Προστασία εισερχόμενης κυκλοφορίας
Η εισερχόμενη κυκλοφορία είναι η κυκλοφορία που εισάγεται στο Fabric από το Internet. Αυτό το άρθρο εξηγεί τις διαφορές μεταξύ των δύο τρόπων για την προστασία της εισερχόμενης κυκλοφορίας στο Microsoft Fabric, των ιδιωτικών συνδέσεων και της Πρόσβασης υπό όρους της Entra. Χρησιμοποιήστε αυτό το άρθρο για να αποφασίσετε ποια μέθοδος είναι καλύτερη για τον οργανισμό σας.
Ιδιωτικές συνδέσεις (Επιλογή 1, Vnet πελάτη) - Το Fabric χρησιμοποιεί μια ιδιωτική διεύθυνση IP από το εικονικό δίκτυό σας. Το τελικό σημείο επιτρέπει στους χρήστες στο δίκτυό σας να επικοινωνούν με το Fabric μέσω ιδιωτικής διεύθυνσης IP χρησιμοποιώντας ιδιωτικές συνδέσεις.
Πρόσβαση υπό όρους Entra - (Επιλογή 2, Χρήστης) - Όταν ένας χρήστης πραγματοποιεί έλεγχο ταυτότητας, η πρόσβαση καθορίζεται με βάση ένα σύνολο πολιτικών που μπορεί να περιλαμβάνουν διεύθυνση IP, τοποθεσία και διαχειριζόμενες συσκευές.
Όταν η κυκλοφορία εισέλθει στο Fabric, πραγματοποιείται έλεγχος ταυτότητας από το Microsoft Entra ID, το οποίο είναι η ίδια μέθοδος ελέγχου ταυτότητας που χρησιμοποιείται από τα Microsoft 365, OneDrive και Dynamics 365. Ο έλεγχος ταυτότητας αναγνωριστικού Microsoft Entra επιτρέπει στους χρήστες να συνδέονται με ασφάλεια σε εφαρμογές cloud από οποιαδήποτε συσκευή και οποιοδήποτε δίκτυο, είτε βρίσκονται στο σπίτι, στο απομακρυσμένο ή στο εταιρικό γραφείο τους.
Η πλατφόρμα παρασκηνίου Fabric προστατεύεται από ένα εικονικό δίκτυο και δεν είναι απευθείας προσβάσιμη από το δημόσιο Internet εκτός από ασφαλή τελικά σημεία. Για να κατανοήσετε τον τρόπο προστασίας της κυκλοφορίας στο Fabric, εξετάστε το Αρχιτεκτονικό διάγραμμα του Fabric.
Από προεπιλογή, το Fabric επικοινωνεί μεταξύ εμπειριών χρησιμοποιώντας το εσωτερικό δίκτυο κορμού της Microsoft. Όταν μια αναφορά Power BI φορτώνει δεδομένα από το OneLake, τα δεδομένα διέρχονται από το εσωτερικό δίκτυο της Microsoft. Αυτή η ρύθμιση παραμέτρων διαφέρει από το να πρέπει να ρυθμίσετε πολλές υπηρεσίες πλατφόρμας ως υπηρεσίας (PaaS) για σύνδεση μεταξύ τους μέσω ιδιωτικού δικτύου. Η εισερχόμενη επικοινωνία μεταξύ προγραμμάτων-πελατών, όπως το πρόγραμμα περιήγησης ή το SQL Server Management Studio (SSMS) και το Fabric, χρησιμοποιεί το πρωτόκολλο TLS 1.2 και διαπραγματεύεται στο TLS 1.3 όποτε είναι εφικτό.
Οι προεπιλεγμένες ρυθμίσεις ασφαλείας του Fabric περιλαμβάνουν:
Το Αναγνωριστικό Microsoft Entra που χρησιμοποιείται για τον έλεγχο ταυτότητας κάθε αίτησης.
Μετά τον επιτυχή έλεγχο ταυτότητας, οι αιτήσεις δρομολογούνται στην κατάλληλη υπηρεσία παρασκηνίου μέσω ασφαλών διαχειριζόμενων τελικών σημείων της Microsoft.
Η εσωτερική κυκλοφορία μεταξύ εμπειριών στο Fabric δρομολογείται πάνω από τον κορμό της Microsoft.
Η κυκλοφορία μεταξύ των πελατών και του Fabric κρυπτογραφείται χρησιμοποιώντας τουλάχιστον το πρωτόκολλο Transport Layer Security (TLS) 1.2.
Πρόσβαση υπό όρους entra
Κάθε αλληλεπίδραση με το Fabric πραγματοποιείται έλεγχος ταυτότητας με το Αναγνωριστικό Microsoft Entra. Το Αναγνωριστικό Microsoft Entra βασίζεται στο μοντέλο ασφαλείας μηδενικής αξιοπιστίας , το οποίο προϋποθέτει ότι δεν προστατεύετε πλήρως εντός της περιμέτρου δικτύου του οργανισμού σας. Αντί να βλέπετε το δίκτυό σας ως όριο ασφαλείας, το Zero Trust εξετάζει την ταυτότητα ως την κύρια περίμετρο για την ασφάλεια.
Για να προσδιορίσετε την πρόσβαση κατά τον έλεγχο ταυτότητας, μπορείτε να ορίσετε και να επιβάλετε πολιτικές πρόσβασης υπό όρους με βάση την ταυτότητα των χρηστών σας, το περιβάλλον συσκευής, την τοποθεσία, το δίκτυο και την ευαισθησία της εφαρμογής. Για παράδειγμα, μπορείτε να απαιτήσετε έλεγχο ταυτότητας πολλών παραγόντων, συμμόρφωση συσκευής ή εγκεκριμένες εφαρμογές για πρόσβαση στα δεδομένα και τους πόρους σας στο Fabric. Μπορείτε επίσης να αποκλείσετε ή να περιορίσετε την πρόσβαση από επικίνδυνες τοποθεσίες, συσκευές ή δίκτυα.
Οι πολιτικές πρόσβασης υπό όρους σάς βοηθούν να προστατεύετε τα δεδομένα και τις εφαρμογές σας χωρίς να διακυβεύεται η παραγωγικότητα και η εμπειρία των χρηστών. Ακολουθούν μερικά παραδείγματα περιορισμών πρόσβασης που μπορείτε να επιβάλετε χρησιμοποιώντας την πρόσβαση υπό όρους.
Καθορίστε μια λίστα με IPs για εισερχόμενη συνδεσιμότητα στο Fabric.
Χρήση ελέγχου ταυτότητας πολλών παραγόντων (MFA).
Περιορισμός της κυκλοφορίας με βάση παραμέτρους όπως η χώρα προέλευσης ή ο τύπος συσκευής.
Το Fabric δεν υποστηρίζει άλλες μεθόδους ελέγχου ταυτότητας, όπως κλειδιά λογαριασμού ή έλεγχο ταυτότητας SQL, οι οποίες βασίζονται σε ονόματα χρηστών και κωδικούς πρόσβασης.
Ρύθμιση παραμέτρων πρόσβασης υπό όρους
Για να ρυθμίσετε τις παραμέτρους της πρόσβασης υπό όρους στο Fabric, πρέπει να επιλέξετε πολλές υπηρεσίες Azure που σχετίζονται με το Fabric, όπως τα Power BI, Azure Data Explorer, Βάση δεδομένων SQL Azure και Υπηρεσία αποθήκευσης Azure.
Σημείωμα
Η πρόσβαση υπό όρους μπορεί να θεωρηθεί πολύ ευρεία για ορισμένους πελάτες, καθώς οποιαδήποτε πολιτική θα εφαρμοστεί στο Fabric και τις σχετικές υπηρεσίες του Azure.
Παραχώρηση αδειών χρήσης
Η πρόσβαση υπό όρους απαιτεί άδειες χρήσης Microsoft Entra ID P1. Συχνά αυτές οι άδειες χρήσης είναι ήδη διαθέσιμες στον οργανισμό σας, επειδή έχουν τεθεί σε κοινή χρήση με άλλα προϊόντα της Microsoft, όπως το Microsoft 365. Για να βρείτε την κατάλληλη άδεια χρήσης για τις απαιτήσεις σας, ανατρέξτε στο θέμα Απαιτήσεις άδειας χρήσης.
Αξιόπιστη πρόσβαση
Το Fabric δεν χρειάζεται να βρίσκεται στο ιδιωτικό σας δίκτυο, ακόμα και όταν έχετε τα δεδομένα σας αποθηκευμένα μέσα σε ένα. Με τις υπηρεσίες PaaS, είναι σύνηθες να τοποθετείτε την υπολογιστική λειτουργία στο ίδιο ιδιωτικό δίκτυο με τον λογαριασμό χώρου αποθήκευσης. Ωστόσο, με το Fabric αυτό δεν είναι απαραίτητο. Για να ενεργοποιήσετε την αξιόπιστη πρόσβαση στο Fabric, μπορείτε να χρησιμοποιήσετε δυνατότητες όπως πύλες δεδομένων εσωτερικής εγκατάστασης, αξιόπιστη πρόσβαση σε χώρους εργασίας και διαχειριζόμενα ιδιωτικά τελικά σημεία. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ασφάλεια στο Microsoft Fabric.
Ιδιωτικές συνδέσεις
Με τα ιδιωτικά τελικά σημεία, στην υπηρεσία σας εκχωρείται μια ιδιωτική διεύθυνση IP από το εικονικό δίκτυό σας. Το τελικό σημείο επιτρέπει σε άλλους πόρους του δικτύου να επικοινωνούν με την υπηρεσία μέσω της ιδιωτικής διεύθυνσης IP.
Χρησιμοποιώντας ιδιωτικές συνδέσεις, μια διοχέτευση από την υπηρεσία σε ένα από τα υποδίκτυά σας δημιουργεί ένα ιδιωτικό κανάλι. Η επικοινωνία από εξωτερικές συσκευές μεταβαίνει από τη διεύθυνση IP τους, σε ιδιωτικό τελικό σημείο του συγκεκριμένου υποδικτύου, μέσω της διοχέτευσης και εντός της υπηρεσίας.
Μετά την εφαρμογή ιδιωτικών συνδέσεων, το Fabric δεν είναι πλέον προσβάσιμο μέσω του δημόσιου internet. Για πρόσβαση στο Fabric, όλοι οι χρήστες πρέπει να συνδεθούν μέσω του ιδιωτικού δικτύου. Το ιδιωτικό δίκτυο απαιτείται για όλες τις επικοινωνίες με το Fabric, συμπεριλαμβανομένης της προβολής μιας αναφοράς Power BI στο πρόγραμμα περιήγησης και της χρήσης του SQL Server Management Studio (SSMS) για σύνδεση σε μια συμβολοσειρά συνδέσεων SQL όπως <guid_unique_your_item>.datawarehouse.fabric.microsoft.com.
Δίκτυα εσωτερικής εγκατάστασης
Εάν χρησιμοποιείτε δίκτυα εσωτερικής εγκατάστασης, μπορείτε να τα επεκτείνετε στο Εικονικό δίκτυο Azure (VNet) χρησιμοποιώντας ένα κύκλωμα ExpressRoute ή ένα VPN από τοποθεσία σε τοποθεσία, για να αποκτήσετε πρόσβαση στο Fabric χρησιμοποιώντας ιδιωτικές συνδέσεις.
Εύρος ζώνης
Με ιδιωτικές συνδέσεις, όλη η κυκλοφορία στο Fabric ταξιδεύει μέσω του ιδιωτικού τελικού σημείου, προκαλώντας πιθανά προβλήματα εύρους ζώνης. Οι χρήστες δεν μπορούν πλέον να φορτώνουν καθολικούς κατανεμημένους πόρους που δεν σχετίζονται με δεδομένα, όπως εικόνες .css και .html αρχεία που χρησιμοποιούνται από το Fabric, από την περιοχή τους. Αυτοί οι πόροι φορτώνονται από τη θέση του ιδιωτικού τελικού σημείου. Για παράδειγμα, για τους χρήστες της Αυστραλίας που έχουν ιδιωτικό τελικό σημείο των Η.Π.Α., η κυκλοφορία ταξιδεύει πρώτα στις Η.Π.Α. Αυτό αυξάνει τους χρόνους φόρτωσης και μπορεί να μειώσει τις επιδόσεις.
Κόστος
Το κόστος των ιδιωτικών συνδέσεων και η αύξηση του εύρους ζώνης ExpressRoute ώστε να επιτρέπεται η ιδιωτική συνδεσιμότητα από το δίκτυό σας, μπορεί να προσθέσουν κόστος στον οργανισμό σας.
Ζητήματα προς εξέταση και περιορισμοί
Με ιδιωτικές συνδέσεις κλείνετε το Fabric στο δημόσιο Internet. Κατά συνέπεια, υπάρχουν πολλά ζητήματα και περιορισμοί που πρέπει να λάβετε υπόψη.