Scénario de sécurité de bout en bout Microsoft Fabric
La sécurité est un aspect clé de n’importe quelle solution d’analytique données, en particulier lorsqu’elle implique des données sensibles ou confidentielles. Pour cette raison, Microsoft Fabric propose un ensemble complet de fonctionnalités de sécurité qui vous permettent de protéger vos données au repos et en transit, ainsi que de contrôler l’accès et les autorisations pour vos utilisateurs et applications.
Dans cet article, vous allez découvrir les concepts et fonctionnalités de sécurité de Fabric qui peuvent vous aider à créer en toute confiance votre propre solution analytique avec Fabric.
Background
Cet article présente un scénario dans lequel vous êtes ingénieur Données qui travaille pour une organisation de soins de santé aux États-Unis. L’organisation collecte et analyse les données des patients provenant de différents systèmes, notamment les dossiers médicaux informatisés, les résultats de laboratoire, les déclarations de sinistre et les appareils portables.
Vous prévoyez de créer un Lakehouse à l’aide de l’architecture de médaillon dans Fabric, qui se compose de trois couches : bronze, argent et or.
- La couche bronze stocke les données brutes à mesure qu’elles arrivent des sources de données.
- La couche argent applique des vérifications de la qualité des données et des transformations pour préparer les données à des fins d’analyse.
- La couche or fournit des données agrégées et enrichies pour le reporting et la visualisation.
Bien que certaines sources de données se trouvent sur votre réseau sur site, d’autres se trouvent derrière des pare-feu et nécessitent un accès sécurisé et authentifié. Il existe également certaines sources de données gérées dans Azure, comme la base de données Azure SQL et le stockage Azure. Vous devez vous connecter à ces sources de données Azure de façon à ne pas exposer les données à l’Internet public.
Vous avez décidé d’utiliser Fabric, car il peut ingérer, stocker, traiter et analyser vos données en toute sécurité dans le cloud. Il est important de le faire tout en respectant les réglementations de votre secteur d’activité et les stratégies de votre organisation.
Étant donné que Fabric est un software as a service (SaaS), vous n’avez pas besoin d’approvisionner des ressources individuelles, telles que des ressources de stockage ou de calcul. Tout ce dont vous avez besoin est une capacité Fabric.
Vous devez configurer les exigences d’accès aux données. Plus précisément, vous devez vous assurer que seuls vous et vos collègues ingénieurs Données avez accès aux données dans les couches bronze et argent du lakehouse. Ces couches sont l’endroit où vous envisagez d’effectuer votre propre nettoyage des données, validation, transformation et enrichissement. Vous devez également restreindre l’accès aux données dans la couche or. Seuls les utilisateurs autorisés, y compris les analystes Données et les utilisateurs métier, doivent avoir accès à la couche or. Ils ont besoin de cet accès pour utiliser les données à diverses fins d’analyse, telles que la création de rapports, l’apprentissage automatique et l’analyse prédictive. L’accès aux données doit être plus restreint par le rôle et le service de l’utilisateur.
Se connecter à Fabric (protection entrante)
Vous avez d’abord configuré la protection entrante, qui concerne la façon dont vous et d’autres utilisateurs vous connectez à Fabric et y accédez.
Étant donné que Fabric est déployé sur un client Microsoft Entra, l’authentification et l’autorisation sont gérées par Microsoft Entra. Vous vous connectez avec un compte d’organisation Microsoft Entra (compte professionnel ou scolaire). Ensuite, vous réfléchissez à la façon dont d’autres utilisateurs se connecteront à Fabric.
Le client Microsoft Entra est une limite de sécurité d’identité sous le contrôle de votre service informatique. Dans cette limite de sécurité, l’administration des objets Microsoft Entra (tels que les comptes d’utilisateur) et la configuration des paramètres à l’échelle du client sont effectuées par vos administrateurs informatiques. Comme n’importe quel service SaaS, Fabric isole logiquement les clients. Les données et les ressources de votre client ne peuvent jamais être accessibles par d’autres clients, sauf si vous les autorisez explicitement à le faire.
