Freigeben über

Sicherheit in Fertigungsdatenlösungen (Vorschauversion)

  • Artikel

Wichtig

Einige oder alle dieser Funktionen sind als Teil einer Vorschauversion verfügbar. Inhalt und Funktionalität können sich ändern.

Fertigungsdatenlösungen in Microsoft Fabric (Vorschauversion) wurde entwickelt, um Sie dabei zu unterstützen, Ihre Sicherheits- und Compliance-Anforderungen zu erfüllen. Dieser Artikel gibt Ihnen einen Überblick über die Sicherheitsfeatures und -funktionen von Fertigungsdatenlösungen, die Sie konfigurieren können, um Ihre sensiblen Daten und Ressourcen vor unbefugtem Zugriff, Datenpannen und Cyberangriffen zu schützen.

Azure Private Link bietet private Konnektivität von einem virtuellen Netzwerk zur Azure Platform-as-a-Service (PaaS). Es vereinfacht die Netzwerkarchitektur und sichert die Verbindung zwischen Azure-Endpunkten, indem es die Datenfreigabe im öffentlichen Internet verhindert.

Mit Azure Private Link können Sie sich aus Ihrem virtuellen Netzwerk über einen privaten Endpunkt mit einem Fertigungsdatenlösungsdienst verbinden. Ressourcen, die diesem virtuellen Netzwerk zugeordnet sind, können über diesen privaten Endpunkt privat mit Fertigungsdatenlösungs-APIs kommunizieren.

Ein privater Endpunkt ist eine Reihe privater IP-Adressen in einem Subnetz innerhalb des virtuellen Netzwerks. Sie können dann den Zugriff auf Ihre Instanz der Fertigungsdatenlösungen über diese privaten IP-Adressen einschränken. Sie können private Endpunkte für Fertigungsdatenlösungen nach der Bereitstellung der Instanz der Fertigungsdatenlösung bereitstellen.

Anforderungen

  • Erstellen Sie ein virtuelles Netzwerk im selben Abonnement, in dem auch die Instanz der Fertigungsdatenlösungen vorliegt. Dieses virtuelle Netzwerk erlaubt die automatische Genehmigung des Private Link-Endpunkts.

  • Aktualisieren Sie die Fertigungsdatenlösungen, indem Sie die Gruppen-ID für die Ablehnungszuweisung in den Einstellungen für die Ablehnungszuweisung der Fertigungsdatenlösungsressource konfigurieren. Die Identität, die für die Einrichtung der privaten Verbindung verantwortlich ist, muss der Ablehnungszuweisungsgruppe hinzugefügt werden, die in den Fertigungsdatenlösungen konfiguriert wurde, um auf die Application-Gateway-Ressource zugreifen zu können.

    Screenshot der Einstellungen für die Ablehnungszuweisung für Fertigungsdatenlösungen.

Ürivate Endpunkte für Fertigungsdatenlösungen mithilfe des Azure-Portals erstellen

Gehen Sie wie folgt vor, um einen privaten Endpunkt für eine vorhandene Instanz von Fertigungsdatenlösungen zu erstellen.

  1. Wählen Sie im Bereich „Alle Ressourcen“ die Option Fertigungsdatenlösungen aus.

  2. Kopieren Sie auf der Seite „Übersicht“ den Namen der verwalteten Ressourcengruppe.

    Screenshot der verwalteten Ressourcengruppe für Fertigungsdatenlösungen.

  3. Navigieren Sie oben zur Suchleiste und suchen Sie nach der verwalteten Ressourcengruppe.

  4. Wählen Sie aus dem Suchergebnis die verwaltete Ressourcengruppe aus, die Ihrer Instanz für die Fertigungsdatenlösungen zugeordnet ist.

  5. Wechseln Sie auf der Seite „Übersicht“ zur Registerkarte „Ressourcen“ und filtern Sie im Filter „Typ“ nach der Ressourcen Application Gateway.

    Screenshot der „Application Gateway“-Ressource in der verwalteten Ressourcengruppe.

  6. Wählen Sie die Ressource Azure Application Gateway aus der Liste der Ressourcen aus und navigieren Sie zu Einstellungen > Privater Link.

  7. Wählen Sie die Registerkarte „Verbindungen mit privatem Endpunkt“ und dann + Privater Endpunkt aus.

    Screenshot der Einstellungen „Private Verbindung“ für die Ressource „Application Gateway“.

