Microsoft網狀架構端對端安全性案例
安全性是任何數據分析解決方案的重要層面,特別是涉及機密或機密數據時。 基於這個理由,Microsoft Fabric 提供一組完整的安全性功能,可讓您保護待用和傳輸中的數據,以及控制使用者和應用程式的存取和許可權。
在本文中,您將瞭解 Fabric 安全性概念和功能,以協助您自信地使用 Fabric 建置自己的分析解決方案。
背景
本文提供一個案例,其中您是一位在 美國 中為醫療保健組織工作的數據工程師。 組織會收集和分析來自各種系統的病患數據,包括電子健康記錄、實驗室結果、保險索賠和可穿戴裝置。
您計劃使用 Fabric 中的獎章架構 來建置湖屋,其中包含三層:銅牌、銀牌和金牌。
- 銅層會儲存從數據源抵達的原始數據。
- 銀層會套用數據品質檢查和轉換,以準備數據以供分析。
- 金層提供報表和視覺效果的匯總和擴充數據。
雖然某些數據源位於內部部署網路上,但其他數據源位於防火牆後方,且需要安全且經過驗證的存取權。 Azure 中也有一些數據源,例如 Azure SQL 資料庫 和 Azure 儲存體。 您需要以不會向公用因特網公開數據的方式連線到這些 Azure 數據源。
您已決定使用 Fabric,因為它可以安全地內嵌、儲存、處理和分析雲端中的數據。 重要的是,它這樣做,同時 符合 您產業和組織原則的法規。
因為 Fabric 是軟體即服務 (SaaS),因此您不需要布建個別資源,例如記憶體或計算資源。 您只需要 網狀架構容量。
您必須設定資料存取需求。 具體來說,您必須確保只有您和數據工程師才能存取 Lakehouse 銅層和銀層中的數據。 這些層是您計劃執行數據清理、驗證、轉換和擴充的位置。 您也需要限制存取黃金層中的數據。 只有經授權的使用者,包括數據分析師和商務使用者,才能存取金層。 它們需要此存取權,才能將數據用於各種分析用途,例如報告、機器學習和預測性分析。 數據存取必須進一步受限於使用者的角色和部門。
線上到網狀架構 (輸入保護)
您必須先設定 輸入保護,這與您和其他使用者登入的方式有關,並具有 Fabric 的存取權。
因為 Fabric 會部署至 Microsoft Entra 租使用者,因此驗證和授權是由 entra Microsoft 處理。 您可以使用 Microsoft Entra 組織帳戶登入(公司或學校帳戶)。 接下來,您會考慮其他使用者如何連線到 Fabric。
Microsoft Entra 租使用者是 IT 部門控制下的身分識別安全性界限 。 在此安全性界限內,系統管理 Microsoft Entra 物件(例如使用者帳戶)和全租用戶設定是由 IT 系統管理員完成。 如同任何 SaaS 服務,Fabric 會以邏輯方式隔離租使用者。 除非您明確授權租使用者這樣做,否則租用戶中的數據和資源永遠無法由其他租使用者存取。
以下是使用者登入 Fabric 時會發生什麼事。
| 項目 | 說明 |
|---|---|
 |
用戶開啟瀏覽器(或用戶端應用程式)並登入 網狀架構入口網站。 |
 |
系統會立即將使用者重新導向至 Microsoft Entra 識別碼,而且需要他們進行驗證。 驗證會確認其為登入的正確人員。 |
 |
驗證成功之後,Web 前端會收到使用者的要求,並從最接近的位置傳遞前端 (HTML 和 CSS) 內容。 它也會將要求路由傳送至元數據平臺和後端容量平臺。 |
 |
位於租使用者主區域中的元數據平台會儲存租使用者的元數據,例如工作區和訪問控制。 此平臺可確保用戶獲得存取相關工作區和網狀架構項目的授權。 |
 |
後端容量平台會執行計算作業,並儲存您的數據。 其位於 容量區域中。 當工作區指派給 Fabric 容量時,工作區中的所有數據,包括 Data Lake OneLake,都會儲存並處理於容量區域中。 |
