Del via

Grunnleggende om Microsoft Fabric-sikkerhet

  • Artikkel

Denne artikkelen presenterer et stort perspektiv på Microsoft Fabric-sikkerhetsarkitekturen ved å beskrive hvordan de viktigste sikkerhetsflytene i systemet fungerer. Den beskriver også hvordan brukere godkjenner med Fabric, hvordan datatilkoblinger etableres, og hvordan Fabric lagrer og flytter data gjennom tjenesten.

Artikkelen er primært rettet mot Fabric-administratorer, som er ansvarlige for å overvåke Fabric i organisasjonen. Det er også relevant for organisasjoners sikkerhetsinteressenter, inkludert sikkerhetsadministratorer, nettverksadministratorer, Azure-administratorer, arbeidsområdeadministratorer og databaseadministratorer.

Fabric-plattform

Microsoft Fabric er en alt-i-ett-analyseløsning for bedrifter som dekker alt fra databevegelse til datavitenskap, sanntidsanalyse og forretningsintelligens (BI). Fabric-plattformen består av en rekke tjenester og infrastrukturkomponenter som støtter den felles funksjonaliteten for alle stoffopplevelser. Samlet tilbyr de et omfattende sett med analyseopplevelser som er utformet for å fungere sammen sømløst. Blant opplevelsene finner du Lakehouse, Data Factory, Fabric Dataingeniør ing, Fabric Data Warehouse, Power BI og andre.

Med Fabric trenger du ikke å sette sammen forskjellige tjenester fra flere leverandører. I stedet drar du nytte av et svært integrert, ende-til-ende og brukervennlig produkt som er utformet for å forenkle analysebehovene dine. Stoffet ble designet fra begynnelsen for å beskytte sensitive eiendeler.

Fabric-plattformen er bygget på et grunnlag av programvare som en tjeneste (SaaS), som leverer pålitelighet, enkelhet og skalerbarhet. Den er bygget på Azure, som er Microsofts offentlige databehandlingsplattform for skyen. Tradisjonelt har mange dataprodukter vært plattform som en tjeneste (PaaS), som krever at en administrator av tjenesten konfigurerer sikkerhet, samsvar og styring for hver tjeneste. Fordi Fabric er en SaaS-tjeneste, er mange av disse funksjonene innebygd i SaaS-plattformen og krever ingen konfigurasjon eller minimal konfigurasjon.

Arkitektonisk diagram

Det arkitektoniske diagrammet nedenfor viser en representasjon av stoffsikkerhetsarkitekturen på høyt nivå.

Diagrammet viser en representasjon på høyt nivå av fabric-sikkerhetsarkitekturen.

Det arkitektoniske diagrammet viser følgende konsepter.

  1. En bruker bruker en nettleser eller et klientprogram, for eksempel Power BI Desktop, til å koble til Fabric-tjenesten.

  2. Godkjenning håndteres av Microsoft Entra ID, tidligere kjent som Azure Active Directory, som er den skybaserte identitets- og tilgangsadministrasjonstjenesten som godkjenner bruker- eller tjenestekontohaveren og administrerer tilgang til Fabric.

  3. Webfronten mottar brukerforespørsler og forenkler pålogging. Den ruter også forespørsler og serverer frontinnhold til brukeren.

  4. Metadataplattformen lagrer tenantmetadata, som kan omfatte kundedata. Stofftjenester spør denne plattformen ved behov for å hente autorisasjonsinformasjon og godkjenne og validere brukerforespørsler. Det er plassert i tenantens hjemområde.

  5. Bakkapasitetsplattformen er ansvarlig for databehandlingsoperasjoner og for lagring av kundedata, og den er plassert i kapasitetsområdet. Den drar nytte av Azure-kjernetjenester i dette området etter behov for spesifikke stoffopplevelser.

Infrastrukturtjenester for stoffplattformer er multitenant. Det er logisk isolasjon mellom leiere. Disse tjenestene behandler ikke komplekse brukerinndata og er alle skrevet i administrert kode. Plattformtjenester kjører aldri en brukerskrevet kode.

Metadataplattformen og bakkapasitetsplattformen kjører hver i sikrede virtuelle nettverk. Disse nettverkene viser en rekke sikre endepunkter til Internett, slik at de kan motta forespørsler fra kunder og andre tjenester. I tillegg til disse endepunktene er tjenestene beskyttet av nettverkssikkerhetsregler som blokkerer tilgang fra det offentlige Internett. Kommunikasjon i virtuelle nettverk er også begrenset basert på rettigheten til hver interne tjeneste.

Programlaget sikrer at leiere bare får tilgang til data fra sin egen leier.

Autentisering

Fabric er avhengig av Microsoft Entra ID for å godkjenne brukere (eller tjenestekontohavere). Når de godkjennes, får brukere tilgangstokener fra Microsoft Entra ID. Fabric bruker disse tokenene til å utføre operasjoner i konteksten til brukeren.

En viktig funksjon i Microsoft Entra ID er betinget tilgang. Betinget tilgang sikrer at leiere er sikre ved å fremtvinge godkjenning med flere faktorer, slik at bare Registrerte Microsoft Intune-enheter får tilgang til bestemte tjenester. Betinget tilgang begrenser også brukerplasseringer og IP-områder.

Autorisasjon

Alle Fabric-tillatelser lagres sentralt av metadataplattformen. Stofftjenester spør metadataplattformen ved behov for å hente autorisasjonsinformasjon og godkjenne og validere brukerforespørsler.

