Microsoft Fabric 是一种服务即服务(SaaS)平台,允许用户获取、创建、共享和可视化数据。 作为 SaaS 服务,Fabric 为整个平台提供完整的安全包。 有关详细信息,请参阅 网络安全
重要
目前,工作区入站和出站访问保护不支持部署流水线。
工作区级别安全性
工作区表示 OneLake 中存储的数据的主要安全边界。 每个工作区表示一个域或项目区域,团队可在其中协作处理数据。 Microsoft Fabric 中的工作区级别安全性通过允许管理员为单个工作区配置入站和出站保护,从而对数据访问和网络连接进行精细控制。
工作区级别安全性由两个主要功能组成。
工作区入站访问保护 - 是一项网络安全功能,它使用 专用链接 来确保与工作区的连接来自安全和批准的网络。 专用链接通过限制从 Azure 虚拟网络(VNet)访问 Fabric 租户或工作区并阻止所有公共访问来实现与 Fabric 的安全连接。 有关详细信息,请参阅 管理对工作区入站访问保护设置的管理员访问权限
工作区出站访问保护 (OAP) - 允许管理员控制和限制从工作区项目到外部资源的出站连接。 为实现出站安全性,Fabric 支持工作区出站访问保护。 此网络安全功能可确保工作区外部的连接通过 Fabric 与虚拟网络之间的安全连接。 除非工作区管理员允许,否则它阻止项与工作区边界外部的源建立不安全的连接。 通过此精细控制,可以限制某些工作区的出站连接,同时允许其余工作区保持打开状态。 有关详细信息,请参阅 工作区出站访问保护(预览版)
Git 集成和网络安全
通过 Fabric 中的 Git 集成,工作区可将内容(如笔记本、数据流、Power BI 报表等)与外部 Git 存储库(GitHub 或 Azure DevOps)同步。 由于工作区必须从 Fabric 外部拉取或推送至 Git 服务,因此它涉及外部通信。
工作区入站访问和 Git 集成
为工作区启用专用链接时,用户必须通过指定的虚拟网络(VNet)进行连接,从而有效地将工作区与公共 Internet 公开隔离开来。
此限制直接影响 Git 集成:尝试访问 Git 功能(如同步或提交更改)的用户必须在批准的 VNet 中执行此作。 如果用户尝试从未经批准的网络打开 Git 窗格或执行 Git 操作,Fabric 将完全阻止对工作区用户界面(UI)的访问,包括 Git 功能。 此限制也适用于 Git API。 此强制措施可确保仅在安全、受控的环境中执行与 Git 相关的作(例如连接到存储库或分支),从而降低通过源代码管理通道泄露数据的风险。
默认情况下启用与入站访问保护的 Git 集成。 没有可禁用的切换。 分支被阻止。
工作区出站访问和 Git 集成
默认情况下,工作区 OAP 将完全阻止 Git 集成,因为联系外部 Git 终结点会违反“无出站”规则。 为了解决此限制,Fabric 引入了 Git 的管理员控制的许可设置。
Git 集成与 OAP 的工作原理
启用了 OAP 的每个工作区都有一个显式切换(工作区的网络设置中的复选框),用于允许该工作区的 Git 集成。 最初,当 OAP 处于打开状态时,此复选框默认处于关闭状态 ,这意味着不允许使用 Git 连接。 在该状态下,如果用户在 Fabric 中打开工作区的 Git 面板,他们将看到 Git 功能已禁用(灰显),并说明“出站访问受到限制”。
同样,只要不允许 Git,任何尝试针对该工作区调用 Git API(例如通过自动化或 PowerShell)都失败并出现错误。 此保护可确保默认情况下,安全工作区无法悄悄地将其内容同步到外部存储库。
若要启用 Git 集成,管理员可以转到工作区的 出站安全设置 ,然后单击 “允许 Git 集成 ”切换。 (只能在启用 OAP 本身后选中此框;它是出站设置下的子选项。检查 “允许 Git 集成 ”实际上是管理员同意允许此工作区与 Git 通信。
注释
Git 集成授权是针对每个工作区。
启用后,Fabric 立即解除对该工作区的 Git 的限制:Git UI 变为活动状态,所有作(连接存储库、同步(拉取/推送)、提交更改和分支管理-现在允许该工作区中的用户使用。
注释
如果未启用 OAP,则切换不会影响 git 集成,并且无法打开或关闭。
下表总结了 git 集成如何与 OAP 配合使用。
| OAP 状态 | 允许 Git 集成切换 | Git 集成状态 |
|---|---|---|
| 已启用 | 关闭 | Git 集成不起作用 |
| 已启用 | 启用 | Git 集成将正常工作 |
| Disabled | 灰显 | Git 集成不受影响 |
启用 Git 集成
若要使用工作区出站访问保护并启用 git 集成,请执行以下作:
- 登录到 Fabric 门户
- 导航到工作区
- 在右上角,选择工作区设置。
- 在右侧,单击 “出站网络”。
- 在 “出站访问保护”(预览版)下,确保“允许 Git 集成”切换为“打开”。
分支策略注意事项
Branch Out 功能从当前 Git 分支创建新的工作区,或链接到现有工作区,并且是 OAP 下的一种特殊情况。 当通过管理员同意允许进行 Git 集成时,也允许创建分支。 尝试将分支扩展到未启用 OAP 的工作区时,Fabric 会在分支对话框中提供明确的警告。
例如,如果要从锁定的开发工作区进行分支以创建新的测试工作区,则会发出警告,指出新工作区不会自动具有出站保护。
注释
工作区设置不会通过 git 或直接复制到其他工作区。 这适用于分支或被复制的工作区。 创建新工作区后,需要启用 OAP 和 Git 集成。
默认情况下,新工作区从 OAP 关闭开始,管理员应在通过分支创建新工作区后手动启用 OAP,以保持相同的安全级别。 如果分支到现有工作区,则当目标工作区不受 OAP 保护时,将显示警告。 这是为了防止用户不知道将内容推送到破坏安全性的环境。
从 OAP 中删除 Git 集成
允许 Git 后,工作区将在源代码管理方面正常运行。 如果管理员决定禁用 Git 集成,他们可以单击 “允许 Git 集成 ”开关。 然后,Fabric 将立即切断该工作区的 Git 连接。 任何后续的 Git操作(拉取、推送等)都会失败,UI 将恢复为禁用状态,需要重新审批。
为防止意外中断,Fabric 在关闭 Git 访问时向管理员提供确认/警告,说明该工作区的所有 Git 同步都将停止。 值得注意的是,禁用 Git 不会删除存储库或任何历史记录 - 它会从工作区端断开连接。
REST API 支持
管理员可以使用 REST API 以编程方式查询工作区的网络设置。 可以执行这些查询来指示是否启用了出站保护,或者是否要设置出站策略。 这些功能支持审计脚本——可以检索所有工作区,并检查哪些工作区在 OAP 中的 gitAllowed 为 true。 例如,使用此类 API,安全团队可以每晚确认没有其他工作区未经批准允许访问 Git。 微软推出了以下终结点来获取或设置工作区的 Git 出站策略。
GET /workspaces/{workspaceId}/gitOutboundPolicy API 允许管理员或自动化系统检索特定工作区的当前出站 Git 策略。 此操作特别适用于审核和合规目的,因为它确认在工作区的出站访问保护设置的规定下是否允许 Git 操作(例如存储库同步、提交或分支)。 检查此策略允许用户确保只允许显式批准的工作区与外部 Git 存储库交互,从而帮助防止意外的数据外泄。
SET /workspaces/{workspaceId}/gitOutboundPolicy API 使管理员能够以编程方式为工作区配置 Git 出站策略。 此配置包括切换是否允许进行 Git 操作的同意,即便在启用 DEP 时也是如此。 通过 API 自动执行此配置有利于 CI/CD 工作流,从而允许安全工作区载入基于 Git 的开发管道,而无需手动干预。 它还支持基础结构即代码做法,其中网络和集成策略随工作区配置一起进行版本控制并部署。
审计和日志
每当由于网络安全而阻止作时,Fabric 平台将记录事件。 大量此类错误可能表示配置错误(有人忘记启用所需的设置)或可能试图绕过安全。 有关详细信息,请参阅 Microsoft Fabric 中的跟踪用户活动
限制和注意事项
以下是在使用 OAP 和 Git 集成时需要记住的信息。
- 并非所有项目都支持入站和出站访问保护。 将不受支持的项从 git 集成同步到工作区将失败。 有关支持项的列表,请参阅“专用链接支持项”和“出站访问保护支持项”。
- 当前,工作区入站访问保护不支持部署流水线。
- 如果工作区是部署管道的一部分,则工作区管理员无法启用出站访问保护,因为不支持部署管道。 同样,如果启用了出站访问保护,则无法将工作区添加到部署管道。
有关详细信息,请参阅 OAP 和工作区注意事项