Microsoft Fabric -suojauksen perusteet
Tässä artikkelissa esitellään Microsoft Fabric -tietoturva-arkkitehtuurin kokonaiskuva kuvailemalla, miten järjestelmän tärkeimmät suojaustyönkulut toimivat. Siinä kuvataan myös, miten käyttäjät todentavat Fabricilla, miten tietoyhteyksiä muodostetaan ja miten Fabric tallentaa ja siirtää tietoja palvelun kautta.
Artikkeli on tarkoitettu ensisijaisesti Fabric-järjestelmänvalvojille, jotka vastaavat Fabricin valvonnasta organisaatiossa. Se koskee myös yrityksen suojauksen sidosryhmiä, kuten suojauksen järjestelmänvalvojia, verkonvalvojia, Azure-järjestelmänvalvojia, työtilan järjestelmänvalvojia ja tietokannan järjestelmänvalvojia.
Fabric-ympäristö
Microsoft Fabric on yrityksille tarkoitettu kattava analytiikkaratkaisu, joka kattaa kaiken tietojen siirtämisen datatieteeseen, reaaliaikaiseen analytiikkaan ja liiketoimintatietoihin. Fabric-ympäristö koostuu palveluista ja infrastruktuuriosista, jotka tukevat fabric-kaikkien käyttökokemusten yleisiä toimintoja. Ne tarjoavat myös kattavan joukon analytiikkakokemuksia, jotka on suunniteltu toimimaan saumattomasti yhteen. Niitä ovat esimerkiksi Lakehouse, Data Factory, Fabric Data Engineering, Fabric Data Warehouse ja Power BI.
Fabric-funktiolla sinun ei tarvitse yhdistää eri palveluja useilta toimittajilta. Sen sijaan voit hyödyntää erittäin integroitua, päästä päähän ja helppokäyttöistä tuotetta, joka on suunniteltu yksinkertaistamaan analytiikkatarpeita. Fabric suunniteltiin alusta alkaen suojaamaan arkaluonteisia resursseja.
Fabric-ympäristö perustuu SaaS-palveluun, joka tarjoaa luotettavuutta, yksinkertaisuutta ja skaalautuvuutta. Se perustuu Azureen, joka on Microsoftin julkinen pilvitekniikkaympäristö. Perinteisesti monet tietotuotteet on otettu käyttöön palveluna (PaaS), joka edellyttää palvelun järjestelmänvalvojaa määrittämään kunkin palvelun suojauksen, vaatimustenmukaisuuden ja hallinnan. Koska Fabric on SaaS-palvelu, monet näistä ominaisuuksista ovat SaaS-ympäristön sisäänrakennettuja, eikä niiden asennusta tai asennusta tarvita juurikaan.
Arkkitehtuurikaavio
Alla olevassa arkkitehtonisessa kaaviossa näkyy Fabric-suojausarkkitehtuurin korkean tason esitys.
Arkkitehtoninen kaavio kuvaa seuraavia käsitteitä.
Käyttäjä käyttää Selainta tai asiakassovellusta, kuten Power BI Desktopia, muodostaakseen yhteyden Fabric-palveluun.
Todentamisen käsittelee Microsoft Entra ID, joka tunnettiin aiemmin nimellä Azure Active Directory. Se on pilvipohjainen käyttäjätietojen ja käyttöoikeuksien hallintapalvelu, joka todentaa käyttäjän tai palvelun päänimen ja hallitsee Fabric-käyttöoikeuksia.
Verkon edusta vastaanottaa käyttäjien pyyntöjä ja helpottaa kirjautumista. Se myös reitittää pyyntöjä ja palvelee edustasisältöä käyttäjälle.
Metatietoympäristö tallentaa vuokraajan metatiedot, jotka voivat sisältää asiakastietoja. Fabric-palvelut kyselevät tästä ympäristöstä pyydettäessä valtuutustietojen noutamista ja käyttäjäpyyntöjen valtuuttamista ja vahvistamista varten. Se sijaitsee vuokraajan kotialueella.
Taustakapasiteetin ympäristö vastaa käsittelytoiminnoista ja asiakastietojen tallentamisesta, ja se sijaitsee kapasiteettialueella. Se hyödyntää kyseisen alueen Azure-ydinpalveluja, mikä on tarpeen tiettyjä Fabric-kokemuksia varten.
Fabric-ympäristön infrastruktuuripalvelut ovat monipuolisia. Vuokraajien välillä on looginen eristys. Nämä palvelut eivät käsittele monimutkaista käyttäjän syötettä, ja ne kaikki kirjoitetaan hallitulla koodilla. Käyttöympäristöpalvelut eivät koskaan suorita käyttäjän kirjoittamaa koodia.