元數據平臺和後端容量平臺都會在受保護的虛擬網路中執行。 這些網路會向因特網公開一系列安全端點,以便接收來自使用者和其他服務的要求。 除了這些端點之外,服務也受到網路安全性規則的保護,這些規則會封鎖來自公用因特網的存取。
當使用者登入 Fabric 時,您可以強制執行其他保護層。 如此一來,您的租使用者將只能存取特定使用者 ,以及 符合網路位置和裝置合規性等其他條件時。 這一層保護稱為 輸入保護。
在此案例中,您必須負責 Fabric 中的敏感性病患資訊。 因此,您的組織已要求存取 Fabric 的所有使用者都必須執行多重要素驗證 (MFA),而且它們必須位於公司網路上,只是保護使用者身分識別是不夠的。
貴組織也可讓用戶隨時隨地工作,以及使用其個人裝置,為使用者提供彈性。 因為 Microsoft Intune 支援自備裝置 (BYOD),因此您在 Intune 中註冊已核准的用戶裝置。
此外,您必須確保這些裝置符合組織原則。 具體而言,這些原則要求裝置只能在安裝最新的操作系統和最新的安全性修補程式時連線。 您可以使用 Microsoft Entra 條件式存取來設定這些安全性需求。
條件式存取提供數種方式來保護租使用者。 您可以:
如果您需要鎖定整個 Fabric 租使用者,您可以使用虛擬網路並封鎖公用因特網存取。 然後只能從該安全的虛擬網路記憶體取 Fabric。 若要設定這項需求,請在 Fabric 的租用戶層級啟用私人連結。 它可確保所有網狀架構端點都會解析為虛擬網路中的私人IP位址,包括存取所有Power BI報表。 (啟用私人端點會對許多 Fabric 專案造成影響,因此您應該先徹底閱讀 本文 ,再加以啟用。
保護對 Fabric 外部資料的存取 (輸出保護)
接下來,您會設定 輸出保護,這與在防火牆或私人端點後方安全地存取數據有關。
您的組織有一些位於內部部署網路上的數據源。 由於這些數據源位於防火牆後方,因此 Fabric 需要安全存取。 若要讓 Fabric 安全地連線到內部部署數據源,您可以安裝 內部部署數據閘道。
Data Factory 數據流和數據管線可以使用閘道來內嵌、準備及轉換內部部署數據,然後使用複製活動將其載入 OneLake。 Data Factory 支援一組 完整的連接器 ,可讓您連線到 100 多個不同的資料存放區。
接著,您可以使用 Power Query 建置數據流,以提供低程式碼介面的直覺式體驗。 您可以使用它從數據源擷取數據,並使用任何 300 個以上的資料轉換加以轉換。 接著,您可以使用數據管線來建置及協調複雜的擷取、轉換和載入 (ETL) 程式。 ETL 程式可以重新整理數據流,並大規模執行許多不同的工作,處理數 PB 的數據。
在此案例中,您已經有多個 ETL 程式。 首先,您在 Azure Data Factory 中擁有一些管線(ADF)。 目前,這些管線會內嵌內部部署數據,並使用自我裝載整合運行時間,將它載入 Azure 儲存體 中的數據湖。 其次,您在 Azure Databricks 中具有以 Spark 撰寫的數據擷取架構。
既然您使用 Fabric,您只需將 ADF 管線的輸出目的地重新導向至使用 lakehouse 連接器。 此外,針對 Azure Databricks 中的擷取架構,您可以使用 支援 Azure 部落格文件系統 (ABFS) 驅動程式的 OneLake API 來整合 OneLake 與 Azure Databricks。 (您也可以使用相同的方法來整合 使用 Apache Spark 搭配 Azure Synapse Analytics 的 OneLake。
