Aracılığıyla paylaş


Microsoft Fabric'te güvenlik

Microsoft Fabric , kullanıcıların verileri almasına, oluşturmasına, paylaşmasına ve görselleştirmesini sağlayan bir hizmet olarak yazılım (SaaS) platformudur.

Bir SaaS hizmeti olarak Fabric, platformun tamamı için eksiksiz bir güvenlik paketi sunar. Fabric, güvenlik çözümünüzü korumanın maliyetini ve sorumluluğunu kaldırır ve buluta aktarır. Fabric ile verilerinizin güvenliğini sağlamak, güvenlik açıklarına yama uygulamak, tehditleri izlemek ve düzenlemelere uymak için Microsoft'un uzmanlığını ve kaynaklarını kullanabilirsiniz. Doku ayrıca, değişen gereksinimleriniz ve talepleriniz doğrultusunda güvenlik ayarlarınızı yönetmenize, denetlemenize ve denetlemenize olanak tanır.

Verilerinizi buluta getirirken ve Power BI, Data Factory ve synapse'in yeni nesli gibi çeşitli analiz deneyimleriyle kullanırken Microsoft, yerleşik güvenlik ve güvenilirlik özelliklerinin bekleyen ve aktarım halindeki verilerinizin güvenliğini sağlamasını sağlar. Microsoft ayrıca altyapı hataları veya olağanüstü durumlar için verilerinizin kurtarılabilir olmasını sağlar.

Doku güvenliği:

  • Always on - Doku ile her etkileşim varsayılan olarak şifrelenir ve Microsoft Entra Kimliği kullanılarak kimlik doğrulaması yapılır. Doku deneyimleri arasındaki tüm iletişimLer Microsoft omurga İnterneti üzerinden gider. Bekleyen veriler otomatik olarak şifrelenmiş olarak depolanır. Doku'ya erişimi düzenlemek için Özel Bağlantı s veya Entra Koşullu Erişim gibi ek güvenlik özellikleri ekleyebilirsiniz. Doku, güvenilir erişim kullanarak güvenlik duvarı veya özel ağ tarafından korunan verilere de bağlanabilir.

  • Uyumlu – Doku, çok coğrafi kapasiteli veri hakimiyetine sahiptir. Doku, çok çeşitli uyumluluk standartlarını da destekler.

  • İdare edilebilir - Doku, veri kökeni, bilgi koruma etiketleri, veri kaybı önleme ve purview tümleştirmesi gibi bir dizi idare aracıyla birlikte gelir.

  • Yapılandırılabilir - Yapı güvenliğini kuruluş ilkelerinize uygun olarak yapılandırabilirsiniz.

  • Gelişiyor - Microsoft, yeni özellikler ve denetimler ekleyerek Doku güvenliğini sürekli geliştirmektedir.

Kimliği doğrula

Microsoft Fabric, Azure, Microsoft Office, OneDrive ve Dynamics gibi diğer birçok Microsoft hizmetleri olduğu gibi bir SaaS platformudur. Doku da dahil olmak üzere tüm bu Microsoft SaaS hizmetleri, bulut tabanlı kimlik sağlayıcısı olarak Microsoft Entra ID kullanır. Microsoft Entra ID, kullanıcıların bu hizmetlere herhangi bir cihazdan ve herhangi bir ağdan hızlı ve kolay bir şekilde bağlanmasına yardımcı olur. Fabric'e bağlanmaya yönelik her isteğin kimliği Microsoft Entra ID ile doğrulanır ve kullanıcıların şirket ofislerinden, evde çalışırken veya uzak bir konumdan Fabric'e güvenli bir şekilde bağlanmasına olanak tanır.

