Freigeben über


Microsoft Fabric-Sicherheitsgrundlagen

In diesem Artikel wird eine große Perspektive der Microsoft Fabric-Sicherheitsarchitektur erläutert, indem beschrieben wird, wie die Standard-Sicherheitsflows im System funktionieren. Außerdem wird beschrieben, wie Benutzer sich mit Fabric authentifizieren, wie Datenverbindungen hergestellt werden, und wie Fabric Daten über den Dienst speichert und verschiebt.

Dieser Artikel ist hauptsächlich auf Fabric-Administrator*innen abgezielt, die für die Überwachung von Fabric in der Organisation verantwortlich sind. Er ist auch für Interessenvertreter der Unternehmenssicherheit, einschließlich Sicherheitsadministratoren, Netzwerkadministratoren, Azure-Administratoren, Arbeitsbereichsadministratoren und Datenbankadministratoren relevant.

Fabric-Plattform

Microsoft Fabric ist eine All-in-One-Analyselösung für Unternehmen, die von der Datenverschiebung über Data Science bis hin zu Real-Time Analytics und Business Intelligence (BI) alles abdeckt. Die Fabric-Plattform umfasst eine Reihe von Diensten und Infrastrukturkomponenten, die die gemeinsame Funktionalität für alle Fabric-Erfahrungen unterstützen. Zusammen bieten sie umfassende Analysefunktionen, die für die nahtlose Zusammenarbeit entwickelt wurden. Zu den Erfahrungen gehören Lakehouse, Data Factory, Fabric Data Engineering, Fabric Data Warehouse, Power BI und andere.

Mit Fabric müssen Sie nicht verschiedene Dienste von mehreren Anbietern kombinieren. Stattdessen profitieren Sie von einem hochgradig integrierten, umfassenden und benutzerfreundlichen Produkt, das auf die vereinfachte Verwaltung von Analysen ausgelegt ist. Fabric wurde von Anfang an entwickelt, um vertrauliche Ressourcen zu schützen.

Die Fabric-Plattform basiert auf einer Grundlage von Software-as-a-Service (SaaS), die Zuverlässigkeit, Einfachheit und Skalierbarkeit bietet. Es basiert auf Azure, der öffentlichen Cloud Computing-Plattform von Microsoft. Traditionell waren viele Datenprodukte Plattform-as-a-Service (PaaS) und erfordern einen Administrator des Diensts, um Sicherheit, Compliance und Governance für jeden Dienst einzurichten. Da Fabric ein SaaS-Dienst ist, sind viele dieser Features in die SaaS-Plattform integriert und erfordern keine Einrichtung oder minimale Einrichtung.

Architekturdiagramm

Das folgende Architekturdiagramm zeigt eine allgemeine Darstellung der Fabric-Sicherheitsarchitektur.

Das Diagramm zeigt eine allgemeine Darstellung der Fabric-Sicherheitsarchitektur.

Das architektonische Diagramm zeigt die folgenden Konzepte.

  1. Ein Benutzer verwendet einen Browser oder eine Clientanwendung wie Power BI Desktop, um eine Verbindung mit dem Fabric-Dienst herzustellen.

  2. Die Authentifizierung wird von Microsoft Entra ID, früher Azure Active Directory genannt, verarbeitet, bei dem es sich um den cloudbasierten Identitäts- und Zugriffsverwaltungsdienst handelt, der den Benutzer oder Dienstprinzipal authentifiziert und den Zugriff auf Fabric verwaltet.

  3. Das Web-Front-End empfängt Anforderungen von Benutzer*innen und erleichtert die Anmeldung. Außerdem werden Anforderungen weitergeleitet und Front-end-Inhalte an den Benutzer weitergeleitet.

  4. Die Metadatenplattform speichert Mandantenmetadaten, die Kundendaten enthalten können. Fabric-Dienste fragen diese Plattform bei Bedarf ab, um Autorisierungsinformationen abzurufen und Benutzeranforderungen zu autorisieren und zu überprüfen. Sie befindet sich in der Mandanten-Heimatregion.

  5. Die Back-End-Kapazitätsplattform ist für Computevorgänge und für das Speichern von Kundendaten verantwortlich und befindet sich in der Kapazitätsregion. Er nutzt Azure-Kerndienste in dieser Region nach Bedarf für bestimmte Fabric-Erfahrungen.