  8. Geben Sie im Assistenten Privaten Endpunkt erstellen auf der Seite Grundlagen die folgenden Details ein bzw. wählen Sie sie aus.

    Einstellung Farbe
    Abonnement Wählen Sie Ihr Abonnement für die Ressource aus.
    Ressourcengruppe Wählen Sie eine Ressourcengruppe für die Ressource aus.
    Name Geben Sie einen Namen für Ihren privaten Endpunkt ein. Der Name muss eindeutig sein.
    Region Wählen Sie die Region aus, in der Sie den privaten Endpunkt bereitstellen möchten.

    Screenshot der Registerkarte „Grundlagen“ zum Erstellen eines privaten Endpunkts.

  9. Wählen Sie Ressource aus und bestätigen Sie die folgenden Informationen:

    Einstellung Farbe
    Ressourcentyp Microsoft.Network/applicationGateways
    Ressource Namen der Application-Gateway-Ressource, der im Abschnitt „Ressourcendetails“ der Fertigungsdatenlösungen angegeben ist
    Zielunterressource appGatewayFrontendIP

    Screenshot der Registerkarte „Ressource“ zum Erstellen eines privaten Endpunkts.

  10. Wählen Sie virtuelles Netzwerk, das virtuelle Netzwerk und das Subnetz aus, in dem die Netzwerkschnittstelle für den privaten Endpunkt bereitgestellt werden soll. Dieses virtuelle Netzwerk und das Subnetz sollten die gleichen sein, von denen aus auf die Fertigungsdatenlösungs-APIs zugegriffen und die als Voraussetzung erstellt werden.

    Screenshot der Registerkarte „Virtuelles Netzwerk“ zum Erstellen eines privaten Endpunkts.

  11. Wählen Sie DNS aus und behalten Sie die Standardeinstellungen bei oder konfigurieren Sie die private DNS-Integration.

  12. Wählen Sie Tags aus und fügen Sie Tags hinzu, um Ressourcen zu kategorisieren.

  13. Wählen Sie Überprüfen und erstellen aus, wobei Azure Ihre Konfiguration überprüft. Wenn Ihnen Überprüfung erfolgreich angezeigt wird, wählen Sie Erstellen aus.

    Screenshot der Registerkarte „Überprüfen und erstellen“ zum Erstellen eines privaten Endpunkts.

  14. Nachdem der private Endpunkt erstellt wurde, navigieren Sie zur Netzwerkschnittstelle dieses privaten Endpunkts und notieren Sie sich die ihm zugeordnete private IPv4-Adresse. Sie brauchen diesen Wert für die nächste Aufgabe, das Konfigurieren des privaten DNS-Routings.

    Screenshot der Registerkarte „Netzwerkschnittstelle“ für den privaten Endpunkt.

Privats DNS-Routing für Fertigungsdatenlösungen konfigurieren

Gehen Sie nach dem Erstellen des privaten Endpunkts wie folgt vor, um das DNS-Routing für Fertigungsdatenlösungen zu konfigurieren:

  1. Gehen Sie oben zur Suchleiste und suchen Sie nach Private DNS-Zonen.

  2. Wählen Sie + Erstellen aus.

  3. Geben Sie auf der Registerkarte Grundlagen die folgenden Details ein.

    Einstellung Farbe
    Abonnement Wählen Sie Ihr Abonnement für die Ressource aus.
    Ressourcengruppe Wählen Sie eine Ressourcengruppe für die Ressource aus.
    Name <Region>.cloudapp.azure.com
    Region Wählen Sie die Region aus, in der Sie den Private Link bereitstellen möchten.

    Screenshot der Registerkarte „Grundlagen“ zum Erstellen einer privaten DNS-Zone.

  4. Wählen Sie Überprüfen und erstellen.

  5. Nachdem die private DNS-Zone erstellt wurde, wechseln Sie zur Übersichtsseite für die private DNS-Zone und wählen Sie die virtuelle Netzwerkverbindungen aus der Liste der DNS-Verwaltung aus.

  6. Wählen Sie + Hinzufügen aus, um eine neue virtuelle Netzwerkverbindung zu erstellen.

  7. Geben Sie im Assistenten Virtuelle Netzwerkverbindung hinzufügen die folgenden Details ein bzw. wählen Sie sie aus:

    Einstellung Farbe
    Linkname Namen der virtuellen Netzwerkverbindung
    Abonnement Abonnement für die Ressource
    Virtuelles Netzwerk Wählen Sie das virtuelle Netzwerk aus, in dem die Netzwerkschnittstelle für den privaten Endpunkt bereitgestellt wurde.
    Automatische Registrierung aktivieren Wählen Sie das Kontrollkästchen aus, um die automatische Registrierung zu aktivieren

    Screenshot der Registerkarte „Virtuelle Netzwerkverbindungen“ zum Erstellen einer privaten Netzwerkverbindung.