Ağ güvenliğini anlama

Doku, Microsoft bulutunda çalışan SaaS hizmetidir. Bazı senaryolar, Doku platformunun dışındaki verilere bağlanmayı içerir. Örneğin, kendi ağınızdaki bir raporu görüntüleme veya başka bir hizmetteki verilere bağlanma. Doku içindeki etkileşimler iç Microsoft ağını kullanır ve hizmetin dışındaki trafik varsayılan olarak korunur. Daha fazla bilgi ve ayrıntılı bir açıklama için bkz . Aktarımdaki veriler.

Gelen ağ güvenliği

Kuruluşunuz, şirketinizin gereksinimlerine göre Doku'ya gelen ağ trafiğini kısıtlamak ve güvenliğini sağlamak isteyebilir. Microsoft Entra Id Koşullu Erişim ve Özel Bağlantı ile kuruluşunuz için doğru gelen çözümü seçebilirsiniz.

Microsoft Entra Id Koşullu Erişim

Microsoft Entra ID, Doku'ya her bağlantıda erişimi güvenli bir şekilde sağlamanıza olanak tanıyan Koşullu Erişim sağlar. Koşullu Erişim kullanarak uygulayabileceğiniz erişim kısıtlamalarına birkaç örnek aşağıda verilmiştir.

  • Doku'ya gelen bağlantı için IP'lerin listesini tanımlayın.

  • Çok Faktörlü Kimlik Doğrulaması (MFA) kullanın.

  • Trafiği kaynak ülke veya cihaz türü gibi parametrelere göre kısıtlayın.

Koşullu erişimi yapılandırmak için bkz . Dokuda koşullu erişim.

Doku'da kimlik doğrulaması hakkında daha fazla bilgi edinmek için bkz . Microsoft Fabric güvenlikle ilgili temel bilgiler.

Özel bağlantılar, Bir Azure sanal ağından (VNet) Doku kiracınıza erişimi kısıtlayarak ve tüm genel erişimi engelleyerek Doku'ya güvenli bağlantı sağlar. Bu, yalnızca söz konusu sanal ağdan gelen ağ trafiğinin kiracınızdaki Not Defterleri, Lakehouse'lar ve veri ambarları gibi Doku özelliklerine erişmesine izin vermenizi sağlar.

Doku'da Özel Bağlantı yapılandırmak için bkz. Özel bağlantıları ayarlama ve kullanma.

Giden ağ güvenliği

Doku, dış veri kaynaklarına bağlanmanızı ve bu verileri dokuya güvenli bir şekilde getirmenizi sağlayan bir araç kümesine sahiptir. Bu bölümde, güvenli bir ağdan dokuya verileri içeri aktarmanın ve bunlara bağlanmanın farklı yolları listelenir.

Güvenilen çalışma alanı erişimi

Doku ile güvenlik duvarı etkinleştirilmiş Azure Data Lake 2. Nesil hesaplarına güvenli bir şekilde erişebilirsiniz. Çalışma alanı kimliğine sahip doku çalışma alanları, seçilen sanal ağlardan ve IP adreslerinden genel ağ erişimi etkin olan Azure Data Lake 2. Nesil hesaplarına güvenli bir şekilde erişebilir. ADLS 2. Nesil erişimini belirli Doku çalışma alanlarıyla sınırlayabilirsiniz. Daha fazla bilgi için bkz . Güvenilen çalışma alanı erişimi.

Not

Doku çalışma alanı kimlikleri yalnızca Doku F SKU kapasitesiyle ilişkili çalışma alanlarında oluşturulabilir. Doku aboneliği satın alma hakkında bilgi için bkz . Microsoft Fabric aboneliği satın alma.

Yönetilen Özel Uç Noktalar

Yönetilen özel uç noktalar , Azure SQL veritabanları gibi veri kaynaklarına genel ağa maruz kalmadan veya karmaşık ağ yapılandırmaları gerektirmeden güvenli bağlantılara izin verir.

Yönetilen sanal ağlar

Yönetilen sanal ağlar , Her Doku çalışma alanı için Microsoft Fabric tarafından oluşturulan ve yönetilen sanal ağlardır. Yönetilen sanal ağlar, Fabric Spark iş yükleri için ağ yalıtımı sağlar; yani işlem kümeleri ayrılmış bir ağda dağıtılır ve artık paylaşılan sanal ağın bir parçası değildir.