Voici ce qui se passe lorsqu’un utilisateur se connecte à Fabric.
| Article | Description |
|---|---|
|
L’utilisateur ouvre un navigateur (ou une application cliente) et se connecte au portail Fabric. |
|
L’utilisateur est immédiatement redirigé vers Microsoft Entra ID et est invité à s’authentifier. L’authentification vérifie qu’il s’agit bien de la personne appropriée qui se connecte. |
|
Une fois l’authentification effectuée, le front-end Web reçoit la demande de l’utilisateur et fournit le contenu front-end (HTML et CSS) à partir de l’emplacement le plus proche. Il achemine également la requête vers la plateforme de métadonnées et la plateforme de capacité back-end. |
|
La plateforme de métadonnées, qui réside dans la région d’accueil de votre client, stocke les métadonnées de votre client, telles que les espaces de travail et les contrôles d’accès. Cette plateforme garantit que l’utilisateur est autorisé à accéder aux espaces de travail et aux éléments Fabric appropriés. |
|
La plateforme de capacité back-end effectue des opérations de calcul et stocke vos données. Elle se trouve dans la région de capacité. Lorsqu’un espace de travail est affecté à la capacité Fabric, toutes les données qui résident dans l’espace de travail, y compris le lac de données OneLake, sont stockées et traitées dans la région de capacité. |
La plateforme de métadonnées et la plateforme de capacité back-end s’exécutent chacune dans des réseaux virtuels sécurisés. Ces réseaux exposent une série de points de terminaison sécurisés sur Internet afin qu’ils puissent recevoir des demandes de utilisateurs et d’autres services. Outre ces points de terminaison, les services sont protégés par des règles de sécurité réseau qui bloquent l’accès à partir de l’Internet public.
Lorsque les utilisateurs se connectent à Fabric, vous pouvez appliquer d’autres couches de protection. De cette façon, votre client ne sera accessible qu’à certains utilisateurs et lorsque d’autres conditions, telles que l’emplacement réseau et la conformité des appareils, sont remplies. Cette couche de protection est appelée protection entrante.
Dans ce scénario, vous êtes responsable des informations sensibles sur les patients dans Fabric. Par conséquent, votre organisation a exigé que tous les utilisateurs qui accèdent à Fabric doivent effectuer l’authentification multifacteur (MFA) et se trouvent sur le réseau d’entreprise. La sécurisation de l’identité de l’utilisateur ne suffit pas.
Votre organisation offre également de la flexibilité aux utilisateurs en leur permettant de travailler depuis n’importe où et d’utiliser leurs appareils personnels. Étant donné que Microsoft Intune prend en charge la fonctionnalité BYOD (Apportez votre propre appareil), vous inscrivez des appareils utilisateur approuvés dans Intune.
De plus, vous devez vous assurer que ces appareils sont conformes aux stratégies de l’organisation. Plus précisément, ces stratégies nécessitent que les appareils puissent se connecter uniquement lorsqu’ils disposent du système d’exploitation le plus récent et des correctifs de sécurité les plus récents. Vous configurez ces exigences de sécurité à l’aide de l’accès conditionnel Microsoft Entra.
L’accès conditionnel offre plusieurs façons de sécuriser votre client. Vous pouvez :
- accorder ou bloquer l’accès par emplacement réseau ;
- bloquer l’accès aux appareils qui s’exécutent sur des systèmes d’exploitation non pris en charge ;
- exiger un appareil conforme, un appareil adhérant à Intune ou l’authentification multifacteur pour les utilisateurs.
- Et plus encore.
