แชร์ผ่าน


ข้อมูลพื้นฐานด้านความปลอดภัยของ Microsoft Fabric

บทความนี้แสดงภาพรวมภาพรวมของสถาปัตยกรรมการรักษาความปลอดภัยของ Microsoft Fabric โดยอธิบายวิธีการที่โฟลว์ความปลอดภัยหลักในระบบทํางานอย่างไร นอกจากนี้ยังอธิบายวิธีการที่ผู้ใช้รับรองความถูกต้องกับ Fabric วิธีสร้างการเชื่อมต่อข้อมูล และวิธีการที่ Fabric จัดเก็บและย้ายข้อมูลผ่านบริการ

บทความนี้มีการกําหนดเป้าหมายเป็นหลักที่ผู้ดูแลระบบ Fabric ที่รับผิดชอบในการตรวจสอบ Fabric ในองค์กร นอกจากนี้ยังเกี่ยวข้องกับผู้มีส่วนได้เสียด้านความปลอดภัยขององค์กร รวมถึงผู้ดูแลระบบความปลอดภัย ผู้ดูแลระบบเครือข่าย ผู้ดูแลระบบ Azure ผู้ดูแลระบบพื้นที่ทํางาน และผู้ดูแลระบบฐานข้อมูล

แพลตฟอร์มผ้า

Microsoft Fabric เป็นโซลูชันการวิเคราะห์แบบครบวงจรสําหรับองค์กรที่ครอบคลุมทุกอย่างตั้งแต่การเคลื่อนไหวของข้อมูลไปจนถึงวิทยาศาสตร์ข้อมูล การวิเคราะห์แบบเรียลไทม์ และข่าวกรองธุรกิจ (BI) แพลตฟอร์ม Fabric ประกอบด้วยชุดของบริการและคอมโพเนนต์โครงสร้างพื้นฐานที่สนับสนุนการทํางานทั่วไปสําหรับประสบการณ์ Fabric ทั้งหมด เมื่อรวมกันแล้ว ชุดประสบการณ์การวิเคราะห์ที่ครอบคลุมซึ่งออกแบบมาเพื่อทํางานร่วมกันได้อย่างราบรื่น ประสบการณ์การใช้งานรวมถึง Lakehouse, Data Factory, Synapse วิศวกรข้อมูล ing, Synapse Data Warehouse, Power BI และอื่น ๆ

ด้วย Fabric คุณไม่จําเป็นต้องรวมบริการต่างๆ จากผู้ขายหลายรายเข้าด้วยกัน แต่คุณจะได้ประโยชน์จากผลิตภัณฑ์ที่ผสานรวมกันอย่างครอบคลุมและใช้งานง่ายซึ่งออกแบบมาเพื่อทําให้ความต้องการในการวิเคราะห์ของคุณง่ายขึ้น ผ้าได้รับการออกแบบมาตั้งแต่จุดเริ่มต้นเพื่อปกป้องทรัพย์สินที่มีความละเอียดอ่อน

แพลตฟอร์ม Fabric ถูกสร้างขึ้นบนพื้นฐานของซอฟต์แวร์ที่เป็นบริการ (SaaS) ซึ่งให้ความน่าเชื่อถือ ความง่าย และการปรับขนาด สร้างขึ้นบน Azure ซึ่งเป็นแพลตฟอร์มการประมวลผลระบบคลาวด์สาธารณะของ Microsoft ตามหลักการดั้งเดิมแล้ว ผลิตภัณฑ์ข้อมูลจํานวนมากเป็นแพลตฟอร์มที่เป็นบริการ (PaaS) ซึ่งจําเป็นต้องมีผู้ดูแลระบบของบริการเพื่อตั้งค่าความปลอดภัย การปฏิบัติตามกฎระเบียบ และการกํากับดูแลสําหรับแต่ละบริการ เนื่องจาก Fabric เป็นบริการ SaaS คุณลักษณะหลายอย่างเหล่านี้ถูกสร้างขึ้นในแพลตฟอร์ม SaaS และไม่จําเป็นต้องมีการตั้งค่าหรือการตั้งค่าน้อยที่สุด