Fabric-Plattforminfrastrukturdienste sind mehrinstanzenfähig. Es gibt eine logische Isolation zwischen Mandanten. Diese Dienste verarbeiten keine komplexen Benutzereingaben und werden alle in verwaltetem Code geschrieben. Plattformdienste führen niemals vom Benutzer geschriebenen Code aus.

Die Metadatenplattform und die Back-End-Kapazitätsplattform werden jeweils in gesicherten virtuellen Netzwerken ausgeführt. Diese Netzwerke machen eine Reihe sicherer Endpunkte für das Internet verfügbar, sodass sie Anfragen von Kunden und anderen Diensten empfangen können. Abgesehen von diesen Endpunkten werden Dienste durch Netzwerksicherheitsregeln geschützt, die den Zugriff über das öffentliche Internet blockieren. Die Kommunikation in virtuellen Netzwerken ist auch auf der Grundlage der Berechtigungen der einzelnen internen Dienste eingeschränkt.

Die Anwendungsebene stellt sicher, dass Mandanten nur innerhalb ihres eigenen Mandanten auf Daten zugreifen können.

Authentifizierung

Fabric basiert auf der Microsoft Entra-ID, um Benutzer (oder Dienstprinzipale) zu authentifizieren. Bei der Authentifizierung erhalten Benutzer Zugriffstoken von der Microsoft Entra-ID. Fabric verwendet diese Token, um Vorgänge im Kontext des Benutzers auszuführen.

Ein Schlüssel-Feature von Microsoft Entra ID ist der bedingte Zugriff. Durch bedingten Zugriff wird sichergestellt, dass Mandanten durch Erzwingen der Multi-Faktor-Authentifizierung sicher sind, sodass nur registrierte Microsoft Intune-Geräte auf bestimmte Dienste zugreifen können. Bedingter Zugriff schränkt auch Benutzerspeicherorte und IP-Bereiche ein.

Autorisierung

Alle Fabric-Berechtigungen werden zentral von der Metadatenplattform gespeichert. Fabric-Dienste fragen die Metadatenplattform bei Bedarf ab, um Autorisierungsinformationen abzurufen und Benutzeranforderungen zu autorisieren und zu überprüfen.

Aus Leistungsgründen kapselt Fabric manchmal Autorisierungsinformationen in signierte Token ab. Signierte Token werden nur von der Back-End-Kapazitätsplattform ausgestellt und enthalten das Zugriffstoken, Autorisierungsinformationen und andere Metadaten.

Datenresidenz

In Fabric wird einem Heimmetadatenplattformcluster ein Mandant zugewiesen, der sich in einer einzelnen Region befindet, die die Anforderungen an die Datenhaltung der Geografischen Region erfüllt. Mandantenmetadaten, die Kundendaten enthalten können, werden in diesem Cluster gespeichert.

Kunden können steuern, wo sich ihre Arbeitsbereiche befinden. Sie können ihre Arbeitsbereiche in derselben Geografie wie ihr Metadatenplattformcluster auffinden, entweder explizit durch Zuweisen ihrer Arbeitsbereiche zu Kapazitäten in dieser Region oder implizit mithilfe des Fabric-Test-, Power BI Pro- oder Power BI Premium Pro-Benutzer-Lizenzmodus. Im letzteren Fall werden alle Kundendaten in dieser einzelnen Geografie gespeichert und verarbeitet. Weitere Informationen finden Sie unter Microsoft Fabric-Konzepte und -Lizenzen.

Kunden können auch Multi-Geo-Kapazitäten in anderen Regionen (Geos) als ihrer Heimatregion erstellen. In diesem Fall befinden sich Compute und Speicher (einschließlich OneLake und erfahrungsspezifischer Speicher) in der Multi-Geo-Region, die Mandantenmetadaten bleiben jedoch in der Heimatregion. Kundendaten werden nur in diesen beiden Regionen gespeichert und verarbeitet. Weitere Informationen finden Sie unter Konfigurieren der Multi-Geo-Unterstützung für Fabric.

Datenhandhabung

Dieser Abschnitt enthält eine Übersicht über die Funktionsweise der Datenverarbeitung in Fabric. Es beschreibt die Speicherung, Verarbeitung und die Verschiebung von Kundendaten.

Ruhende Daten

Alle Fabric-Daten werden standardmäßig mit von Microsoft verwalteten Schlüsseln ruhend verschlüsselt. Fabric-Daten umfassen Kundendaten sowie Systemdaten und Metadaten.