Dans le cas où vous devez verrouiller l’intégralité de votre client Fabric, vous pouvez utiliser un réseau virtuel et bloquer l’accès à Internet public. L’accès à Fabric n’est alors autorisé qu’à partir de ce réseau virtuel sécurisé. Cette exigence est configurée en activant des liaisons privées au niveau du client pour Fabric. Cela garantit que tous les points de terminaison Fabric sont résolus en une adresse IP privée dans votre réseau virtuel, y compris l’accès à tous vos rapports Power BI. (L’activation des points de terminaison privés a un impact sur de nombreux éléments Fabric. Vous devez donc lire attentivement cet article avant de les activer.)
Sécuriser l’accès aux données en dehors de Fabric (protection sortante)
Ensuite, vous configurez la protection sortante, qui concerne l’accès sécurisé aux données derrière des pare-feu ou des points de terminaison privés.
Votre organisation dispose de sources de données se trouvant sur votre réseau sur site. Étant donné que ces sources de données se trouvent derrière des pare-feu, Fabric nécessite un accès sécurisé. Pour permettre à Fabric de se connecter en toute sécurité à votre source de données locale, vous installez une passerelle de données locale.
La passerelle peut être utilisée par des flux de données Data Factory et des pipelines de données pour ingérer, préparer et transformer les données sur site, puis les charger sur OneLake avec une activité Copy. Data Factory prend en charge un ensemble complet de connecteurs qui vous permettent de vous connecter à plus de 100 magasins de données différents.
Vous créez ensuite des flux de données avec Power Query, ce qui offre une expérience intuitive avec une interface low-code. Vous l’utilisez pour ingérer des données à partir de vos sources de données et les transformer à l’aide de l’une des 300 transformations de données et plus . Vous générez et orchestrez ensuite un processus complexe d’extraction, de transformation et de chargement (ETL) avec des pipelines de données. Vous pouvez actualiser les flux de données et effectuer de nombreuses tâches différentes à grande échelle, en traitant des pétaoctets de données.
Dans ce scénario, vous avez déjà plusieurs processus ETL. Tout d’abord, vous disposez de certains pipelines dans Azure Data Factory (ADF). Actuellement, ces pipelines ingèrent vos données sur site et les chargent dans un lac de données dans Stockage Azure à l’aide du runtime d’intégration auto-hébergé. Ensuite, vous disposez d’un cadre d’ingestion des données dans Azure Databricks écrit en Spark.
Maintenant que vous utilisez Fabric, vous redirigez simplement la destination de sortie des pipelines ADF pour utiliser le connecteur Lakehouse. En outre, pour le cadre d’ingestion dans Azure Databricks, vous utilisez les API OneLake qui prennent en charge le pilote Azure Blog Filesystem (ABFS) pour intégrer OneLake à Azure Databricks. (Vous pouvez également utiliser la même méthode pour intégrer OneLake à Azure Synapse Analytics à l’aide d’Apache Spark.)
Vous disposez également de certaines sources de données qui se trouvent dans la base de données Azure SQL. Vous devez vous connecter à ces sources de données à l’aide de points de terminaison privés. Dans ce cas, vous décidez de configurer une passerelle de données de réseau virtuel (VNet) et d’utiliser des flux de données pour vous connecter en toute sécurité à vos données Azure et les charger dans Fabric. Avec les passerelles de données de réseau virtuel, vous n’avez pas besoin d’approvisionner et de gérer l’infrastructure (comme vous devez le faire pour la passerelle de données locale). Cela est dû au fait que Fabric crée les conteneurs dans votre réseau virtuel Azure en toute sécurité et dynamiquement.
Si vous développez ou migrez votre cadre d’ingestion des données dans Spark, vous pouvez vous connecter à des sources de données dans Azure en toute sécurité et en privé à partir de notebooks et de tâches Fabric à l’aide de points de terminaison privés managés. Les points de terminaison privés managés peuvent être créés dans vos espaces de travail Fabric pour se connecter à des sources de données dans Azure qui ont bloqué l’accès à Internet public. Ils prennent en charge des points de terminaison privés, come la base de données Azure SQL et le stockage Azure. Les points de terminaison privés managés sont approvisionnés et gérés dans un VNET managé dédié à un espace de travail Fabric. Contrairement à vos réseaux virtuels Azure standard, les VNET managés et les points de terminaison privés managés ne se trouvent pas dans le Portail Azure. En effet, ils sont complètement managés par Fabric et vous les trouverez alors dans les paramètres de votre espace de travail.