您也有一些數據源位於 Azure SQL 資料庫。 您必須使用私人端點連線到這些數據源。 在此情況下,您決定設定 虛擬網路 (VNet) 資料閘道 ,並使用資料流安全地連線到您的 Azure 數據,並將其載入 Fabric。 使用 VNet 資料閘道時,您不需要佈建和管理基礎結構(您需要針對內部部署數據閘道執行此動作)。 這是因為 Fabric 會安全地且動態地在 Azure 虛擬網絡 中建立容器。
如果您要在Spark中開發或移轉資料擷取架構,則可以透過受控私人端點的協助,從 Fabric 筆記本和作業安全地連線到 Azure 中的數據源。 您可以在 Fabric 工作區中建立受控私人端點,以連線到已封鎖公用因特網存取的 Azure 數據源。 它們支援私人端點,例如 Azure SQL 資料庫 和 Azure 儲存體。 受控私人端點會在專用於 Fabric 工作區的受控 VNet 中布建和管理。 不同於一般的 Azure 虛擬網絡,在 Azure 入口網站 中找不到受控 VNet 和受控私人端點。 這是因為它們完全由 Fabric 管理,您可以在工作區設定中找到它們。
因為您已經有大量的數據儲存在 Azure Data Lake Storage (ADLS) Gen2 帳戶中,所以您現在只需要將 Spark 和 Power BI 等網狀架構工作負載連線到它。 此外,由於 OneLake ADLS 快捷方式,您可以輕鬆地從任何網狀架構體驗連線到現有的數據,例如數據整合管線、數據工程筆記本和 Power BI 報表。
具有 工作區身分 識別的網狀架構工作區可以安全地存取 ADLS Gen2 儲存器帳戶,即使您已停用公用網路也一般。 這可透過 信任的工作區存取來達成。 它可讓 Fabric 使用Microsoft骨幹網路安全地連線到記憶體帳戶。 這表示通訊不會使用公用因特網,這可讓您停用記憶體帳戶的公用網路存取,但仍允許某些 Fabric 工作區連線到它們。
法規遵循
您想要使用 Fabric 安全地內嵌、儲存、處理及分析雲端中的數據,同時維持您產業法規與組織原則的合規性。
網狀架構是 azure Core Services Microsoft的一部分,且受 Microsoft在線服務條款 和 Microsoft企業隱私聲明所控管。 雖然認證通常會在產品推出之後發生(正式推出或 GA),但Microsoft一開始和整個開發生命週期整合合規性最佳做法。 此主動式方法可確保未來認證的堅實基礎,即使它們遵循已建立的稽核週期也一樣。 從一開始,我們就會優先使用 建置合規性,即使稍後會進行正式認證。
網狀架構符合許多業界標準,例如 ISO 27001、27017、27018 和 27701。 網狀架構也是 HIPAA 規範,這對醫療保健數據隱私權和安全性至關重要。 您可以在 Microsoft Azure 合規性供應專案中查看附錄 A 和 B,以深入瞭解哪些雲端服務在認證範圍內。 您也可以從 服務信任入口網站 (STP) 存取稽核檔。
合規性是共同的責任。 為了遵守法律和法規,雲端服務提供者及其客戶會承擔共同的責任,以確保每個提供者都盡其一份責任。 當您考慮和評估公用雲端服務時,瞭解 共用責任模型 ,以及雲端提供者處理的安全性工作,以及您處理哪些工作非常重要。
資料處理
由於您正在處理敏感性病患資訊,因此您必須確保所有數據在待用和傳輸中都受到充分保護。
待用加密可為儲存的資料 (待用) 提供資料保護。 對待用數據的攻擊包括嘗試取得儲存數據之硬體的實體存取權,然後入侵該硬體上的數據。 待用加密的設計目的是要防止攻擊者存取未加密的數據,方法是確保磁碟上的數據加密。 待用加密是遵守一些業界標準和法規所需的強制性措施,例如國際標準化組織(ISO)和健康保險可移植性和責任法(HIPAA)。
所有網狀架構數據存放區都會 使用由Microsoft管理的密鑰進行待 用加密,以提供客戶數據和系統數據和元數據的保護。 在未加密狀態時,數據永遠不會保存至永久記憶體。 透過Microsoft管理的金鑰,您可以受益於待用數據的加密,而不需要自定義密鑰管理解決方案的風險或成本。
