
Regelefterlevnad
Du vill använda Fabric för att på ett säkert sätt mata in, lagra, bearbeta och analysera dina data i molnet, samtidigt som du följer reglerna för din bransch och organisationens principer.
Fabric är en del av Microsoft Azure Core Services och styrs av Microsoft Online Services-villkoren och Sekretesspolicyn för Microsoft Enterprise. Även om certifieringar vanligtvis sker efter en produktlansering (allmänt tillgänglig eller ga), integrerar Microsoft bästa praxis för efterlevnad från början och under hela utvecklingslivscykeln. Den här proaktiva metoden säkerställer en stark grund för framtida certifieringar, även om de följer etablerade granskningscykler. Enklare uttryckt prioriterar vi att skapa efterlevnad från början, även när formell certifiering kommer senare.
Fabric uppfyller många branschstandarder som ISO 27001, 27017, 27018 och 27701. Fabric är också HIPAA-kompatibelt , vilket är viktigt för sekretess och säkerhet för hälso- och sjukvårdsdata. Du kan kontrollera bilaga A och B i Microsoft Azure Efterlevnadserbjudanden för detaljerad insikt om vilka molntjänster som finns i omfånget för certifieringarna. Du kan också komma åt granskningsdokumentationen från Service Trust Portal (STP).
Efterlevnad är ett delat ansvar. För att följa lagar och regler, molntjänstleverantörer och deras kunder anger ett delat ansvar för att se till att var och en gör sin del. När du överväger och utvärderar offentliga molntjänster är det viktigt att förstå modellen med delat ansvar och vilka säkerhetsuppgifter molnleverantören hanterar och vilka uppgifter du hanterar.
Datahantering
Eftersom du hanterar känslig patientinformation måste du se till att alla dina data är tillräckligt skyddade både i vila och under överföring.
Kryptering i vila ger dataskydd för lagrade data (i vila). Angrepp mot vilande data omfattar försök att få fysisk åtkomst till maskinvaran där data lagras och sedan kompromettera data på maskinvaran. Kryptering i vila är utformad för att förhindra att en angripare kommer åt okrypterade data genom att säkerställa att data krypteras när de är på disk. Kryptering i vila är en obligatorisk åtgärd som krävs för att följa vissa branschstandarder och föreskrifter, till exempel INTERNATIONAL Organization for Standardization (ISO) och Health Insurance Portability and Accountability Act (HIPAA).
Alla infrastrukturdatalager krypteras i vila med hjälp av Microsoft-hanterade nycklar, vilket ger skydd för kunddata och även systemdata och metadata. Data sparas aldrig i permanent lagring när de är i ett okrypterat tillstånd. Med Microsoft-hanterade nycklar kan du dra nytta av krypteringen av dina vilande data utan risk eller kostnad för en anpassad lösning för nyckelhantering.
Data krypteras också under överföring. All inkommande trafik till fabric-slutpunkter från klientsystemen framtvingar minst TLS (Transport Layer Security) 1.2. Den förhandlar också om TLS 1.3 när det är möjligt. TLS ger stark autentisering, meddelandesekretess och integritet (möjliggör identifiering av manipulering, avlyssning och förfalskning), samverkan, algoritmflexibilitet och enkel distribution och användning.
Förutom kryptering dirigerar nätverkstrafik mellan Microsoft usluge alltid över Microsofts globala nätverk, som är ett av de största stamnätverken i världen.
Kundhanterad nyckelkryptering (CMK) och Microsoft Fabric
Med kundhanterade nycklar (CMK) kan du kryptera data i vila med dina egna nycklar. Som standard krypterar Microsoft Fabric vilande data med hjälp av plattformshanterade nycklar. I den här modellen ansvarar Microsoft för alla aspekter av nyckelhantering och vilande data på OneLake krypteras med hjälp av dess nycklar. Från ett efterlevnadsperspektiv kan kunder ha ett krav på att använda CMK för att kryptera vilande data. I CMK-modellen tar kunden full kontroll över nyckeln och använder sina nycklar för att kryptera vilande data.
Om du måste använda CMK för att kryptera vilande data rekommenderar vi att du använder molnlagringstjänster (ADLS Gen2, AWS S3, GCS) med CMK-kryptering aktiverat och åtkomst till data från Microsoft Fabric med onelake-genvägar. I det här mönstret fortsätter dina data att finnas på en molnlagringstjänst eller en extern lagringslösning där kryptering i vila med CMK är aktiverad, och du kan utföra läsåtgärder på plats från Infrastrukturresurser samtidigt som du håller dig kompatibel. När en genväg har skapats i Infrastruktur kan data kommas åt av andra infrastrukturresurser.
Det finns några saker att tänka på när du använder det här mönstret:
- Använd mönstret som beskrivs här för data som har krav på kryptering i vila med hjälp av CMK. Data som inte har det här kravet kan krypteras i vila med hjälp av plattformshanterade nycklar och att data kan lagras internt på Microsoft Fabric OneLake.
- Fabric Lakehouse och KQL-databasen är de två arbetsbelastningarna i Microsoft Fabric som stöder skapandet av genvägar. I det här mönstret där data fortsätter att finnas på en extern lagringstjänst där CMK är aktiverat kan du använda genvägar i Lakehouses- och KQL-databaser för att överföra dina data till Microsoft Fabric för analys, men data lagras fysiskt utanför OneLake där CMK-kryptering är aktiverat.
- Genvägen ADLS Gen2 stöder skrivning och använder den här genvägstypen. Du kan också skriva tillbaka data till lagringstjänsten och kryptera dem i vila med hjälp av CMK. När du använder CMK med ADLS Gen2 gäller följande överväganden för Azure Key Vault (AKV) och Azure Storage .
- Om du använder en lagringslösning från tredje part som är AWS S3-kompatibel (Cloudflare, Qumolo Core med offentlig slutpunkt, Offentlig MinIO och Dell ECS med offentlig slutpunkt) och den har CMK aktiverat kan mönstret som beskrivs här i det här dokumentet utökas till dessa lagringslösningar från tredje part. Med Amazon S3-kompatibel genväg kan du överföra data till Fabric med hjälp av en genväg från dessa lösningar. Precis som med molnbaserade lagringstjänster kan du lagra data på extern lagring med CMK-kryptering och utföra läsåtgärder på plats.
- AWS S3 stöder kryptering i vila med hjälp av kundhanterade nycklar. Infrastrukturresurser kan utföra läsningar på plats på S3-bucketar med S3-genväg. Skrivåtgärder som använder en genväg till AWS S3 stöds dock inte.
- Google Cloud Storage stöder datakryptering med hjälp av kundhanterade nycklar. Infrastrukturresurser kan utföra på plats läsningar på GCS; Skrivåtgärder som använder en genväg till GCS stöds dock inte.
- Aktivera granskning för Microsoft Fabric för att hålla reda på aktiviteter.
- I Microsoft Fabric har Power BI-upplevelsen stöd för kundhanterad nyckel.
Dataresidens
När du hanterar patientdata har din organisation av efterlevnadsskäl föreskrivit att data aldrig ska lämna USA:s geografiska gräns. Din organisations huvudsakliga verksamhet äger rum i New York och huvudkontoret i Seattle. När du konfigurerar Power BI har din organisation valt regionen USA, östra som hemregion för klientorganisationen. För dina åtgärder har du skapat en infrastrukturkapacitet i regionen USA, västra, som ligger närmare dina datakällor. Eftersom OneLake är tillgängligt över hela världen är du orolig för om du kan uppfylla organisationens principer för datahemvist när du använder Infrastrukturresurser.
I Infrastruktur får du lära dig att du kan skapa Multi-Geo-kapaciteter, som är kapaciteter som finns i andra geografiska områden (geos) än din klientorganisations hemregion. Du tilldelar dina Infrastruktur-arbetsytor till dessa kapaciteter. I det här fallet finns beräkning och lagring (inklusive OneLake och upplevelsespecifik lagring) för alla objekt på arbetsytan i multi-geo-regionen, medan dina klientmetadata finns kvar i hemregionen. Dina data lagras och bearbetas endast i dessa två geografiska områden, vilket säkerställer att organisationens krav på datahemvist uppfylls.
Åtkomstkontroll
Du måste se till att endast du och dina datatekniker har fullständig åtkomst till data i brons- och silverskikten i lakehouse. Med de här lagren kan du utföra datarensning, validering, transformering och berikning. Du måste begränsa åtkomsten till data i guldskiktet till endast behöriga användare, till exempel dataanalytiker och företagsanvändare, som kan använda data för olika analytiska ändamål, till exempel rapportering och analys.
Fabric har en flexibel behörighetsmodell som gör att du kan styra åtkomsten till objekt och data på dina arbetsytor. En arbetsyta är en säker logisk entitet för gruppering av objekt i infrastrukturresurser. Du använder arbetsyteroller för att styra åtkomsten till objekt i arbetsytorna. De fyra grundläggande rollerna för en arbetsyta är:
- Administratör: Kan visa, ändra, dela och hantera allt innehåll på arbetsytan, inklusive att hantera behörigheter.
- Medlem: Kan visa, ändra och dela allt innehåll på arbetsytan.
- Deltagare: Kan visa och ändra allt innehåll på arbetsytan.
- Visningsprogram: Kan visa allt innehåll på arbetsytan, men det går inte att ändra det.
I det här scenariot skapar du tre arbetsytor, en för vart och ett av medaljongskikten (brons, silver och guld). Eftersom du har skapat arbetsytan tilldelas du automatiskt till administratörsrollen.
Sedan lägger du till en säkerhetsgrupp i rollen Deltagare för de tre arbetsytorna. Eftersom säkerhetsgruppen innehåller dina andra tekniker som medlemmar kan de skapa och ändra Infrastrukturobjekt på dessa arbetsytor, men de kan inte dela några objekt med någon annan. De kan inte heller bevilja åtkomst till andra användare.
På brons- och silverarbetsytorna skapar du och dina kollegor infrastrukturobjekt för att mata in data, lagra data och bearbeta data. Infrastrukturobjekt består av ett sjöhus, pipelines och notebook-filer. I den guldfärgade arbetsytan skapar du två lakehouses, flera pipelines och notebook-filer och en Direct Lake-semantisk modell, som ger snabba frågeprestanda för data som lagras i ett av sjöhusen.
Sedan tar du noggrant hänsyn till hur dataanalytiker och företagsanvändare kan komma åt de data som de får åtkomst till. Mer specifikt kan de bara komma åt data som är relevanta för deras roll och avdelning.
Det första lakehouse-objektet innehåller faktiska data och framtvingar inte några databehörigheter i sql-analysslutpunkten. Det andra lakehouse innehåller genvägar till det första lakehouse och tillämpar detaljerade databehörigheter i sql-analysslutpunkten. Den semantiska modellen ansluter till det första sjöhuset. Om du vill framtvinga lämpliga databehörigheter för användarna (så att de bara kan komma åt data som är relevanta för deras roll och avdelning) delar du inte det första lakehouse med användarna. I stället delar du bara direct lake-semantikmodellen och det andra lakehouse som tillämpar databehörigheter i sql-analysslutpunkten.
Du konfigurerar semantikmodellen för att använda en fast identitet och implementerar sedan säkerhet på radnivå (RLS) i semantikmodellen för att framtvinga modellregler för att styra vilka data användarna kan komma åt. Sedan delar du bara den semantiska modellen med dataanalytiker och företagsanvändare eftersom de inte bör komma åt de andra objekten på arbetsytan, till exempel pipelines och notebook-filer. Slutligen beviljar du build-behörighet för den semantiska modellen så att användarna kan skapa Power BI-rapporter. På så sätt blir den semantiska modellen en delad semantisk modell och en källa för sina Power BI-rapporter.
Dina dataanalytiker behöver åtkomst till det andra sjöhuset på den guldfärgade arbetsytan. De ansluter till SQL-analysslutpunkten för lakehouse för att skriva SQL-frågor och utföra analys. Därför delar du lakehouse med dem och ger endast åtkomst till objekt som de behöver (till exempel tabeller, rader och kolumner med maskeringsregler) i SQL-analysslutpunkten lakehouse med hjälp av SQL-säkerhetsmodellen. Dataanalytiker kan nu bara komma åt data som är relevanta för deras roll och avdelning och de kan inte komma åt de andra objekten på arbetsytan, till exempel pipelines och notebook-filer.
Vanliga säkerhetsscenarier
I följande tabell visas vanliga säkerhetsscenarier och de verktyg som du kan använda för att utföra dem.
Scenario | Verktyg | Riktning |
---|---|---|
Jag är ETL-utvecklare och vill läsa in stora mängder data till Infrastrukturresurser i stor skala från flera källsystem och tabeller. Källdata är lokala (eller andra moln) och ligger bakom brandväggar och/eller Azure-datakällor med privata slutpunkter. | Använd lokal datagateway med datapipelines (kopieringsaktivitet). | Utgående |
Jag är en energianvändare och jag vill läsa in data till Fabric från källsystem som jag har åtkomst till. Eftersom jag inte är utvecklare måste jag transformera data med hjälp av ett lågkodsgränssnitt. Källdata är lokala (eller andra moln) och ligger bakom brandväggar. | Använd lokal datagateway med Dataflöde Gen 2. | Utgående |
Jag är en energianvändare och jag vill läsa in data i Infrastrukturresurser från källsystem som jag har åtkomst till. Källdata finns i Azure bakom privata slutpunkter och jag vill inte installera och underhålla en lokal datagatewayinfrastruktur. | Använd en VNet-datagateway med Dataflöde Gen 2. | Utgående |
Jag är en utvecklare som kan skriva datainmatningskod med hjälp av Spark Notebooks. Jag vill läsa in data i Infrastrukturresurser från källsystem som jag har åtkomst till. Källdata finns i Azure bakom privata slutpunkter och jag vill inte installera och underhålla en lokal datagatewayinfrastruktur. | Använd infrastrukturanteckningsböcker med privata Azure-slutpunkter. | Utgående |
Jag har många befintliga pipelines i Azure Data Factory (ADF) och Synapse-pipelines som ansluter till mina datakällor och läser in data till Azure. Nu vill jag ändra dessa pipelines för att läsa in data till Infrastrukturresurser. | Använd Lakehouse-anslutningsappen i befintliga pipelines. | Utgående |
Jag har ett ramverk för datainmatning utvecklat i Spark som ansluter till mina datakällor på ett säkert sätt och läser in dem i Azure. Jag kör den på Azure Databricks och/eller Synapse Spark. Jag vill fortsätta att använda Azure Databricks och/eller Synapse Spark för att läsa in data i Fabric. | Använd OneLake och Azure Data Lake Storage (ADLS) Gen2 API (Azure Blob Filesystem-drivrutin) | Utgående |
Jag vill se till att mina fabric-slutpunkter skyddas från det offentliga Internet. | Som SaaS-tjänst skyddas infrastrukturresursernas serverdel redan från det offentliga Internet. Om du vill ha mer skydd använder du principer för villkorlig åtkomst i Microsoft Entra för Infrastruktur och/eller aktiverar privata länkar på klientorganisationsnivå för Infrastruktur och blockerar offentlig Internetåtkomst. | Inkommande |
Jag vill se till att infrastrukturresurser endast kan nås från mitt företagsnätverk och/eller från kompatibla enheter. | Använd principer för villkorsstyrd åtkomst i Microsoft Entra för Fabric. | Inkommande |
Jag vill se till att alla som har åtkomst till Fabric måste utföra multifaktorautentisering. | Använd principer för villkorsstyrd åtkomst i Microsoft Entra för Fabric. | Inkommande |
Jag vill låsa hela min Infrastrukturklientorganisation från det offentliga Internet och endast tillåta åtkomst inifrån mina virtuella nätverk. | Aktivera privata länkar på klientorganisationsnivå för Infrastrukturresurser och blockera offentlig Internetåtkomst. | Inkommande |
Relaterat innehåll
Mer information om Infrastruktursäkerhet finns i följande resurser.
- Säkerhet i Microsoft Fabric
- Säkerhetsöversikt för OneLake
- Begrepp och licenser för Microsoft Fabric
- Frågor? Prova att fråga Microsoft Fabric-communityn.
- Förslag? Bidra med idéer för att förbättra Microsoft Fabric.