Metatietoympäristö ja taustakapasiteetin käyttöympäristö toimivat kumpikin suojatuissa näennäisverkoissa. Nämä verkot paljastavat internetissä useita suojattuja päätepisteitä, jotta ne voivat vastaanottaa pyyntöjä asiakkailta ja muilta palveluilta. Näiden päätepisteiden lisäksi palvelut on suojattu verkon suojaussäännöillä, jotka estävät pääsyn julkisesta Internetistä. Näennäisverkkojen tiedonsiirtoa rajoitetaan myös kunkin sisäisen palvelun oikeuksien perusteella.
Sovelluskerros varmistaa, että vuokraajat voivat käyttää tietoja vain omasta vuokraajastaan.
Todentaminen
Fabric käyttää Microsoft Entra ID:tä käyttäjien (tai palvelujen päänimien) todentamiseen. Todentamisen jälkeen käyttäjät saavat käyttöoikeustietueita Microsoft Entra -tunnuksesta. Fabric käyttää näitä tunnuksia toimenpiteiden suorittamiseen käyttäjän kontekstissa.
Microsoft Entra -tunnuksen keskeinen ominaisuus on ehdollinen käyttö. Ehdollinen käyttöoikeus varmistaa, että vuokraajat ovat suojattuja, koska he valvovat monimenetelmäistä todentamista, jolloin vain Microsoft Intunella rekisteröidyt laitteet voivat käyttää tiettyjä palveluita. Ehdollinen käyttöoikeus rajoittaa myös käyttäjien sijainteja ja IP-alueita.
Valtuutus
Metatietoympäristö tallentaa kaikki Fabric-käyttöoikeudet keskitetysti. Fabric-palvelut kyselevät metatietoympäristöstä pyydettäessä valtuutustietojen noutamista ja käyttäjäpyyntöjen valtuuttamista ja vahvistamista varten.
Suorituskykysyistä Fabric kapseloi joskus varmennustiedot allekirjoitettuihin tunnuksiin. Allekirjoitetut tunnukset myöntää vain taustakapasiteetin ympäristö, ja ne sisältävät käyttöoikeustietueen, valtuutustiedot ja muut metatiedot.
Tietojen sijainti
Fabricissa vuokraaja määritetään kotimetatietoympäristöklusteriin, joka sijaitsee yhdellä alueella, joka täyttää kyseisen alueen maantieteellisen alueen tietojen sijaintivaatimukset. Vuokraajan metatiedot, jotka voivat sisältää asiakastietoja, on tallennettu tähän klusteriin.
Asiakkaat voivat hallita työtilojensa sijaintia . He voivat paikantaa työtilansa samalle maantieteelliselle alueelle kuin metatietoympäristöklusteri, joko erikseen määrittämällä työtilansa kyseisen alueen kapasiteeteille tai implisiittisesti käyttämällä Fabric-kokeiluversiota, Power BI Prota tai käyttäjäkohtaista Power BI Premium -käyttöoikeustilaa. Jälkimmäisessä tapauksessa kaikki asiakastiedot tallennetaan ja käsitellään tällä yhdellä maantieteellisellä alueella. Lisätietoja on artikkelissa Microsoft Fabric -käsitteet ja -käyttöoikeudet.
Asiakkaat voivat luoda Multi-Geo-kapasiteetteja myös muilla alueilla kuin kotialueellaan. Tässä tapauksessa käsittely ja tallennus (mukaan lukien OneLake ja käyttökokemuskohtainen tallennus) sijaitsee Multi-Geo-alueella, mutta vuokraajan metatiedot pysyvät kotialueella. Asiakastiedot tallennetaan ja käsitellään vain näillä kahdella alueella. Lisätietoja on artikkelissa Fabricin Multi-Geo-tuen määrittäminen.
Tietojen käsittely
Tässä osiossa on yleiskatsaus siitä, miten tietojen käsittely toimii Fabricissa. Tässä kuvataan asiakastietojen tallennus, käsittely ja siirto.
Levossa säilytettävät tiedot
Kaikki Fabric-tietosäilöt salataan levossa Microsoftin hallitsemien avainten avulla. Fabric-tiedot sisältävät asiakastietoja sekä järjestelmätietoja ja metatietoja.
Vaikka tietoja voidaan käsitellä muistissa salaamattomassa tilassa, ne eivät koskaan säily pysyvästi tallennustilassa salaamattomassa tilassa.
