หมายเหตุ
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลอง ลงชื่อเข้าใช้หรือเปลี่ยนไดเรกทอรีได้
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลองเปลี่ยนไดเรกทอรีได้
Microsoft Fabric มีการป้องกันเครือข่ายขาเข้าหลายชั้นเพื่อช่วยให้องค์กรควบคุมตําแหน่งการเชื่อมต่อขาเข้าสามารถเกิดขึ้นได้เมื่อเข้าถึงรายการและข้อมูล ความสามารถเหล่านี้ช่วยให้ผู้ดูแลระบบผู้เช่าและผู้ดูแลระบบพื้นที่ทํางานสามารถบังคับใช้ขอบเขตเครือข่าย จํากัดการเข้าถึงแบบสาธารณะ และกําหนดเส้นทางการเชื่อมต่อขาเข้าผ่านช่องทางส่วนตัวที่ปลอดภัย บทความนี้แสดงภาพรวมของตัวเลือกการป้องกันขาเข้าทั้งหมด ความสัมพันธ์ระหว่างกัน และคําแนะนําในการเลือกการตั้งค่าคอนฟิกที่เหมาะสมสําหรับสภาพแวดล้อมของคุณ
ภาพรวมของคุณสมบัติการป้องกันขาเข้า
ผ้าให้การป้องกันขาเข้าในสองขอบเขต:
การป้องกันขาเข้าระดับผู้เช่า: ผู้ดูแลระบบผู้เช่ากําหนดค่าการตั้งค่าเหล่านี้ ซึ่งใช้กับพื้นที่ทํางานทั้งหมดในผู้เช่า Fabric ซึ่งรวมถึงคุณลักษณะต่างๆ เช่น ลิงก์ส่วนตัวระดับผู้เช่าและนโยบายการเข้าถึงแบบมีเงื่อนไขของ Microsoft Entra ที่จํากัดตําแหน่งที่การเชื่อมต่อขาเข้าสามารถเริ่มต้นได้
การป้องกันขาเข้าระดับพื้นที่ทํางาน: ผู้ดูแลระบบพื้นที่ทํางานกําหนดการตั้งค่าเหล่านี้ ซึ่งใช้กับพื้นที่ทํางานแต่ละแห่ง กฎเหล่านี้รวมถึง Private Link ระดับพื้นที่ทํางานและกฎไฟร์วอลล์ IP ของพื้นที่ทํางานที่อนุญาตให้ผู้ดูแลระบบกําหนดขอบเขตเครือข่ายเฉพาะสําหรับพื้นที่ทํางานของตนได้
ด้วยการรวมคุณลักษณะการป้องกันขาเข้าระดับผู้เช่าและระดับพื้นที่ทํางาน องค์กรสามารถสร้างแนวทางการรักษาความปลอดภัยแบบเลเยอร์ที่ตรงตามข้อกําหนดการควบคุมการเข้าถึงเฉพาะของตนได้ ส่วนต่อไปนี้ให้รายละเอียดเพิ่มเติมเกี่ยวกับคุณลักษณะแต่ละอย่างและวิธีการโต้ตอบ
การป้องกันขาเข้าระดับผู้เช่า
ผู้ดูแลระบบผู้เช่าสามารถกําหนดค่าตัวควบคุมขาเข้าที่ใช้กับทุกพื้นที่ทํางาน เว้นแต่จะถูกแทนที่โดยการตั้งค่าเฉพาะพื้นที่ทํางาน
- Private Link ระดับผู้เช่า: กําหนดเส้นทางการเชื่อมต่อขาเข้าทั้งหมดไปยังทรัพยากร Fabric ผ่าน Azure Private Link เพื่อให้แน่ใจว่าการรับส่งข้อมูลมาจากเครือข่ายเสมือนที่ได้รับอนุมัติ
- การเข้าถึงแบบมีเงื่อนไขของ Microsoft Entra: บังคับใช้นโยบายการเข้าถึงตามข้อมูลประจําตัวที่สามารถจํากัดการเชื่อมต่อขาเข้าตามตําแหน่งที่ตั้งของผู้ใช้ การปฏิบัติตามข้อกําหนดของอุปกรณ์ และปัจจัยอื่นๆ
- แท็กบริการ: อนุญาตหรือบล็อกการรับส่งข้อมูลขาเข้าจากบริการ Azure ที่เฉพาะเจาะจงโดยใช้แท็กบริการที่กําหนดไว้ล่วงหน้า
- เปิดใช้งานกฎขาเข้าระดับพื้นที่ทํางาน: การตั้งค่าผู้เช่า กําหนดค่ากฎเครือข่ายขาเข้าระดับพื้นที่ทํางาน อนุญาตหรือไม่อนุญาตให้ผู้ดูแลระบบพื้นที่ทํางานจํากัดการเข้าถึงสาธารณะในระดับพื้นที่ทํางาน โดยค่าเริ่มต้น ผู้ดูแลระบบพื้นที่ทํางานไม่สามารถจํากัดการเข้าถึงสาธารณะขาเข้าได้ เว้นแต่ผู้ดูแลระบบผู้เช่าจะเปิดใช้งานการตั้งค่านี้ เมื่อเปิดใช้งาน ผู้ดูแลระบบพื้นที่ทํางานสามารถใช้ข้อจํากัดขาเข้าระดับพื้นที่ทํางาน รวมถึงลิงก์ส่วนตัว ซึ่งทําให้องค์กรมีการแบ่งส่วนเครือข่ายที่ละเอียดยิ่งขึ้น
คุณลักษณะระดับผู้เช่าเหล่านี้ให้การป้องกันในวงกว้างที่ช่วยรักษาความปลอดภัยพื้นที่ทํางานทั้งหมดในผู้เช่า อย่างไรก็ตาม การตั้งค่าระดับพื้นที่ทํางานสามารถเสริมการตั้งค่าเหล่านี้เพื่อการควบคุมที่ตรงเป้าหมายมากขึ้น
การป้องกันขาเข้าระดับพื้นที่ทํางาน
ผู้ดูแลระบบพื้นที่ทํางานสามารถใช้การควบคุมความปลอดภัยขาเข้าที่เฉพาะเจาะจงมากขึ้นเมื่อผู้เช่าอนุญาต
ลิงก์ส่วนตัวของพื้นที่ทํางาน: อนุญาตให้พื้นที่ทํางานสร้างจุดสิ้นสุดส่วนตัวใน Azure เพื่อให้แน่ใจว่าการเชื่อมต่อขาเข้ามาจากเครือข่ายที่ได้รับอนุมัติเท่านั้น
การป้องกันการเข้าถึงขาเข้าของพื้นที่ทํางาน: เมื่อผู้เช่าเปิดใช้งานกฎระดับพื้นที่ทํางาน ผู้ดูแลระบบพื้นที่ทํางานสามารถสลับ จํากัดการเข้าถึงสาธารณะ เลือกตัวเลือกนี้เพื่อบล็อกการเชื่อมต่อขาเข้าสาธารณะและกําหนดให้มีการเข้าถึงขาเข้าผ่านเครือข่ายส่วนตัวที่ได้รับอนุมัติ
ไฟร์วอลล์ IP พื้นที่ทํางาน: ผู้ดูแลระบบสามารถกําหนดค่ากฎไฟร์วอลล์ IP ของพื้นที่ทํางานเพื่อระบุช่วง IP ที่สามารถเข้าถึงรายการพื้นที่ทํางานได้ ฟีเจอร์นี้ช่วยเสริมลิงก์ส่วนตัวด้วยการเปิดใช้รายการที่อนุญาตแบบละเอียด
เลเยอร์เหล่านี้สามารถทํางานอย่างอิสระหรือทํางานร่วมกัน ขึ้นอยู่กับความต้องการขององค์กร
การตั้งค่าความปลอดภัยของเครือข่ายโต้ตอบอย่างไร
การทําความเข้าใจว่าการตั้งค่าระดับผู้เช่าและระดับพื้นที่ทํางานโต้ตอบกันอย่างไรเป็นสิ่งสําคัญสําหรับการกําหนดค่าการเข้าถึงขาเข้าที่ปลอดภัย ตารางต่อไปนี้แสดงให้เห็นว่าการกําหนดค่าเครือข่ายส่งผลต่อการเข้าถึงพอร์ทัล Fabric และ REST API อย่างไร
ผู้ดูแลระบบผู้เช่าสามารถจํากัดการเข้าถึงแบบสาธารณะได้เฉพาะเมื่อเปิดใช้งานลิงก์ส่วนตัวระดับผู้เช่าเท่านั้น
ตารางที่ 1: การเข้าถึงพอร์ทัล Fabric ตามการตั้งค่าเครือข่าย
| การตั้งค่าการเข้าถึงสาธารณะระดับผู้เช่า | เข้าถึงได้จาก | ฉันสามารถเข้าถึงพอร์ทัล Fabric ได้หรือไม่ | ฉันสามารถเข้าถึง Fabric REST API ได้หรือไม่ |
|---|---|---|---|
| อนุญาต | อินเทอร์เน็ตสาธารณะ | ใช่ | ใช่ โดยใช้ api.fabric.microsoft.com |
| อนุญาต | เครือข่ายที่มีลิงก์ส่วนตัวของผู้เช่า | ใช่ | ใช่ การใช้ FQDN เฉพาะผู้เช่า |
| อนุญาต | เครือข่ายที่มีลิงก์ส่วนตัวของพื้นที่ทํางาน | ใช่ | ใช่ โดยใช้ FQDN เฉพาะพื้นที่ทํางาน |
| อนุญาต | IP ที่อนุญาต | ใช่ | ใช่ โดยใช้ api.fabric.microsoft.com |
| ที่จํากัด | อินเทอร์เน็ตสาธารณะ | ไม่ | ไม่ |
| ที่จํากัด | เครือข่ายที่มีลิงก์ส่วนตัวของผู้เช่า | ใช่ | ใช่ โดยใช้ FQDN หรือตําแหน่งข้อมูล api.fabric.microsoft.com เฉพาะผู้เช่า และเฉพาะในกรณีที่ไคลเอ็นต์อนุญาตให้เข้าถึงสาธารณะขาออก |
| ที่จํากัด | เครือข่ายที่มีลิงก์ส่วนตัวของพื้นที่ทํางาน | ไม่ | ใช่ โดยใช้ FQDN เฉพาะพื้นที่ทํางาน |
| ที่จํากัด | IP สาธารณะที่อนุญาตในระดับพื้นที่ทํางาน | ไม่ | ใช่ โดยใช้ api.fabric.microsoft.com |
| ที่จํากัด | เครือข่ายที่มีทั้งลิงค์ส่วนตัวของผู้เช่าและลิงก์ส่วนตัวของพื้นที่ทํางาน | ใช่ | ใช่ โดยใช้ api.fabric.microsoft.com |
ข้อควรพิจารณาในการวางแผนสําหรับการป้องกันขาเข้า
เมื่อวางแผนการป้องกันขาเข้าสําหรับสภาพแวดล้อม Fabric ของคุณ ให้พิจารณาปัจจัยต่อไปนี้:
- คุณต้องเป็นผู้ดูแลระบบ Fabric เพื่อเปิดใช้งานกฎขาเข้าระดับผู้เช่า
- คุณลักษณะระดับพื้นที่ทํางานขึ้นอยู่กับการตั้งค่าผู้เช่า
- ลิงก์ส่วนตัวต้องมีการกําหนดค่า Azure
- ไฟร์วอลล์ IP ช่วยให้สามารถควบคุมได้อย่างละเอียด แต่ต้องมีการวางแผน IP อย่างรอบคอบ
- พิจารณาว่าโมเดลแบบรวมศูนย์หรือแบบขับเคลื่อนด้วยพื้นที่ทํางานเหมาะกับสภาพแวดล้อมของคุณมากที่สุด
ขั้นตอนถัดไป
- เรียนรู้เพิ่มเติมเกี่ยวกับ [การป้องกันการเข้าถึงขาเข้าของพื้นที่ทํางาน]
- เรียนรู้เพิ่มเติมเกี่ยวกับการป้องกันการเข้าถึงขาออกของพื้นที่ทํางานเพื่อทําความเข้าใจรูปแบบเครือข่ายทั้งหมด
- ตรวจสอบการกําหนดค่าลิงก์ส่วนตัวทั้งในระดับผู้เช่าและพื้นที่ทํางาน
- ดําเนินการต่อไปยังบทความสถานการณ์สมมติสําหรับคําแนะนําการตั้งค่าโดยละเอียด