ไดอะแกรมสถาปัตยกรรม

แผนภาพสถาปัตยกรรมด้านล่างแสดงถึงสถาปัตยกรรมการรักษาความปลอดภัยของผ้าในระดับสูง

แผนภาพแสดงสถาปัตยกรรมการรักษาความปลอดภัยของผ้าในระดับสูง

แผนภาพสถาปัตยกรรมแสดงแนวคิดต่อไปนี้

  1. ผู้ใช้ใช้เบราว์เซอร์หรือแอปพลิเคชันไคลเอ็นต์ เช่น Power BI Desktop เพื่อเชื่อมต่อกับบริการ Fabric

  2. การรับรองความถูกต้องจัดการโดย Microsoft Entra ID ซึ่ง ก่อนหน้านี้เรียกว่า Azure Active Directory ซึ่งเป็นข้อมูลเอกลักษณ์บนระบบคลาวด์และบริการการจัดการการเข้าถึงที่รับรองความถูกต้องของผู้ใช้หรือ บริการหลัก และจัดการการเข้าถึง Fabric

  3. web front end ได้รับคําขอของผู้ใช้และอํานวยความสะดวกในการเข้าสู่ระบบ นอกจากนี้ยังกําหนดเส้นทางคําขอและให้บริการเนื้อหาส่วนหน้าไปยังผู้ใช้

  4. แพลตฟอร์มเมตาดาต้าจัดเก็บเมตาดาต้าของผู้เช่าซึ่งสามารถรวมข้อมูลลูกค้าได้ บริการ Fabric สอบถามแพลตฟอร์มนี้ตามความต้องการเพื่อดึงข้อมูลการตรวจสอบและอนุญาตและตรวจสอบคําขอของผู้ใช้ ซึ่งอยู่ในภูมิภาคบ้านของผู้เช่า

  5. แพลตฟอร์มความจุ Back-end รับผิดชอบในการดําเนินการคํานวณและจัดเก็บข้อมูลของลูกค้าและตั้งอยู่ในภูมิภาคความจุ ซึ่งใช้ประโยชน์จากบริการหลัก Azure ในภูมิภาคนั้นตามที่จําเป็นสําหรับประสบการณ์ Fabric เฉพาะ

การบริการโครงสร้างพื้นฐานของแพลตฟอร์มผ้ามีหลายผู้เช่า มีการแยกเชิงตรรกะระหว่างผู้เช่า บริการเหล่านี้ไม่ประมวลผลการป้อนข้อมูลของผู้ใช้ที่ซับซ้อน และทั้งหมดเขียนในโค้ดที่มีการจัดการ บริการแพลตฟอร์มไม่ได้เรียกใช้โค้ดที่ผู้ใช้เขียน

แพลตฟอร์มเมตาดาต้าและแพลตฟอร์มความจุ back-end แต่ละรายการทํางานในเครือข่ายเสมือนที่มีความปลอดภัย เครือข่ายเหล่านี้จะแสดงชุดของจุดสิ้นสุดการรักษาความปลอดภัยไปยังอินเทอร์เน็ตเพื่อให้พวกเขาสามารถรับคําขอจากลูกค้าและบริการอื่น ๆ ได้ นอกเหนือจากจุดสิ้นสุดเหล่านี้ แล้ว บริการยังได้รับการปกป้องโดยกฎความปลอดภัยของเครือข่ายที่บล็อกการเข้าถึงจากอินเทอร์เน็ตสาธารณะ การสื่อสารภายในเครือข่ายเสมือนจะจํากัดตามสิทธิ์การใช้งานของแต่ละบริการภายใน

ชั้นแอปพลิเคชันช่วยให้แน่ใจว่าผู้เช่าจะสามารถเข้าถึงข้อมูลจากภายในผู้เช่าของตนเองเท่านั้น

การรับรองความถูกต้อง

Fabric อาศัย Microsoft Entra ID เพื่อรับรองความถูกต้องผู้ใช้ (หรือบริการหลัก) เมื่อรับรองความถูกต้องแล้ว ผู้ใช้จะได้รับ โทเค็น การเข้าถึงจาก Microsoft Entra ID Fabric ใช้โทเค็นเหล่านี้เพื่อดําเนินการในบริบทของผู้ใช้

คุณลักษณะหลักของ Microsoft Entra ID คือ การเข้าถึงแบบมีเงื่อนไข การเข้าถึงตามเงื่อนไขทําให้แน่ใจว่า ผู้เช่ามีความปลอดภัยโดยการบังคับใช้การรับรองความถูกต้องแบบหลายปัจจัย ซึ่งอนุญาตให้เฉพาะอุปกรณ์ที่ลงทะเบียนของ Microsoft Intune เท่านั้นเพื่อเข้าถึงบริการเฉพาะ การเข้าถึงตามเงื่อนไขยังจํากัดตําแหน่งที่ตั้งของผู้ใช้และช่วง IP อีกด้วย

การอนุญาต

สิทธิ์ Fabric ทั้งหมดจะถูกจัดเก็บจากส่วนกลางโดยแพลตฟอร์มเมตาดาต้า บริการ Fabric จะคิวรีแพลตฟอร์มเมตาดาต้าตามความต้องการเพื่อดึงข้อมูลการให้สิทธิ์และเพื่ออนุญาตและตรวจสอบคําขอของผู้ใช้

เพื่อเหตุผลด้านประสิทธิภาพการทํางาน ในบางครั้ง Fabric ย่อส่วนข้อมูลการรับรองความถูกต้องลงใน โทเค็นที่ลงชื่อแล้ว โทเค็นที่ลงชื่อแล้วจะออกโดยแพลตฟอร์มความจุส่วนหลังเท่านั้น และรวมถึงโทเค็นการเข้าถึง ข้อมูลการรับรองความถูกต้อง และเมตาดาต้าอื่น ๆ

ที่เก็บข้อมูล

ใน Fabric ผู้เช่าจะถูกกําหนดให้กับคลัสเตอร์แพลตฟอร์มเมตาดาต้าหลักซึ่งอยู่ในภูมิภาคเดียวที่ตรงตามข้อกําหนดการเก็บข้อมูลของภูมิศาสตร์ของภูมิภาคนั้น เมตาดาต้าผู้เช่าซึ่งสามารถรวมข้อมูลลูกค้าจะถูกเก็บไว้ในคลัสเตอร์นี้

ลูกค้าสามารถควบคุมสถานที่ที่พื้นที่ทํางานของตนอยู่ได้ พวกเขาสามารถเลือกที่จะค้นหาพื้นที่ทํางานของตนในภูมิศาสตร์เดียวกันกับคลัสเตอร์แพลตฟอร์มเมตาดาต้าของพวกเขาโดยการกําหนดพื้นที่ทํางานของพวกเขาในความจุในภูมิภาคนั้นหรือโดยนัยโดยใช้ Fabric Trial, Power BI Pro หรือโหมดสิทธิ์การใช้งาน Power BI Premium Per User ในกรณีต่อมา ข้อมูลลูกค้าทั้งหมดจะถูกจัดเก็บและประมวลผลในภูมิศาสตร์เดียวนี้ สําหรับข้อมูลเพิ่มเติม โปรดดู แนวคิดและสิทธิ์การใช้งาน Microsoft Fabric