Tietoja siirretään
Microsoftin palveluiden välillä siirrettävät tiedot salataan aina vähintään TLS 1.2:lla. Fabric neuvottelee TLS 1.3:n kanssa aina kun se on mahdollista. Microsoftin palveluiden välinen liikenne reitittää aina Microsoftin yleisen verkon kautta.
Saapuva Fabric-tietoliikenne myös pakottaa TLS 1.2:n ja neuvottelee TLS 1.3:sta aina, kun se on mahdollista. Lähtevä Fabric-viestintä asiakkaan omistamaan infrastruktuuriin suosii suojattuja protokollia, mutta se saattaa palata vanhoihin turvattomaan protokolliin (mukaan lukien TLS 1.0), kun uudempia protokollia ei tueta.
Telemetria
Telemetrian avulla säilytetään Fabric-ympäristön suorituskyky ja luotettavuus. Fabric-ympäristön telemetriasäilö on suunniteltu yhteensopivaksi data- ja tietosuojamääräysten kanssa kaikilla alueilla, joilla Fabric on saatavilla, mukaan lukien Euroopan unioni (EU). Lisätietoja on artikkelissa EU:n tietorajapalvelut.
OneLake
OneLake on yksittäinen, yhdistetty ja looginen Data Lake -tallennustila koko organisaatiolle, ja se valmistellaan automaattisesti jokaiselle Fabric-vuokraajalle. Se on rakennettu Azureen, ja se voi tallentaa minkä tahansa tyyppisen tiedoston, rakenteisen tai rakenteettomien. Lisäksi kaikki Fabric-kohteet, kuten varastot ja lakehouset, tallentavat tietonsa automaattisesti OneLakeen.
OneLake tukee samoja Azure Data Lake Storage Gen2 (ADLS Gen2) -ohjelmointirajapintoja ja SDK-sovelluksia, joten se on yhteensopiva olemassa olevien ADLS Gen2 -sovellusten kanssa, mukaan lukien Azure Databricks.
Lisätietoja on artikkelissa Fabric- ja OneLake-suojaus.
Työtilan suojaus
Työtilat edustavat OneLakeen tallennettujen tietojen ensisijaista suojausrajaa. Kukin työtila edustaa yhtä toimialuetta tai projektialuetta, jossa tiimit voivat tehdä yhteistyötä tietojen parissa. Voit hallita työtilan suojausta määrittämällä käyttäjiä työtilan rooleihin.
Lisätietoja on kohdassa Fabric- ja OneLake-suojaus (työtilan suojaus).
Kohteen suojaus
Työtilassa voit määrittää käyttöoikeuksia suoraan Fabric-kohteille, kuten varastoille ja lakehouse-taloille. Kohteen suojaus tarjoaa mahdollisuuden myöntää käyttöoikeus yksittäiseen Fabric-kohteeseen antamatta käyttöoikeutta koko työtilaan. Käyttäjät voivat määrittää kohteen käyttöoikeudet joko jakamalla kohteen tai hallitsemalla kohteen käyttöoikeuksia.
Yhteensopivuusresurssit
Fabric-palveluun sovelletaan Microsoftin verkkopalvelujen ehtoja ja Microsoftin yritystietosuojalausuntoa.
Tietojenkäsittelyn sijainti on Microsoftin verkkopalvelujen ehtojen ja tietojen suojauksen lisäyksen kohdassa Tietojen käsittelyn sijainti.
Yhteensopivuuden lisätietojen osalta Microsoft Trust Center on Ensisijainen resurssi Fabricille. Lisätietoja vaatimustenmukaisuudesta on Microsoftin yhteensopivuustarjonnassa.
Fabric-palvelu noudattaa SDL(Security Development Lifecycle) -elinkaarta, joka koostuu tiukoista suojauskäytännöistä, jotka tukevat suojauksen valvonta- ja vaatimustenmukaisuusvaatimuksia. SDL auttaa kehittäjiä kehittämään suojatumpia ohjelmistoja vähentämällä ohjelmistojen haavoittuvuuksien määrää ja vakavuutta ja pienentämällä samalla kehityskustannuksia. Lisätietoja on artikkelissa Microsoft Security Development Lifecycle Practices.
Liittyvä sisältö
Lisätietoja Fabric-suojauksesta on seuraavissa resursseissa.
- Microsoft Fabric -suojaus
- Microsoft Fabric päästä päähän -suojausskenaario
- OneLake-suojauksen yleiskatsaus
- Microsoft Fabric -käsitteet ja -käyttöoikeudet
- Kysyttävää? Kysy Microsoft Fabric -yhteisöltä.
- Ehdotuksia? Kerro ideasi Microsoft Fabricin parantamiseksi.