Étant donné que vous avez déjà beaucoup de données stockées dans des comptes Azure Data Lake Storage (ADLS) Gen2, vous devez maintenant y connecter uniquement des charges de travail Fabric, telles que Spark et Power BI. En outre, grâce aux raccourcis ADLS OneLake, vous pouvez facilement vous connecter à vos données existantes à partir de n’importe quelle expérience Fabric, comme les pipelines d’intégration de données, les notebooks d’ingénierie de données et les rapports Power BI.
Les espaces de travail Fabric qui ont une identité d’espace de travail peuvent accéder en toute sécurité aux comptes de stockage ADLS Gen2, même lorsque vous avez désactivé le réseau public. Cela est possible grâce à l’accès à un espace de travail approuvé. Il permet à Fabric de se connecter en toute sécurité aux comptes de stockage à l’aide d’un réseau principal Microsoft. Cela signifie que la communication n’utilise pas l’Internet public, ce qui vous permet de désactiver l’accès du réseau public au compte de stockage, tout en autorisant certains espaces de travail Fabric à s’y connecter.
Conformité
Vous souhaitez utiliser Fabric pour ingérer, stocker, traiter et analyser vos données en toute sécurité dans le cloud, tout en conservant la conformité avec les réglementations de votre secteur d’activité et les stratégies de votre organisation.
Fabric fait partie des principaux services de Microsoft Azure et est régi par les Conditions d’utilisation de Microsoft Online Services et la Déclaration de confidentialité de Microsoft Enterprise. Bien que les certifications se produisent généralement après le lancement d’un produit (en disponibilité générale ou GA), Microsoft intègre dès le départ les meilleures pratiques de conformité tout au long du cycle de vie du développement. Cette approche proactive garantit une base solide pour les certifications futures, même si elles suivent les cycles d’audit établis. En termes plus simples, nous donnons la priorité à la conformité dès le début, même si la certification formelle vient plus tard.
Fabric est conforme à de nombreuses normes du secteur d’activité telles que ISO 27001, 27017, 27018 et 27701. Fabric est également conforme HIPAA, ce qui est essentiel à la confidentialité et à la sécurité des données de santé. Vous pouvez consulter l’annexe A et B dans les offres de conformité Microsoft Azure pour obtenir des informations détaillées sur les services cloud qui sont concernés par les certifications. Vous pouvez également accéder à la documentation d’audit à partir du portail d’approbation de services (STP).
La conformité est une responsabilité partagée. Pour se conformer aux lois et réglementations, les fournisseurs de services cloud et leurs clients assument une responsabilité partagée pour s’assurer que chacun fait sa part. Quand vous considérez et évaluez les services de cloud public, il est essentiel de comprendre le modèle de responsabilité partagée et de savoir distinguer les tâches de sécurité qui dépendent du fournisseur de cloud de celles qui vous incombent.
Gestion des données
Étant donné que vous traitez des informations sensibles sur les patients, vous devez vous assurer que toutes vos données sont suffisamment protégées au repos et en transit.
Le chiffrement au repos offre une protection des données pour les données stockées (au repos). Les attaques contre les données au repos sont notamment des tentatives d’obtenir un accès physique au matériel sur lequel les données sont stockées puis de compromettre les données sur ce matériel. Le chiffrement au repos est conçu pour empêcher un attaquant d’accéder aux données non chiffrées en garantissant que les données sont chiffrées quand elles sont sur le disque. Le chiffrement au repos est une mesure obligatoire requise pour la conformité à certaines des normes et réglementations du secteur, telles que l’Organisation internationale de normalisation (ISO) et la loi américaine HIPAA (Health Insurance Portability Accountability Act).