數據也會在 傳輸中加密。 來自客戶端系統之網狀架構端點的所有輸入流量都會強制執行至少 傳輸層安全性 (TLS) 1.2。 它也會盡可能交涉 TLS 1.3。 TLS 支援增強式驗證、訊息隱私權、完整性 (可偵測訊息竄改、攔截和偽造)、互通性、演算法彈性,以及輕鬆部署和使用。
除了加密之外,Microsoft 服務 之間的網路流量一律會透過Microsoft全球網路路由傳送,這是世界上最大的骨幹網路之一。
客戶管理的金鑰 (CMK) 加密和Microsoft網狀架構
客戶管理的金鑰 (CMK) 可讓您使用自己的金鑰加密待用數據。 根據預設,Microsoft Fabric 會使用平臺受控密鑰加密待用數據。 在此模型中,Microsoft負責 OneLake 上密鑰管理和待用數據的所有層面,都會使用其密鑰來加密。 從合規性的觀點來看,客戶可能需要使用 CMK 來加密待用數據。 在 CMK 模型中,客戶會完全控制密鑰,並使用其密鑰來加密待用數據。
如果您需要使用 CMK 來加密待用數據,建議您使用雲端記憶體服務(ADLS Gen2、AWS S3、GCS)搭配啟用 CMK 加密,並使用 OneLake 快捷方式從 Microsoft Fabric 存取數據。 在此模式中,您的數據會繼續位於雲端記憶體服務或外部記憶體解決方案上,其中會啟用使用 CMK 進行待用加密,而且您可以在保持相容的同時,從 Fabric 執行就地讀取作業。 建立快捷方式之後,在 Fabric 內,其他 Fabric 體驗即可存取數據。
使用此模式有一些考慮:
- 針對使用 CMK 進行待用加密需求的數據,請使用這裡所討論的模式。 沒有這項需求的數據可以使用平臺管理的密鑰進行待用加密,且該數據可以原生儲存在 Microsoft Fabric OneLake 上。
- Fabric Lakehouse 和 KQL 資料庫 是Microsoft Fabric 內的兩個工作負載,可支援建立快捷方式。 在此模式中,數據會繼續位於啟用 CMK 的外部記憶體服務上,您可以使用 Lakehouses 和 KQL 資料庫中的快捷方式,將數據帶入 Microsoft Fabric 進行分析,但數據會實際儲存在啟用 CMK 加密的 OneLake 外部。
- ADLS Gen2 快捷方式支援寫入和使用這個快捷方式類型,您也可以將數據寫回記憶體服務,並使用 CMK 進行待用加密。 搭配 ADLS Gen2 使用 CMK 時,請遵循 Azure 金鑰保存庫 (AKV) 和 Azure 儲存體 的考慮。
- 如果您使用與 AWS S3 相容的第三方記憶體解決方案(Cloudflare、Qumolo Core 與公用端點、公用 MinIO 和 Dell ECS 搭配公用端點),而且已啟用 CMK,本檔中討論的模式可以延伸至這些第三方記憶體解決方案。 使用 Amazon S3 相容的快捷方式,您可以使用這些解決方案的快捷方式將數據帶入 Fabric。 如同雲端式記憶體服務,您可以使用 CMK 加密將資料儲存在外部記憶體上,並執行就地讀取作業。
- AWS S3 支援使用客戶管理的金鑰進行待用加密。 不支援使用 S3 快捷方式在 S3 貯體上執行就地讀取;不過,不支援使用 AWS S3 快捷方式的寫入作業。
- Google 雲端記憶體支援使用 客戶管理的金鑰進行數據加密。 網狀架構可以在 GCS 上執行就地讀取;不過,不支援使用 GCS 快捷方式的寫入作業。
- 啟用 Microsoft網狀架構的稽核 ,以追蹤活動。
- 在 Microsoft Fabric 中,Power BI 體驗支持 客戶管理的密鑰。
資料落地