ลูกค้ายังสามารถสร้าง ความจุ Multi-Geo ที่ตั้งอยู่ในภูมิศาสตร์ (ภูมิศาสตร์) อื่นนอกเหนือจากภูมิภาคเดิมของพวกเขา ในกรณีนี้ การคํานวณและเก็บข้อมูล (รวมถึง OneLake และที่เก็บข้อมูลเฉพาะประสบการณ์) จะอยู่ในภูมิภาค multi-geo อย่างไรก็ตาม เมตาดาต้าของผู้เช่ายังคงอยู่ในภูมิภาคบ้าน ข้อมูลของลูกค้าจะถูกจัดเก็บและประมวลผลในสองภูมิศาสตร์นี้เท่านั้น สําหรับข้อมูลเพิ่มเติม ดูกําหนดค่าการสนับสนุน Multi-Geo สําหรับ Fabric

การจัดการข้อมูล

ส่วนนี้ให้ภาพรวมของวิธีการทํางานของการจัดการข้อมูลใน Fabric ซึ่งอธิบายเกี่ยวกับการจัดเก็บ การประมวลผล และการเคลื่อนย้ายของข้อมูลลูกค้า

ข้อมูลขณะจัดเก็บ

ที่เก็บข้อมูล Fabric ทั้งหมดจะถูกเข้ารหัสลับไว้โดยใช้คีย์ที่จัดการโดย Microsoft ข้อมูลผ้าประกอบด้วยข้อมูลของลูกค้า เช่นเดียวกับข้อมูลระบบและเมตาดาต้า

ในขณะที่ข้อมูลสามารถประมวลผลในหน่วยความจําในสถานะเข้ารหัสลับ แต่จะไม่ยังคงอยู่เพื่อเก็บข้อมูลถาวรในขณะที่อยู่ในสถานะเข้ารหัสลับ

ข้อมูลระหว่างทาง

ข้อมูลในการส่งผ่านอินเทอร์เน็ตสาธารณะระหว่างบริการของ Microsoft มักจะเข้ารหัสลับด้วย TLS 1.2 เป็นอย่างน้อยเสมอ Fabric เจรจากับ TLS 1.3 เมื่อใดก็ตามที่เป็นไปได้ ปริมาณการใช้งานระหว่างบริการของ Microsoft จะส่งผ่านเครือข่ายส่วนกลางของ Microsoft เสมอ

การสื่อสาร Inbound Fabric ยังบังคับใช้ TLS 1.2 และเจรจากับ TLS 1.3 เมื่อใดก็ตามที่เป็นไปได้ การสื่อสาร Outbound Fabric ไปยังโครงสร้างพื้นฐานที่ลูกค้าเป็นเจ้าของต้องการโพรโทคอลที่ปลอดภัย แต่อาจกลับไปใช้โพรโทคอลที่ไม่ปลอดภัย (รวมถึง TLS 1.0) ที่เก่ากว่าหากไม่รองรับโปรโตคอลที่ใหม่กว่า

การวัดและส่งข้อมูลทางไกล

การตรวจสอบและส่งข้อมูลทางไกลถูกใช้เพื่อรักษาประสิทธิภาพการทํางานและความน่าเชื่อถือของแพลตฟอร์ม Fabric ร้านค้าการวัดและส่งข้อมูลทางไกลของแพลตฟอร์ม Fabric ออกแบบมาเพื่อปฏิบัติตามข้อกําหนดด้านข้อมูลและความเป็นส่วนตัวสําหรับลูกค้าในทุกภูมิภาคที่มี Fabric พร้อมใช้งาน รวมถึงสหภาพยุโรป (EU) สําหรับข้อมูลเพิ่มเติม โปรดดู บริการขอบเขตข้อมูล EU

OneLake

OneLake คือที่จัดเก็บข้อมูลทะเลสาบเชิงตรรกะแบบครบวงจรสําหรับทั้งองค์กร และมีการจัดเตรียมโดยอัตโนมัติสําหรับผู้เช่า Fabric ทุกคน ซึ่งสร้างขึ้นบน Azure และสามารถจัดเก็บไฟล์โครงสร้างหรือไม่มีโครงสร้างได้ทุกประเภท นอกจากนี้ รายการ Fabric ทั้งหมด เช่น คลังและเลคเฮ้าส์ จัดเก็บข้อมูลโดยอัตโนมัติใน OneLake