Yönetilen sanal ağlar ayrıca Yönetilen özel uç noktalar gibi ağ güvenlik özelliklerine ve Apache Spark kullanan Microsoft Fabric'teki Veri Madenciliği ve Veri Bilimi öğeleri için özel bağlantı desteğine de olanak tanır.

Veri ağ geçidi

Şirket içi veri kaynaklarına veya güvenlik duvarı veya sanal ağ tarafından korunabilecek bir veri kaynağına bağlanmak için şu seçeneklerden birini kullanabilirsiniz:

Mevcut bir hizmetten OneLake'e bağlanma

Mevcut Hizmet Olarak Azure Platform (PaaS) hizmetinizi kullanarak Doku'ya bağlanabilirsiniz. Synapse ve Azure Data Factory (ADF) için Azure Integration Runtime (IR) veya Azure Data Factory tarafından yönetilen sanal ağı kullanabilirsiniz. OneLake API'lerini kullanarak bu hizmetlere ve Eşleme veri akışları, Synapse Spark kümeleri, Databricks Spark kümeleri ve Azure HDInsight gibi diğer hizmetlere de bağlanabilirsiniz.

Azure hizmet etiketleri

Azure SQL Sanal Makineler (VM), Azure SQL Yönetilen Örneği (MI) ve REST API'leri gibi bir Azure sanal ağında dağıtılan veri kaynaklarından veri ağ geçitleri kullanmadan veri almak için hizmet Etiketlerini kullanın. Bir sanal ağdan veya Azure güvenlik duvarından trafik almak için hizmet etiketlerini de kullanabilirsiniz. Örneğin hizmet etiketleri, vm üzerindeki bir kullanıcının SSMS'den Fabric SQL bağlantı dizesi'lere bağlanabilmesi ve diğer genel İnternet kaynaklarına erişmesi engellenmesi için Doku'ya giden trafiğe izin verebilir.

IP izin verilenler listeleri

Azure'da yer almamış verileriniz varsa, dokudan gelen ve gelen trafiğe izin vermek için kuruluşunuzun ağında bir IP izin verilenler listesini etkinleştirebilirsiniz. IP izin verilenler listesi, şirket içi veri kaynakları gibi hizmet etiketlerini desteklemeyen veri kaynaklarından veri almanız gerekiyorsa kullanışlıdır. Bu kısayollarla, Lakehouse SQL analiz uç noktasını veya Direct Lake'i kullanarak verileri OneLake'e kopyalamadan alabilirsiniz.

Şirket içi Hizmet etiketlerinden Doku IP'lerinin listesini alabilirsiniz. Liste JSON dosyası olarak veya REST API'leri, PowerShell ve Azure Komut Satırı Arabirimi (CLI) ile program aracılığıyla kullanılabilir.

Verileri Güvenli Hale Getirme

Doku'da, OneLake'te depolanan tüm veriler bekleme sırasında şifrelenir. Bekleyen tüm veriler kendi bölgenizde veya seçtiğiniz uzak bir bölgedeki kapasitelerinizden birinde depolanır, böylece rest bağımsızlığı düzenlemelerindeki verileri karşılayabilirsiniz. Daha fazla bilgi için bkz . Microsoft Fabric güvenlikle ilgili temel bilgiler.

Birden çok coğrafyadaki kiracıları anlama

Birçok kuruluşun genel bir varlığı vardır ve birden çok Azure coğrafyasında hizmet gerektirir. Örneğin, bir şirketin merkezi avustralya gibi diğer coğrafi bölgelerde iş yaparken Birleşik Devletler olabilir. Yerel düzenlemelere uymak için, küresel bir varlığına sahip olan işletmelerin verilerin birkaç bölgede bekleyen olarak kaldığından emin olması gerekir. Doku'da buna multi-geo adı verilir.