當您處理病患數據時,基於合規性考慮,貴組織已規定數據絕不應離開 美國 地理界限。 貴組織的主要作業會在紐約和西雅圖的總部進行。 設定 Power BI 時,您的組織已選擇美國東部區域作為租用戶主區域。 針對您的作業,您已在美國西部區域建立網狀架構容量,其更接近您的數據源。 由於 OneLake 在全球可供使用,因此您擔心是否可以在使用 Fabric 時符合組織的數據落地原則。
在 Fabric 中,您會瞭解您可以建立 多地理位置容量,這些容量位於租用戶主區域以外的地理位置(地理位置)。 您可以將網狀架構工作區指派給這些容量。 在此情況下,工作區中所有項目的計算和記憶體(包括 OneLake 和體驗特定記憶體)都位於多地理位置區域中,而您的租使用者元數據則保留在主區域中。 您的數據只會儲存並處理在這兩個地理位置,因此可確保貴組織的數據落地需求符合。
存取控制
您必須確保只有您和您的數據工程師能夠完整存取 Lakehouse 銅層和銀層中的數據。 這些層可讓您執行數據清理、驗證、轉換和擴充。 您必須將黃金層中的數據存取限制為僅限經授權的使用者,例如數據分析師和商務用戶,他們可以使用數據進行各種分析目的,例如報告和分析。
Fabric 提供彈性 的許可權模型 ,可讓您控制工作區中專案和數據的訪問許可權。 工作區是將專案分組在 Fabric 中的安全性實體。 您可以使用 工作區角色 來控制工作區中專案的存取權。 工作區的四個基本角色如下:
- 系統管理員: 可以檢視、修改、共用和管理工作區中的所有內容,包括管理許可權。
- 成員: 可以檢視、修改及共用工作區中的所有內容。
- 參與者: 可以檢視和修改工作區中的所有內容。
- 查看器: 可以檢視工作區中的所有內容,但無法加以修改。
在此案例中,您會建立三個工作區,每個獎章層級各一個(銅牌、銀牌和金牌)。 因為您已建立工作區,因此會自動指派給 系統管理員 角色。
接著,您會將安全組新增至 這三個工作區的參與者 角色。 因為安全組包含您的同僚工程師作為成員,所以他們可以在這些工作區中建立和修改 Fabric 專案,不過他們無法與其他人共用任何專案。 他們也無法將存取權授與其他使用者。
在銅級和銀級工作區中,您和您的工程師會建立 Fabric 專案來內嵌數據、儲存數據,以及處理數據。 網狀架構專案包含 Lakehouse、管線和筆記本。 在黃金工作區中,您會建立兩個 Lakehouse、多個管線和筆記本,以及 Direct Lake 語意模型,以提供儲存在其中一個 Lakehouse 中的數據快速查詢效能。
然後,請仔細考慮數據分析師和商務使用者如何存取他們允許存取的數據。 具體而言,他們只能存取與其角色和部門相關的數據。
第一個 Lakehouse 包含實際數據,且不會在其 SQL 分析端點中強制執行任何數據許可權。 第二個 Lakehouse 包含第一個 Lakehouse 的快捷方式,它會在其 SQL 分析端點中強制執行細微的數據許可權。 語意模型會連線到第一個 Lakehouse。 若要為使用者強制執行適當的數據許可權(因此他們只能存取與其角色和部門相關的數據),您不會與用戶共用第一個 Lakehouse。 相反地,您只會共用 Direct Lake 語意模型,以及在其 SQL 分析端點中強制執行數據許可權的第二個 Lakehouse。
您可以設定語意模型來使用 固定身分識別,然後在語意模型中實作數據列層級安全性 (RLS),以強制執行模型規則,以控管使用者可以存取的數據。 然後 ,您只會與數據分析師和商務用戶共用 語意模型,因為它們不應該存取工作區中的其他專案,例如管線和筆記本。 最後,您會授 與語意模型的建置許可權 ,讓使用者可以建立Power BI報表。 如此一 來,語意模型就會成為其Power BI報表的共用 語意模型和來源。