Tous les magasins de données Fabric sont chiffrés au repos à l’aide de clés gérées par Microsoft, qui assurent la protection des données client et également des données système et des métadonnées. Les données ne sont jamais conservées dans un stockage permanent alors qu’elles sont dans un état non chiffré. Avec les clés gérées par Microsoft, vous bénéficiez du chiffrement de vos données au repos sans risque ni coût liés à une solution de gestion de clés personnalisée.
Les données en transit sont également chiffrées. Tout le trafic entrant vers les points de terminaison Fabric à partir des systèmes clients applique un minimum de protocole TLS 1.2. Il négocie aussi vers TLS 1.3 dans la mesure du possible. TLS fournit une authentification forte, la confidentialité et l’intégrité des messages (activation de la détection de falsification et d’interception des messages), l’interopérabilité, la flexibilité des algorithmes, ainsi que la facilité de déploiement et d’utilisation.
En plus du chiffrement, le trafic réseau entre services Microsoft s’achemine toujours sur le réseau mondial Microsoft, qui est l’un des plus grands réseaux principaux du monde.
Chiffrement de clé gérée par le client (CMK) et Microsoft Fabric
Les clés gérées par le client (CMK) vous permettent de chiffrer les données au repos à l'aide de vos propres clés. Par défaut, Microsoft Fabric chiffre les données au repos à l'aide de clés gérées par la plateforme. Dans ce modèle, Microsoft est responsable de tous les aspects de la gestion des clés et les données au repos sur OneLake sont chiffrées à l'aide de ses clés. Du point de vue de la conformité, les clients peuvent être tenus d'utiliser CMK pour chiffrer les données au repos. Dans le modèle CMK, le client suppose un contrôle total de la clé et utilise sa ou ses clés pour chiffrer les données au repos.
Si vous avez besoin d'utiliser CMK pour chiffrer les données au repos, nous vous recommandons d'utiliser des services de stockage cloud (ADLS Gen2, AWS S3, GCS) avec le chiffrement CMK activé et d'accéder aux données à partir de Microsoft Fabric en utilisant les raccourcis OneLake. Dans ce modèle, vos données continuent de résider sur un service de stockage cloud ou une solution de stockage externe où le chiffrement au repos à l'aide de CMK est activé, et vous pouvez effectuer des opérations de lecture sur place à partir de Fabric tout en restant conforme. Une fois qu'un raccourci a été créé, au sein de Fabric, les données peuvent être consultées par d'autres expériences Fabric.
Certaines considérations doivent être prises en compte lors de l'utilisation de ce modèle :
- Utilisez le modèle présenté ici pour les données qui doivent être chiffrées au repos à l'aide de CMK. Les données qui ne répondent pas à cette exigence peuvent être chiffrées au repos à l'aide de clés gérées par la plateforme, et ces données peuvent être stockées nativement sur Microsoft Fabric OneLake.
- Fabric Lakehouse et la base de données KQL sont les deux charges de travail de Microsoft Fabric qui prennent en charge la création de raccourcis. Dans ce modèle où les données continuent de résider sur un service de stockage externe où le CMK est activé, vous pouvez utiliser des raccourcis dans les Lakehouses et les bases de données KQL pour amener vos données dans Microsoft Fabric à des fins d'analyse, mais les données sont physiquement stockées en dehors de OneLake où le chiffrement CMK est activé.
- Le raccourci ADLS Gen2 prend en charge l'écriture et en utilisant ce type de raccourci, vous pouvez également écrire des données vers le service de stockage, et elles seront chiffrées au repos à l'aide de CMK. Lors de l'utilisation de CMK avec ADLS Gen2, les considérations suivantes s'appliquent à Azure Key Vault (AKV) et au stockage Azure.