Çok coğrafi bir çalışma alanına atanan sorgu yürütme katmanı, sorgu önbellekleri ve öğe verileri oluşturuldukları Azure coğrafyasında kalır. Ancak, bazı meta veriler ve işleme, kiracının ana coğrafyasında bekleyen olarak depolanır.

Doku, daha büyük bir Microsoft ekosisteminin parçasıdır. Kuruluşunuz zaten Azure, Microsoft 365 veya Dynamics 365 gibi diğer bulut abonelik hizmetlerini kullanıyorsa, Doku aynı Microsoft Entra kiracısı içinde çalışır. Kuruluş etki alanınız (örneğin, contoso.com) Microsoft Entra Id ile ilişkilendirilir. Tüm Microsoft bulut hizmetleri gibi.

Doku, bir dizi coğrafyada birden çok kapasiteye sahip birkaç kiracıyla çalışırken verilerinizin bölgeler arasında güvenli olmasını sağlar.

  • Veri mantıksal ayrımı - Doku platformu , verilerinizi korumak için kiracılar arasında mantıksal yalıtım sağlar.

  • Veri hakimiyeti - Multi-geo ile çalışmaya başlamak için bkz . Doku için Multi-Geo desteğini yapılandırma.

Verilere erişme

Doku, çalışma alanlarını kullanarak veri erişimini denetler. Çalışma alanlarında veriler Doku öğeleri biçiminde görünür ve siz çalışma alanına erişim vermediğiniz sürece kullanıcılar öğeleri (verileri) görüntüleyemez veya kullanamaz. çalışma alanı ve öğe izinleri hakkında daha fazla bilgiyi İzin modeli bölümünde bulabilirsiniz.

Çalışma alanı rolleri

Çalışma alanı erişimi aşağıdaki tabloda listelenmiştir. Çalışma alanı rollerini, Doku ve OneLake güvenliğini içerir. Görüntüleyici rolüne sahip kullanıcılar SQL, Veri Çözümleme İfadeleri (DAX) veya Çok Boyutlu İfadeler (MDX) sorguları çalıştırabilir, ancak Doku öğelerine erişemez veya not defteri çalıştıramaz.

Role Çalışma alanı erişimi OneLake erişimi
Yönetici, üye ve katkıda bulunan Çalışma alanı içindeki tüm öğeleri kullanabilir
İzleyici Çalışma alanında tüm öğeleri görebilir

Öğeleri paylaşma

Doku öğelerini kuruluşunuzda çalışma alanı rolü olmayan kullanıcılarla paylaşabilirsiniz. Öğelerin paylaşılması kısıtlı erişim sağlar ve kullanıcıların yalnızca çalışma alanında paylaşılan öğeye erişmesine olanak sağlar.

Erişimi sınırla

Satır düzeyi güvenlik (RLS), sütun düzeyi güvenlik (CLS) ve nesne düzeyi güvenlik (OLS) kullanarak görüntüleyicinin verilere erişimini sınırlayabilirsiniz. RLS, CLS ve OLS ile verilerinizin belirli bölümlerine erişimi olan kullanıcı kimlikleri oluşturabilir ve SQL sonuçlarını yalnızca kullanıcının kimliğinin erişebileceği şekilde döndüren sınırlayabilirsiniz.

DirectLake veri kümesine RLS de ekleyebilirsiniz. Hem SQL hem de DAX için güvenlik tanımlarsanız DirectLake, SQL'de RLS içeren tablolar için DirectQuery'ye geri döner. Böyle durumlarda DAX veya MDX sonuçları kullanıcının kimliğiyle sınırlıdır.