  8. Wählen Sie Erstellen aus.

  9. Gehen Sie auf die Übersichtsseite der privaten DNS-Zone und wählen Sie + Datensatzgruppe aus.

  10. Wählen Sie auf dem Blatt Datensatzgruppe die Option Hinzufügen aus und geben Sie die folgenden Werte ein bzw. wählen Sie sie aus.

    Einstellungen Farbe
    Name Geben Sie den Hostnamen der MDS-Dienst-URL ohne das Suffix <Region>.cloudapp.azure.com ein.
    Art A – Adressdatensatz
    TTL/TTL-Einheit Wählen Sie die Dauer und Einheit der TTL aus
    IP-Adresse Geben Sie die private IP-Adresse der Netzwerkschnittstelle des privaten Endpunkts ein, die in den obigen Schritten erstellt wurde

    Screenshot der Registerkarte „Datensatzgruppe“ zum Erstellen einer Datensatzgruppe.

Nachdem Sie das private DNS-Routing aktiviert haben, können Sie nahtlos eine Verbindung zu Fertigungsdatenlösungen herstellen, indem Sie dieselbe Dienst-URL verwenden, die in die private IP-Adresse aufgelöst wird, die dem virtuellen Netzwerk zugeordnet ist. Die gesamte Kommunikation mit den Fertigungsdatenlösungs-APIs erfolgt jetzt über das Microsoft Backbone-Netzwerk statt über das Internet.

Verwaltete Identität einrichten (verwaltete Identität in Fertigungsdatenlösungen zuordnen, um auf andere Azure-Dienste zuzugreifen)

Eine verwaltete Identität von Microsoft Entra ID ermöglicht jeder Anwendung den Zugriff auf andere durch Microsoft Entra geschützte Ressourcen. Die Azure-Plattform verwaltet diese Identität für Sie. Sie müssen keine Geheimnisse erstellen oder rotieren. Fertigungsdatenlösungen verwenden verwaltete Identitäten, denen bestimmte Azure-Rollen zugewiesen sind. Auf diese Weise können Sie rollenbasierten Zugriff auf andere Azure-Dienste ermöglichen.

Weitere Informationen zu verwalteten Identitäten finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?

Derzeit unterstützen Fertigungsdatenlösungen keine systemseitig zugewiesenen verwalteten Identitäten. Sie können benutzerdefinierte Identitäten Fertigungsdatenlösungen während der Ressourcenbereitstellung zuordnen.

Datenverschlüsselung

Fertigungsdatenlösungen verwenden plattformseitig verwaltete Schlüssel (PMKs), wobei die Schlüssel vollständig von Azure generiert, gespeichert und verwaltet werden.

PMKs können Organisationen dabei helfen, Verschlüsselung mit geringem Betriebsaufwand zu implementieren. Kunden interagieren nicht mit PMKs. Standardmäßig sind die Schlüssel, die in Fertigungsdatenlösungen für die Azure-Datenverschlüsselung im Ruhezustand verwendet werden, PMKs.

Weitere Informationen finden Sie unter Sicherheit in Microsoft Cloud for Manufacturing.

Compliance

Weitere Informationen finden Sie unter Governance und Compliance in Microsoft Fabric und Compliance in Microsoft Cloud for Manufacturing.

Einschränkungen

  • Die IP-Zuweisungsmethode für die Netzwerkschnittstelle des privaten Endpunkts ist auf Dynamisch festgelegt. Sobald die zugewiesene IP-Adresse freigegeben wurde, muss der DNS-Ressourceneintragssatz mit der neuen IP-Adresse in der privaten DNS-Zone aktualisiert werden.

  • Die Private Link-Konfiguration für Application Gateway hat ein Timeout bei Leerlauf von circa fünf Minuten (300 Sekunden). Um zu vermeiden, dass dieser Grenzwert erreicht wird, müssen Anwendungen, die sich über einen privaten Endpunkt mit Endpunkten von Fertigungsdatenlösungen verbinden, TCP-Keepalive-Intervalle von weniger als 300 Sekunden verwenden.