- Si vous utilisez une solution de stockage tierce compatible avec AWS S3 (Cloudflare, Qumolo Core avec point de terminaison public, Public MinIO et Dell ECS avec point de terminaison public) et que le CMK est activé, le modèle présenté dans ce document peut être étendu à ces solutions de stockage tierces. En utilisant un raccourci compatible avec Amazon S3, vous pouvez apporter des données dans Fabric en utilisant un raccourci de ces solutions. Comme pour les services de stockage cloud, vous pouvez stocker les données sur un support externe avec un chiffrement CMK, et effectuer des lectures sur place.
- AWS S3 prend en charge le chiffrement au repos à l'aide de clés gérées par le client. Fabric peut effectuer des lectures sur place sur des compartiments S3 à l'aide d'un raccourci S3 ; cependant, les opérations d'écriture à l'aide d'un raccourci vers AWS S3 ne sont pas prises en charge.
- Le stockage cloud Google prend en charge le chiffrement de données à l’aide de clés gérées par le client. Fabric peut effectuer des lectures sur place sur GCS ; cependant, les opérations d'écriture à l'aide d'un raccourci vers GCS ne sont pas prises en charge.
- Activez l'audit pour Microsoft Fabric afin d'assurer le suivi des activités.
- Dans Microsoft Fabric, Power BI prend en charge la clé gérée par le client avec Apportez vos propres clés de chiffrement pour Power BI.
- Désactivez la fonctionnalité de mise en cache des raccourcis pour les raccourcis S3, GCS et compatibles S3. étant donné que les données mises en cache sont conservées sur OneLake.
Résidence des données
Comme vous traitez des données des patients, pour des raisons de conformité, votre organisation a exigé que ces données ne franchissent jamais la limite géographique des États-Unis. Les principales opérations de votre organisation ont lieu à New York et à votre siège social à Seattle. Lors de la configuration de Power BI, votre organisation a choisi la région USA Est comme région d’accueil du client. Pour vos opérations, vous avez créé une capacité Fabric dans la région USA Ouest, qui est plus proche de vos sources de données. Étant donné que OneLake est disponible dans le monde entier, vous êtes préoccupé de savoir si vous pouvez respecter les stratégies de résidence des données de votre organisation lorsque vous utilisez Fabric.
Dans Fabric, vous apprenez que vous pouvez créer des capacités multigéographiques, qui sont des capacités situées dans d’autres zones géographiques que la région d’origine de votre client. Vous affectez vos espaces de travail Fabric à ces capacités. Dans ce cas, le calcul et le stockage (y compris OneLake et le stockage spécifique à l’expérience) pour tous les éléments de l’espace de travail se trouvent dans la région multigéographique, alors que les métadonnées de votre client restent dans la région d’origine. Vos données ne seront stockées et traitées que dans ces deux zones géographiques, ce qui garantit que les exigences de résidence des données de votre organisation sont remplies.
Contrôle d’accès
Vous devez vous assurer que seuls vous et vos collègues ingénieurs Données avez un contrôle total sur les données dans les couches bronze et argent du lakehouse. Ces couches vous permettent d’effectuer votre propre nettoyage des données, validation, transformation et enrichissement. Vous devez restreindre l’accès aux données de la couche or aux seuls utilisateurs autorisés, tels que les analystes Données et les utilisateurs métier, qui peuvent utiliser les données à diverses fins d’analyse, telles que le reporting et l’analyse.
Fabric propose un modèle d’autorisation flexible qui vous permet de contrôler l’accès aux éléments et aux données de vos espaces de travail. Un espace de travail est une entité logique sécurisable pour regrouper des éléments dans Fabric. Vous utilisez des rôles d’espace de travail pour contrôler l’accès aux éléments dans les espaces de travail. Les quatre rôles de base d’un espace de travail sont les suivants :
- Administrateur : peut afficher, modifier, partager et gérer tout le contenu de l’espace de travail, y compris la gestion des autorisations.
- Membre : peut afficher, modifier et partager tout le contenu dans l’espace de travail.
- Contributeur : peut afficher et modifier tout le contenu de l’espace de travail.
- Visionneuse : peut afficher tout le contenu de l’espace de travail, mais ne peut pas le modifier.