DirectQuery geri dönüşü olmadan RLS ile DirectLake veri kümesi kullanan raporları kullanıma açmak için Doğrudan veri kümesi paylaşımını veya Power BI'daki uygulamaları kullanın. Power BI'daki uygulamalarla, görüntüleyici erişimi olmadan raporlara erişim verebilirsiniz. Bu tür bir erişim, kullanıcıların SQL kullanamamaları anlamına gelir. DirectLake'in verileri okumasını sağlamak için veri kaynağı kimlik bilgilerini Çoklu Oturum Açma (SSO) yerine göldeki dosyalara erişimi olan sabit bir kimliğe geçirmeniz gerekir.

Veri koruma

Doku, Microsoft Purview Bilgi Koruması duyarlılık etiketlerini destekler. Bunlar, hassas bilgileri korumak için Word, PowerPoint ve Excel gibi Microsoft Office uygulaması yaygın olarak kullanılan Genel, Gizli ve Çok Gizli gibi etiketlerdir. Doku'da, aynı duyarlılık etiketlerini kullanarak hassas veriler içeren öğeleri sınıflandırabilirsiniz. Daha sonra duyarlılık etiketleri, veri kaynağından iş kullanıcısına kadar Doku'da akıp giden verileri otomatik olarak öğeden öğeye izler. Duyarlılık etiketi, veriler PBIX, Excel, PowerPoint ve PDF gibi desteklenen biçimlere aktarıldığında bile verilerinizin korunmasını sağlar. Dosyayı yalnızca yetkili kullanıcılar açabilir. Daha fazla bilgi için bkz . Microsoft Fabric'te idare ve uyumluluk.

Verilerinizi yönetmenize, korumanıza ve yönetmenize yardımcı olmak için Microsoft Purview'u kullanabilirsiniz. Microsoft Purview ve Fabric birlikte çalışarak verilerinizi tek bir konumdaki Microsoft Purview hub'ından depolamanıza, çözümlemenize ve yönetmenize izin veriyor.

Verileri kurtarma

Doku veri dayanıklılığı, olağanüstü durum olduğunda verilerinizin kullanılabilir olmasını sağlar. Doku, olağanüstü durum kurtarma durumunda verilerinizi kurtarmanıza da olanak tanır. Daha fazla bilgi için bkz . Microsoft Fabric'te güvenilirlik.

Yapıyı Yönet

Doku'da yönetici olarak tüm kuruluşun özelliklerini denetleme olanağına sahip olursunuz. Doku, yönetim rolünün kapasitelere, çalışma alanlarına ve etki alanlarına temsilci seçmesini sağlar. Yönetici sorumluluklarını doğru kişilere vererek, çeşitli önemli yöneticilerin kuruluş genelinde genel Doku ayarlarını denetlemesine olanak tanıyan bir model uygulayabilir ve belirli alanlarla ilgili ayarlardan sorumlu olan diğer yöneticiler de kullanabilirsiniz.

Yöneticiler, çeşitli araçları kullanarak kapasite tüketimi gibi temel Doku yönlerini de izleyebilir .

Denetim Günlükleri

Denetim günlüklerinizi görüntülemek için Microsoft Fabric'te kullanıcı etkinliklerini izleme başlığındaki yönergeleri izleyin. Denetim günlüklerinde arama için hangi etkinliklerin kullanılabilir olduğunu görmek için İşlem listesine de bakabilirsiniz.

Özellikler

Microsoft Fabric'te kullanılabilen bazı güvenlik özelliklerinin listesi için bu bölümü gözden geçirin.

Yetenek Açıklama
Koşullu erişim Microsoft Entra ID kullanarak uygulamalarınızın güvenliğini sağlama
Kasa Microsoft mühendislerinin verilerinize erişme şeklini denetleme
Doku ve OneLake güvenliği Doku ve OneLake'te verilerinizin güvenliğini sağlamayı öğrenin.
Dayanıklılık Azure kullanılabilirlik alanlarıyla güvenilirlik ve bölgesel dayanıklılık
Hizmet etiketleri Microsoft Fabric'ten gelen bağlantılara izin vermek için bir Azure SQL Yönetilen Örneği (MI) etkinleştirme