Microsoft Fabric ende-til-ende sikkerhetsscenario
Sikkerhet er et viktig aspekt ved enhver dataanalyseløsning, spesielt når den involverer sensitive eller konfidensielle data. Av denne grunn tilbyr Microsoft Fabric et omfattende sett med sikkerhetsfunksjoner som gjør det mulig å beskytte dataene dine i ro og i transitt, samt kontrollere tilgang og tillatelser for brukere og programmer.
I denne artikkelen vil du lære om fabric sikkerhetskonsepter og funksjoner som kan hjelpe deg med å trygt bygge din egen analytiske løsning med Fabric.
Bakgrunn
Denne artikkelen presenterer et scenario der du er en dataingeniør som jobber for en helseorganisasjon i USA. Organisasjonen samler inn og analyserer pasientdata som er hentet fra ulike systemer, inkludert elektroniske helsejournaler, laboratorieresultater, forsikringskrav og bærbare enheter.
Du planlegger å bygge et innsjøhus ved hjelp av medaljongarkitekturen i Fabric, som består av tre lag: bronse, sølv og gull.
- Bronselaget lagrer rådataene etter hvert som de kommer fra datakildene.
- Sølvlaget bruker datakvalitetskontroller og transformasjoner for å klargjøre dataene for analyse.
- Gulllaget gir aggregerte og berikede data for rapportering og visualisering.
Mens noen datakilder er plassert på det lokale nettverket, er andre bak brannmurer og krever sikker, godkjent tilgang. Det finnes også noen datakilder som administreres i Azure, for eksempel Azure SQL Database og Azure Storage. Du må koble til disse Azure-datakildene på en måte som ikke eksponerer data til det offentlige Internett.
Du har bestemt deg for å bruke Fabric fordi det sikkert kan innta, lagre, behandle og analysere dataene dine i skyen. Viktigere, det gjør det samtidig som du overholder forskriftene i din bransje og retningslinjer i organisasjonen.
Fordi Fabric er programvare som en tjeneste (SaaS), trenger du ikke å klargjøre individuelle ressurser, for eksempel lagrings- eller databehandlingsressurser. Alt du trenger er en stoffkapasitet.
Du må konfigurere krav til datatilgang. Spesielt må du sørge for at bare du og de andre dataingeniørene dine har tilgang til dataene i bronse- og sølvlagene i lakehouse. Disse lagene er der du planlegger å utføre datarensing, validering, transformasjon og berikelse. Du må også begrense tilgangen til dataene i gulllaget. Bare autoriserte brukere, inkludert dataanalytikere og forretningsbrukere, skal ha tilgang til gulllaget. De krever denne tilgangen til å bruke dataene til ulike analytiske formål, for eksempel rapportering, maskinlæring og prediktiv analyse. Datatilgangen må begrenses ytterligere av brukerens rolle og avdeling.
Koble til Stoff (inngående beskyttelse)
Du konfigurerer først inngående beskyttelse, som er opptatt av hvordan du og andre brukere logger på og har tilgang til Fabric.
Fordi Fabric distribueres til en Microsoft Entra-tenant, håndteres godkjenning og autorisasjon av Microsoft Entra. Du logger på med en Microsoft Entra-organisasjonskonto (jobb- eller skolekonto). Deretter vurderer du hvordan andre brukere kobler til Fabric.
Microsoft Entra-leieren er en identitetssikkerhetsgrense som er under kontroll av IT-avdelingen. Innenfor denne sikkerhetsgrensen utføres administrasjon av Microsoft Entra-objekter (for eksempel brukerkontoer) og konfigurasjonen av innstillinger for hele tenanten av IT-administratorene. Som enhver SaaS-tjeneste isolerer Fabric logisk leiere. Data og ressurser i leieren kan aldri nås av andre leiere med mindre du eksplisitt gir dem tillatelse til å gjøre det.
Her er hva som skjer når en bruker logger seg på Fabric.
| Vare | Beskrivelse |
|---|---|
|
Brukeren åpner en nettleser (eller et klientprogram) og logger seg på Stoff-portalen. |
|
Brukeren omdirigeres umiddelbart til Microsoft Entra ID, og de kreves for å godkjenne. Godkjenning bekrefter at det er riktig person som logger på. |
|
Når godkjenningen er fullført, mottar webfronten brukerens forespørsel og leverer frontinnholdet (HTML og CSS) fra nærmeste plassering. Den ruter også forespørselen til metadataplattformen og bakkapasitetsplattformen. |
|
Metadataplattformen, som befinner seg i leierens hjemområde, lagrer tenantens metadata, for eksempel arbeidsområder og tilgangskontroller. Denne plattformen sikrer at brukeren har tillatelse til å få tilgang til de relevante arbeidsområdene og Fabric-elementene. |
|
Bakkapasitetsplattformen utfører databehandlingsoperasjoner og lagrer dataene dine. Den er plassert i kapasitetsområdet. Når et arbeidsområde er tilordnet Fabric-kapasitet, lagres og behandles alle data som befinner seg i arbeidsområdet, inkludert onelake-datasjøen, i kapasitetsområdet. |
Metadataplattformen og bakkapasitetsplattformen kjører hver i sikrede virtuelle nettverk. Disse nettverkene viser en rekke sikre endepunkter til Internett, slik at de kan motta forespørsler fra brukere og andre tjenester. I tillegg til disse endepunktene er tjenestene beskyttet av nettverkssikkerhetsregler som blokkerer tilgang fra det offentlige Internett.