Dans ce scénario, vous créez trois espaces de travail, un pour chacune des couches de médaillon (bronze, argent et or). Étant donné que vous avez créé l’espace de travail, vous êtes automatiquement associé au rôle d’administrateur.
Vous ajoutez ensuite un groupe de sécurité au rôle Collaborateur de ces trois espaces de travail. Étant donné que le groupe de sécurité inclut vos collègues ingénieurs en tant que membres, ils sont en mesure de créer et de modifier des éléments Fabric dans ces espaces de travail, mais ils ne peuvent pas partager d’éléments toute autre personne. Ils ne peuvent pas non plus accorder l’accès à d’autres utilisateurs.
Dans les espaces de travail bronze et argent, vous et vos collègues ingénieurs créez des éléments Fabric pour ingérer, stocker et traiter les données. Les éléments Fabric comprennent un lakehouse, des pipelines et des notebooks. Dans l’espace de travail or, vous créez deux lakehouses, plusieurs pipelines et notebooks, et un modèle sémantique Direct Lake, qui offre des performances de requête rapides des données stockées dans l’une des lakehouses.
Vous devez ensuite tenir compte de la façon dont les analystes Données et les utilisateurs métier peuvent accéder aux données auxquelles ils sont autorisés à accéder. Plus précisément, ils peuvent uniquement accéder aux données pertinentes pour leur rôle et leur service.
Le premier lakehouse contient les données réelles et n’applique aucune autorisation de données dans son point de terminaison d’analytique SQL. Le second lakehouse contient des raccourcis vers le premier lakehouse et applique des autorisations de données granulaires dans son point de terminaison d’analytique SQL. Le modèle sémantique se connecte au premier lakehouse. Pour appliquer les autorisations de données appropriées pour les utilisateurs (afin qu’ils puissent uniquement accéder aux données pertinentes pour leur rôle et leur service), vous ne partagez pas le premier lakehouse avec les utilisateurs. Au lieu de cela, vous partagez uniquement le modèle sémantique Direct Lake et le second lakehouse qui applique des autorisations de données dans son point de terminaison d’analytique SQL.
Vous configurez le modèle sémantique pour utiliser une identité fixe, puis implémentez la sécurité au niveau des lignes (RLS) dans le modèle sémantique afin d’appliquer des règles de modèle pour régir les données auxquelles les utilisateurs peuvent accéder. Vous partagez ensuite uniquement le modèle sémantique avec les analystes Données et les utilisateurs métier, car ils ne doivent pas accéder aux autres éléments de l’espace de travail, tels que les pipelines et les notebooks. Enfin, vous accordez l’autorisation de génération sur le modèle sémantique afin que les utilisateurs puissent créer des rapports Power BI. De cette façon, le modèle sémantique devient un modèle sémantique partagé et une source pour leurs rapports Power BI.
Vos analystes de données ont besoin d’accéder au deuxième lakehouse dans l’espace de travail or. Ils se connectent au point de terminaison d’analytique SQL de ce lakehouse pour écrire des requêtes SQL et effectuer une analyse. Par conséquent, vous partagez ce lakehouse avec eux et fournissez l’accès uniquement aux objets dont ils ont besoin (comme les tables, les lignes et les colonnes avec des règles de masquage) dans le point de terminaison d'analytique SQL de Lakehouse à l’aide du modèle de sécurité SQL. Les analystes Données peuvent désormais accéder uniquement aux données pertinentes pour leur rôle et leur service, et ils ne peuvent pas accéder aux autres éléments de l’espace de travail, tels que les pipelines et les notebooks.