您的數據分析師需要存取黃金工作區中的第二個 Lakehouse。 他們會連線到該 Lakehouse 的 SQL 分析端點,以撰寫 SQL 查詢並執行分析。 因此,您可以使用 SQL 安全性模型,在 Lakehouse SQL 分析端點中共用該 Lakehouse,並只提供所需的物件存取權(例如具有遮罩規則的數據表、數據列和數據行)。 數據分析師現在只能存取與其角色和部門相關的數據,而且無法存取工作區中的其他專案,例如管線和筆記本。
常見的安全性案例
下表列出常見的安全性案例,以及可用來完成這些案例的工具。
| 案例 | 工具 | 方向 |
|---|---|---|
| 我是 ETL 開發人員,我想從多個來源系統和數據表大規模將大量數據載入 Fabric。 源數據是內部部署(或其他雲端),位於防火牆和/或具有私人端點的 Azure 數據源後方。 | 搭配數據管線使用內部部署數據閘道(複製活動)。 | 輸出 |
| 我是進階 使用者 ,我想從我有權存取的來源系統將數據載入 Fabric。 因為我不是開發人員,我需要使用低程式碼介面來轉換數據。 源數據是內部部署(或其他雲端),且位於防火牆後方。 | 搭配數據流 Gen 2 使用內部部署數據閘道。 | 輸出 |
| 我是進階 使用者 ,我想從我可存取的來源系統載入 Fabric 中的數據。 源數據位於私人端點後方,我不想安裝及維護內部部署數據網關基礎結構。 | 搭配數據流 Gen 2 使用 VNet 數據閘道。 | 輸出 |
| 我是開發人員,可以使用Spark筆記本撰寫數據擷取程式代碼。 我想要從我可存取的來源系統載入 Fabric 中的數據。 源數據位於私人端點後方,我不想安裝及維護內部部署數據網關基礎結構。 | 搭配 Azure 私人端點使用網狀架構筆記本。 | 輸出 |
| 我在 Azure Data Factory (ADF) 和 Synapse 管線中有許多現有的管線,這些管線會連線到我的數據源,並將數據載入 Azure。 我現在想要修改這些管線,以將數據載入 Fabric。 | 在現有的管線中使用 Lakehouse 連接器。 | 輸出 |
| 我在Spark中開發數據擷取架構,可安全地連線到我的數據源,並將其載入 Azure。 我在 Azure Databricks 和/或 Synapse Spark 上執行它。 我想繼續使用 Azure Databricks 和/或 Synapse Spark 將數據載入 Fabric。 | 使用 OneLake 和 Azure Data Lake Storage (ADLS) Gen2 API (Azure Blob 文件系統驅動程式) | 輸出 |
| 我想要確保我的網狀架構端點受到公用因特網的保護。 | 作為 SaaS 服務,網狀架構後端已經受到公用因特網的保護。 如需更多保護,請使用 Microsoft Fabric 和/或針對網狀架構啟用租用戶層級的私人連結,並封鎖公用因特網存取的 Entra 條件式存取原則。 | 傳入 |
| 我想要確保網狀架構只能從我的公司網路和/或從相容的裝置存取。 | 使用 Microsoft Fabric 的條件式存取原則。 | 傳入 |
| 我想要確保任何存取 Fabric 的人都必須執行多重要素驗證。 | 使用 Microsoft Fabric 的條件式存取原則。 | 傳入 |
| 我想從公用因特網鎖定整個 Fabric 租使用者,只允許從我的虛擬網路記憶體取。 | 為網狀架構啟用 租用戶層級 的私人連結,並封鎖公用因特網存取。 | 傳入 |
相關內容
如需 Fabric 安全性的詳細資訊,請參閱下列資源。
- Microsoft Fabric 中的安全性
- OneLake 安全性概觀
- Microsoft Fabric 概念和授權
- 有任何問題嗎? 請嘗試在 Microsoft Fabric 社群中提問。
- 有任何建議嗎? 貢獻改進 Microsoft Fabric 的想法。