OneLake สนับสนุน Azure Data Lake Storage รุ่น2 (ADLS Gen2) และ SDK เดียวกัน ดังนั้นจึงเข้ากันได้กับแอปพลิเคชัน ADLS Gen2 ที่มีอยู่ รวมถึง Azure Databricks

สําหรับข้อมูลเพิ่มเติม ดู การรักษาความปลอดภัย Fabric และ OneLake

การรักษาความปลอดภัยพื้นที่ทํางาน

พื้นที่ทํางานแสดงขอบเขตความปลอดภัยหลักสําหรับข้อมูลที่จัดเก็บไว้ใน OneLake พื้นที่ทํางานแต่ละรายการแสดงโดเมนเดียวหรือพื้นที่โครงการที่ทีมสามารถทํางานร่วมกันบนข้อมูลได้ คุณจัดการความปลอดภัยในพื้นที่ทํางานโดยการกําหนดบทบาทพื้นที่ทํางานให้กับผู้ใช้

สําหรับข้อมูลเพิ่มเติม โปรดดูการรักษาความปลอดภัย Fabric และ OneLake (ความปลอดภัยพื้นที่ทํางาน)

การรักษาความปลอดภัยรายการ

ภายในพื้นที่ทํางาน คุณสามารถกําหนดสิทธิ์โดยตรงให้กับรายการ Fabric เช่น คลังสินค้าและเลคเฮ้าส์ การรักษาความปลอดภัย รายการมีความยืดหยุ่นเพื่อให้สิทธิ์การเข้าถึงหน่วยข้อมูล Fabric แต่ละรายการโดยไม่ต้องให้สิทธิ์เข้าถึงพื้นที่ทํางานทั้งหมด ผู้ใช้สามารถตั้งค่าสิทธิ์ต่อรายการโดย การแชร์รายการ หรือโดยการจัดการสิทธิ์ของรายการ

แหล่งข้อมูลการปฏิบัติตามกฎระเบียบ

การบริการ Fabric ถูกควบคุมโดยเงื่อนไขบริการออนไลน์ของ Microsoft และคําชี้แจงสิทธิ์ส่วนบุคคลขององค์กร Microsoft

สําหรับตําแหน่งที่ตั้งของการประมวลผลข้อมูล ให้อ้างอิงเงื่อนไขตําแหน่งที่ตั้งของข้อมูลในข้อกําหนดบริการออนไลน์ของ Microsoft และที่เอกสารแนบท้ายการปกป้องข้อมูล

สําหรับข้อมูลการปฏิบัติตามกฎระเบียบ ศูนย์ความเชื่อถือของ Microsoft เป็นทรัพยากรหลักสําหรับ Fabric สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการปฏิบัติตามกฎระเบียบ ดู ข้อเสนอการปฏิบัติตามข้อบังคับของ Microsoft

การบริการ Fabric เป็นไปตามวงจรชีวิตการพัฒนาความปลอดภัย (SDL) ซึ่งประกอบด้วยชุดของแนวทางปฏิบัติด้านความปลอดภัยที่เข้มงวดที่สนับสนุนการรับประกันความปลอดภัยและข้อกําหนดการปฏิบัติตามข้อกําหนด SDL ช่วยให้นักพัฒนาสร้างซอฟต์แวร์ที่ปลอดภัยมากขึ้นโดยลดจํานวนและความรุนแรงของช่องโหว่ในซอฟต์แวร์ในขณะที่ลดต้นทุนการพัฒนา สําหรับข้อมูลเพิ่มเติม โปรดดู ที่ แนวทางปฏิบัติวงจรชีวิตการพัฒนาความปลอดภัยของ Microsoft

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับ Fabric security โปรดดูทรัพยากรต่อไปนี้