Während Daten im Speicher in einem unverschlüsselten Zustand verarbeitet werden können, wird sie niemals dauerhaft gespeichert, während sie sich in einem unverschlüsselten Zustand befinden.

Daten während der Übertragung

Daten, die zwischen Microsoft-Dienste übertragen werden, werden immer mit mindestens TLS 1.2 verschlüsselt. Fabric verhandelt nach Möglichkeit mit TLS 1.3. Der Datenverkehr zwischen Microsoft-Dienste leitet immer über das globale Microsoft-Netzwerk weiter.

Die eingehende Fabric-Kommunikation erzwingt auch TLS 1.2 und verhandelt nach Möglichkeit mit TLS 1.3. Die ausgehende Fabric-Kommunikation mit der kundeneigenen Infrastruktur bevorzugt sichere Protokolle, kann aber auf ältere, unsichere Protokolle (einschließlich TLS 1.0) zurückgreifen, wenn neuere Protokolle nicht unterstützt werden.

Telemetrie

Telemetrie wird verwendet, um die Leistung und Zuverlässigkeit der Fabric-Plattform zu Standard. Der Fabric-Plattform-Telemetriespeicher ist so konzipiert, dass es den Daten- und Datenschutzbestimmungen für Kunden in allen Regionen entspricht, in denen Fabric verfügbar ist, einschließlich der Europäischen Union (EU). Weitere Informationen finden Sie unter EU-Datengrenzdienste.

OneLake

OneLake ist ein einzelner, einheitlicher, logischer Data Lake für die gesamte Organisation und wird automatisch für jeden Fabric-Mandanten bereitgestellt. Er basiert auf Azure und kann jeden Dateityp – strukturiert oder unstrukturiert – speichern. Außerdem speichern alle Fabric-Elemente wie Warehouses und Lakehouses ihre Daten automatisch in OneLake.

OneLake unterstützt dieselben Azure Data Lake Storage Gen2 (ADLS Gen2) APIs und SDKs und ist deshalb mit vorhandenen ADLS Gen2-Anwendungen kompatibel, einschließlich Azure Databricks.

Weitere Informationen finden Sie unter Fabric- und OneLake-Sicherheit.

Arbeitsbereichssicherheit

Arbeitsbereiche stellen die primäre Sicherheitsgrenze für Daten dar, die in OneLake gespeichert sind. Jeder Arbeitsbereich stellt eine einzelne Domäne oder einen einzelnen Projektbereich dar, in dem Teams an Daten zusammenarbeiten können. Sie verwalten die Sicherheit im Arbeitsbereich, indem Sie Benutzern Arbeitsbereichsrollen zuweisen.

Weitere Informationen finden Sie unter Fabric- und OneLake-Sicherheit (Arbeitsbereichsicherheit).

Elementsicherheit

Innerhalb eines Arbeitsbereichs können Sie Fabric-Gegenständen wie Warehouses und Lakehouses direkt Berechtigungen zuweisen. Die Elementsicherheit bietet die Flexibilität, Zugriff auf ein einzelnes Fabric-Element zu gewähren, ohne Zugriff auf den gesamten Arbeitsbereich zu gewähren. Benutzer können Berechtigungen pro Element einrichten, indem sie ein Element freigeben oder die Berechtigungen eines Elements verwalten.

Ressourcen für die Einhaltung von Richtlinien

Der Fabric-Dienst ist Gegenstand der Microsoft Online Services-Nutzungsbedingungen und der Datenschutzbestimmungen von Microsoft Enterprise.

Informationen zum für die Datenverarbeitung vorgesehenen Speicherort finden Sie im entsprechenden Abschnitt in den Microsoft-Bestimmungen für Onlinedienste und im Datenschutzanhang.

Complianceinformationen in Bezug auf Fabric finden Sie in erster Linie im Microsoft Trust Center. Weitere Informationen zur Compliance finden Sie unter Microsoft Complianceangebote.

Der Fabric-Dienst folgt dem Security Development Lifecycle (SDL), welcher aus einem Satz strengen Sicherheitsmethoden besteht, die Sicherheit- und Complianceanforderungen unterstützen. Der SDL unterstützt Entwickler*innen beim Erstellen sichererer Software, indem er die Anzahl und den Schweregrad von Sicherheitsrisiken in Software und gleichzeitig Entwicklungskosten reduziert. Weitere Informationen finden Sie unter Microsoft Security Development Lifecycle-Methoden.

Weitere Informationen zur Fabric-Sicherheit finden Sie in folgenden Ressourcen: