Share via

Microsoft Fabric 安全性基本概念

  • 發行項

本文藉由描述系統中主要安全性流程的運作方式,呈現 Microsoft Fabric 安全性架構的大局觀點。 它也會說明使用者如何使用 Fabric 進行驗證、如何建立數據連線,以及網狀架構如何儲存和行動數據通過服務。

本文主要針對負責監督組織中的 Fabric 的 Fabric 系統管理員。 它也與企業安全性項目關係人相關,包括安全性系統管理員、網路管理員、Azure 系統管理員、工作區管理員和資料庫管理員。

網狀架構平臺

Microsoft Fabric 是一個全方位分析解決方案,適用於企業,涵蓋從數據移動到數據科學、即時分析和商業智慧 (BI) 的所有專案。 網狀架構平臺包含一系列服務和基礎結構元件,可支援所有 網狀架構體驗的通用功能。 他們共同提供一組完整的分析體驗,其設計目的是順暢地合作。 體驗包括 LakehouseData FactorySynapse 資料工程師 ingSynapse 數據倉儲Power BI 等。

使用 Fabric 時,您不需要將多個廠商的不同服務拼湊在一起。 相反地,您會受益於高度整合、端對端且易於使用的產品,其設計目的是簡化分析需求。 網狀架構一開始就設計為保護敏感性資產。

Fabric 平臺是以軟體即服務 (SaaS) 為基礎所建置,可提供可靠性、簡單性和延展性。 其建置在 Azure 上,這是 Microsoft 的公用雲端運算平臺。 傳統上,許多數據產品都是平臺即服務(PaaS),要求服務的系統管理員為每個服務設定安全性、合規性和控管。 因為 Fabric 是 SaaS 服務,因此許多功能都是內建在 SaaS 平臺中,而且不需要設定或最少設定。

架構圖表

下圖顯示網狀架構安全性架構的高階表示法。

圖表顯示 Fabric 安全性架構的高階表示法。

架構圖描述下列概念。

  1. 使用者會使用瀏覽器或用戶端應用程式,例如 Power BI Desktop 來連線到 Fabric 服務。

  2. 驗證是由 Microsoft Entra ID 處理, 先前稱為 Azure Active Directory,這是雲端式身分識別和存取管理服務,可驗證使用者或服務 主體 ,並管理網狀架構的存取權。

  3. Web 前端會接收使用者要求,並協助登入。 它也會將要求路由傳送給使用者,並提供前端內容。

  4. 元數據平臺會儲存租用戶元數據,其中包含客戶數據。 網狀架構服務會視需要查詢此平臺,以擷取授權資訊,以及授權和驗證使用者要求。 其位於租用戶主區域。

  5. 後端容量平臺負責計算作業和儲存客戶數據,且其位於容量區域中。 它會視需要利用該區域中的 Azure 核心服務,以取得特定網狀架構體驗。

網狀架構平臺基礎結構服務是多租使用者。 租用戶之間有邏輯隔離。 這些服務不會處理複雜的使用者輸入,而且全都以Managed程式代碼撰寫。 平臺服務永遠不會執行任何使用者撰寫的程序代碼。

元數據平臺和後端容量平臺都會在受保護的虛擬網路中執行。 這些網路會將一系列的安全端點公開至因特網,以便接收來自客戶和其他服務的要求。 除了這些端點之外,服務也受到網路安全性規則的保護,這些規則會封鎖來自公用因特網的存取。 虛擬網路內的通訊也會根據每個內部服務的許可權來限制。

應用層可確保租使用者只能從自己的租用戶記憶體取數據。

驗證

網狀架構依賴 Microsoft Entra 識別符來驗證使用者(或服務主體)。 通過驗證時,使用者會收到 來自 Microsoft Entra ID 的存取令牌 。 Fabric 會使用這些令牌在用戶的內容中執行作業。

Microsoft Entra ID 的主要功能是 條件式存取。 條件式存取可確保租使用者的安全,方法是強制執行多重要素驗證,只 允許 Microsoft Intune 註冊的裝置存取特定服務。 條件式存取也會限制使用者位置和IP範圍。

授權

所有網狀架構許可權都會由元數據平臺集中儲存。 網狀架構服務會視需要查詢元數據平臺,以擷取授權資訊,以及授權和驗證使用者要求。

基於效能考慮,Fabric 有時會將授權資訊封裝到 已簽署的令牌中。 已簽署的令牌只會由後端容量平台發出,且包含存取令牌、授權資訊和其他元數據。

資料落地

在 Fabric 中,租使用者會指派給主元數據平臺叢集,該叢集位於符合該區域地理位置數據落地需求的單一區域中。 租使用者元數據可以包含客戶數據,會儲存在此叢集中。