Av ytelsesårsaker omslutter Fabric noen ganger autorisasjonsinformasjon i signerte tokener. Signerte tokener utstedes bare av bakkapasitetsplattformen, og de inkluderer tilgangstoken, autorisasjonsinformasjon og andre metadata.

Datalagring

I Fabric tilordnes en leier til en plattformklynge for metadata for hjemmet, som ligger i ett enkelt område som oppfyller kravene til datalagring i geografien i området. Leiermetadata, som kan inkludere kundedata, lagres i denne klyngen.

Kunder kan kontrollere hvor arbeidsområdene er plassert. De kan velge å finne arbeidsområdene sine i samme geografi som metadataplattformklyngen, enten eksplisitt ved å tilordne arbeidsområdene sine på kapasiteter i området eller implisitt ved hjelp av Fabric Trial, Power BI Pro eller Power BI Premium per bruker-lisensmodus. I det siste tilfellet lagres og behandles alle kundedata i denne geografien. Hvis du vil ha mer informasjon, kan du se Microsoft Fabric-konsepter og -lisenser.

Kunder kan også opprette multi-geo-kapasiteter som er plassert i geografiske områder enn hjemmeområdet. I dette tilfellet er databehandling og lagring (inkludert OneLake og opplevelsesspesifikk lagring) plassert i multi-geo-området, men tenantmetadataene forblir i hjemområdet. Kundedata lagres og behandles bare i disse to geografiene. Hvis du vil ha mer informasjon, kan du se Konfigurere Multi-Geo-støtte for Fabric.

Datahåndtering

Denne delen gir en oversikt over hvordan databehandling fungerer i Fabric. Den beskriver lagring, behandling og flytting av kundedata.

Inaktive data

Alle Fabric-datalagre krypteres i ro ved hjelp av Microsoft-administrerte nøkler. Stoffdata inkluderer kundedata samt systemdata og metadata.

Selv om data kan behandles i minnet i en ukryptert tilstand, beholdes den aldri til permanent lagring mens de er i ukryptert tilstand.

Data under overføring

Data i transitt mellom Microsoft-tjenester krypteres alltid med minst TLS 1.2. Fabric forhandler til TLS 1.3 når det er mulig. Trafikk mellom Microsoft-tjenester ruter alltid over det globale Microsoft-nettverket.

Inngående stoffkommunikasjon håndhever også TLS 1.2 og forhandler til TLS 1.3, når det er mulig. Utgående Stoff-kommunikasjon til kundeeid infrastruktur foretrekker sikre protokoller, men kan falle tilbake til eldre, usikre protokoller (inkludert TLS 1.0) når nyere protokoller ikke støttes.

Telemetri

Telemetri brukes til å opprettholde ytelsen og påliteligheten til Fabric-plattformen. Telemetributikken for Fabric-plattformen er utformet for å være i samsvar med data- og personvernforskrifter for kunder i alle områder der Fabric er tilgjengelig, inkludert EU. Hvis du vil ha mer informasjon, kan du se EUs datagrensetjenester.

OneLake

OneLake er en enkel, enhetlig, logisk datainnsjø for hele organisasjonen, og den klargjøres automatisk for hver Fabric-leier. Den er bygget på Azure, og den kan lagre alle typer filer, strukturerte eller ustrukturerte. Også alle Fabric-elementer, som varehus og lakehouses, lagrer automatisk dataene sine i OneLake.

OneLake støtter de samme Azure Data Lake Storage Gen2 (ADLS Gen2)-API-ene og SDK-ene, derfor er den kompatibel med eksisterende ADLS Gen2-programmer, inkludert Azure Databricks.

Hvis du vil ha mer informasjon, kan du se Fabric og OneLake security.

Arbeidsområdesikkerhet

Arbeidsområder representerer den primære sikkerhetsgrensen for data som er lagret i OneLake. Hvert arbeidsområde representerer ett enkelt domene eller prosjektområde der team kan samarbeide om data. Du administrerer sikkerhet i arbeidsområdet ved å tilordne brukere til arbeidsområderoller.

Hvis du vil ha mer informasjon, kan du se Fabric og OneLake security (Arbeidsområdesikkerhet).

Elementsikkerhet

I et arbeidsområde kan du tilordne tillatelser direkte til Fabric-elementer, for eksempel lagre og lakehouses. Elementsikkerhet gir fleksibilitet til å gi tilgang til et individuelt stoffelement uten å gi tilgang til hele arbeidsområdet. Brukere kan konfigurere per element-tillatelser enten ved å dele et element eller ved å administrere tillatelsene til et element.

Samsvarsressurser

Fabric-tjenesten er underlagt vilkårene for Microsoft Online Services og Personvernerklæringen for Microsoft Enterprise.

Hvis du vil se plasseringen av databehandling, kan du se vilkårene for plassering av databehandling i vilkårene for Microsoft Online Services og til databeskyttelsestillegget.

For samsvarsinformasjon er Microsoft Trust Center den primære ressursen for Fabric. Hvis du vil ha mer informasjon om samsvar, kan du se Microsofts samsvarstilbud.

Fabric-tjenesten følger sikkerhetsutviklingens livssyklus (SDL), som består av et sett med strenge sikkerhetspraksiser som støtter sikkerhetssikring og samsvarskrav. SDL hjelper utviklere med å bygge sikrere programvare ved å redusere antallet og alvorlighetsgraden av sårbarheter i programvaren, samtidig som utviklingskostnadene reduseres. Hvis du vil ha mer informasjon, kan du se Microsofts livssykluspraksis for sikkerhetsutvikling.

Relatert innhold

Hvis du vil ha mer informasjon om stoffsikkerhet, kan du se følgende ressurser.