Scénarios de sécurité courants
Le tableau suivant répertorie les scénarios de sécurité courants et les outils que vous pouvez utiliser pour les accomplir.
| Scénario | outils | Direction |
|---|---|---|
| Je suis développeur ETL et je souhaite charger de grands volumes de données vers Fabric à grande échelle à partir de plusieurs systèmes et tables sources. Les données sources sont sur site (ou d’autres clouds) et se trouvent derrière des pare-feu et/ou des sources de données Azure avec des points de terminaison privés. | Utilisez la passerelle de données locale avec des pipelines de données (activité Copy). | Règle de trafic sortant |
| Je suis un utilisateur avec pouvoir et je souhaite charger des données vers Fabric à partir de systèmes sources auxquels j’ai accès. Étant donné que je ne suis pas développeur, je dois transformer les données à l’aide d’une interface low-code. Les données sources sont sur site (ou d’autres clouds) et se trouvent derrière des pare-feu. | Utilisez la passerelle de données locale avec Dataflow Gen 2. | Règle de trafic sortant |
| Je suis un utilisateur avec pouvoir et je souhaite charger des données dans Fabric à partir de systèmes sources auxquels j’ai accès. Les données sources se trouvent dans Azure derrière des points de terminaison privés et je ne souhaite pas installer ni gérer l’infrastructure de passerelle de données locale. | Utilisez une passerelle de données VNet avec Dataflow Gen2. | Règle de trafic sortant |
| Je suis un développeur pouvant écrire du code d’ingestion des données à l’aide de notebooks Spark. Je souhaite charger des données dans Fabric à partir de systèmes sources auxquels j’ai accès. Les données sources se trouvent dans Azure derrière des points de terminaison privés et je ne souhaite pas installer ni gérer l’infrastructure de passerelle de données locale. | Utilisez des notebooks Fabric avec des points de terminaison privés Azure. | Règle de trafic sortant |
| Je possède de nombreux pipelines existants dans Azure Data Factory (ADF) et des pipelines Synapse qui se connectent à mes sources de données et chargent des données dans Azure. Je souhaite maintenant modifier ces pipelines pour charger des données dans Fabric. | Utilisez le connecteur Lakehouse dans les pipelines existants. | Règle de trafic sortant |
| J’ai une infrastructure d’ingestion de données développée dans Spark qui se connecte à mes sources de données en toute sécurité et les charge dans Azure. Je l’exécute sur Azure Databricks et/ou Synapse Spark. Je souhaite continuer à utiliser Azure Databricks et/ou Synapse Spark pour charger des données dans Fabric. | Utiliser OneLake et l’API Azure Data Lake Storage (ADLS) Gen2 (pilote Azure Blob Filesystem) | Règle de trafic sortant |
| Je souhaite m’assurer que mes points de terminaison Fabric sont protégés contre l’Internet public. | En tant que service SaaS, le back-end Fabric est déjà protégé de l’Internet public. Pour plus de protection, utilisez des stratégies d’accès conditionnel Microsoft Entra pour Fabric et/ou activez des liaisons privées au niveau du client pour Fabric et bloquez l’accès à l’Internet public. | Entrante |
| Je souhaite m’assurer que Fabric est accessible uniquement à partir de mon réseau d’entreprise et/ou à partir d’appareils conformes. | Utilisez des stratégies d’accès conditionnel Microsoft Entra pour Fabric. | Entrante |
| Je souhaite m’assurer que toute personne accédant à Fabric doit effectuer une authentification multifacteur. | Utilisez des stratégies d’accès conditionnel Microsoft Entra pour Fabric. | Entrante |
| Je souhaite verrouiller l’intégralité de mon client Fabric de l’Internet public et autoriser l’accès uniquement à partir de mes réseaux virtuels. | Activez les liaisons privées au niveau du client pour Fabric et bloquez l’accès à l’Internet public. | Entrante |
Contenu connexe
Pour plus d’informations sur la sécurité Fabric, consultez les ressources suivantes :
- Sécurité dans Microsoft Fabric
- Vue d’ensemble de la sécurité OneLake
- Licences et concepts Microsoft Fabric
- Des questions ? Essayez d’interroger la communauté Microsoft Fabric.
- Vous avez des suggestions ? Partagez vos idées pour améliorer Microsoft Fabric.