客戶可以控制其 工作區 所在的位置。 他們可以選擇在與元數據平臺叢集相同的地理位置中尋找工作區,方法是明確將工作區指派給該區域中的容量,或使用網狀架構試用版、Power BI Pro 或 Power BI 進階版 Per User 授權模式隱含指派工作區。 在後者的情況下,所有客戶數據都會儲存並處理在此單一地理位置中。 如需詳細資訊,請參閱 Microsoft Fabric 概念和授權

客戶也可以建立 位於其主區域以外的地理位置(地區)的多地理位置容量 。 在此情況下,計算和記憶體(包括 OneLake 和體驗特定記憶體)位於多地理位置區域中,不過租使用者元數據會保留在主區域中。 客戶數據只會儲存並處理在這兩個地理位置。 如需詳細資訊,請參閱 設定 Fabric 的多地理位置支援。

資料處理

本節提供在 Fabric 中數據處理運作方式的概觀。 它描述客戶數據的儲存、處理和移動。

待用資料

所有網狀架構數據存放區都會使用 Microsoft 管理的金鑰進行待用加密。 網狀架構數據包括客戶數據,以及系統數據和元數據。

雖然數據可以在未加密狀態的記憶體中處理,但在未加密狀態時,絕不會保存至永久記憶體。

傳輸中資料

Microsoft 服務 之間的傳輸中數據一律會以至少 TLS 1.2 加密。 網狀架構會盡可能交涉到 TLS 1.3。 Microsoft 服務 之間的流量一律會透過 Microsoft 全域網路路由傳送。

輸入網狀架構通訊也會強制執行 TLS 1.2,並盡可能交涉至 TLS 1.3。 不支援較新的通訊協定時,對客戶擁有基礎結構的輸出網狀架構通訊偏好安全通訊協定,但可能會回復為較舊的不安全通訊協定(包括 TLS 1.0)。

遙測

遙測可用來維護網狀架構平臺的效能和可靠性。 Fabric 平臺遙測存放區的設計目的是要符合 Fabric 可用之所有區域中客戶的數據和隱私權法規,包括歐盟(EU)。 如需詳細資訊,請參閱 歐盟數據界限服務

OneLake

OneLake 是整個組織的單一、統一、邏輯數據湖,而且會自動為每個網狀架構租使用者布建。 其建置在 Azure 上,而且可以儲存任何類型的檔案、結構化或非結構化檔案。 此外,所有網狀架構專案,例如倉儲和 Lakehouse,都會自動將其數據儲存在 OneLake 中。

OneLake 支援相同的 Azure Data Lake 儲存體 Gen2 (ADLS Gen2)API 和 SDK,因此它與現有的 ADLS Gen2 應用程式相容,包括 Azure Databricks

如需詳細資訊,請參閱 Fabric 和 OneLake 安全性

工作區安全性

工作區代表儲存在 OneLake 中的數據的主要安全性界限。 每個工作區都代表單一網域或專案區域,小組可以在數據上共同作業。 您可以將使用者指派給 工作區角色,以管理工作區中的安全性。

如需詳細資訊,請參閱網狀架構和 OneLake 安全性(工作區安全性)。

項目安全性

在工作區中,您可以直接將許可權指派給 Fabric 專案,例如倉儲和 Lakehouses。 專案安全性 可讓您彈性地授與個別 Fabric 專案的存取權,而不授與整個工作區的存取權。 用戶可以藉由 共享專案或管理專案的許可權來設定每個項目 的許可權。

合規資源

網狀架構服務受 Microsoft Online Services 條款Microsoft 企業隱私聲明所控管。

如需數據處理的位置,請參閱 Microsoft Online Services 條款中的數據處理詞彙位置,以及數據保護增補。

針對合規性資訊, Microsoft 信任中心 是 Fabric 的主要資源。 如需合規性的詳細資訊,請參閱 Microsoft 合規性供應專案

Fabric 服務遵循安全性開發生命週期 (SDL),其中包含一組嚴格的安全性做法,可支援安全性保證和合規性需求。 SDL 可藉由減少軟體中的弱點數目和嚴重性,同時降低開發成本,協助開發人員建置更安全的軟體。 如需詳細資訊,請參閱 Microsoft 安全性開發生命周期實務

相關內容

如需 Fabric 安全性的詳細資訊,請參閱下列資源。