Når brukere logger på Fabric, kan du håndheve andre lag med beskyttelse. På denne måten vil leieren bare være tilgjengelig for bestemte brukere , og når andre betingelser, for eksempel nettverksplassering og enhetssamsvar, oppfylles. Dette beskyttelseslaget kalles innkommende beskyttelse.
I dette scenarioet er du ansvarlig for sensitiv pasientinformasjon i Fabric. Organisasjonen har derfor pålagt at alle brukere som har tilgang til Fabric, må utføre godkjenning med flere faktorer (MFA), og at de må være på bedriftsnettverket – det er ikke nok å sikre brukeridentiteten.
Organisasjonen gir også brukerne fleksibilitet ved å la dem arbeide fra hvor som helst og bruke sine personlige enheter. Siden Microsoft Intune støtter bring-your-own-device (BYOD), registrerer du godkjente brukerenheter i Intune.
Videre må du sørge for at disse enhetene overholder organisasjonspolicyene. Disse policyene krever spesielt at enheter bare kan koble til når de har det nyeste operativsystemet installert og de nyeste sikkerhetsoppdateringene. Du konfigurerer disse sikkerhetskravene ved hjelp av Microsoft Entra Betinget tilgang.
Betinget tilgang tilbyr flere måter å sikre leieren på. Du kan gjøre følgende:
- Gi eller blokkere tilgang etter nettverksplassering.
- Blokker tilgang til enheter som kjører på operativsystemer som ikke støttes.
- Krev en kompatibel enhet, Intune-sammenføyd enhet eller MFA for alle brukere.
- Og mer.
I tilfelle du må låse hele Fabric-leieren, kan du bruke et virtuelt nettverk og blokkere offentlig internett-tilgang. Tilgang til Fabric er da bare tillatt innenfra det sikre virtuelle nettverket. Dette kravet konfigureres ved å aktivere private koblinger på leiernivå for Fabric. Det sikrer at alle Fabric-endepunkter løses til en privat IP-adresse i det virtuelle nettverket, inkludert tilgang til alle Power BI-rapportene. (Aktivering av private endepunkter påvirker mange stoffelementer, så du bør lese denne artikkelen grundig før du aktiverer dem.)
Sikker tilgang til data utenfor Fabric (utgående beskyttelse)
Deretter konfigurerer du utgående beskyttelse, som er opptatt av sikker tilgang til data bak brannmurer eller private endepunkter.
Organisasjonen har noen datakilder som er plassert på det lokale nettverket. Fordi disse datakildene er bak brannmurer, krever Fabric sikker tilgang. Hvis du vil tillate fabric å koble til den lokale datakilden på en sikker måte, installerer du en lokal datagateway.
Gatewayen kan brukes av datafabrikkens dataflyter og datasamlebånd til å innta, klargjøre og transformere de lokale dataene, og deretter laste dem inn til OneLake med en kopiaktivitet. Data Factory støtter et omfattende sett med koblinger som lar deg koble til mer enn 100 forskjellige datalagre.
Deretter bygger du dataflyter med Power Query, som gir en intuitiv opplevelse med et grensesnitt med lav kode. Du bruker den til å innta data fra datakildene, og transformere dem ved hjelp av en av 300 + datatransformasjoner. Deretter bygger og orkestrerer du en kompleks uttrekkings-, transformerings- og belastningsprosess (ETL) med datasamlebånd. Etl-prosesser kan oppdatere dataflyter og utføre mange forskjellige oppgaver i stor skala, og behandle petabyte med data.
I dette scenarioet har du allerede flere ETL-prosesser. Først har du noen datasamlebånd i Azure Data Factory (ADF). Disse datasamlebåndene inntar for øyeblikket lokale data og laster dem inn i en datainnsjø i Azure Storage ved hjelp av den selvbetjente integreringskjøringen. For det andre har du et rammeverk for datainntak i Azure Databricks som er skrevet i Spark.
Nå som du bruker Fabric, omdirigerer du ganske enkelt utdatamålet til ADF-rørledninger for å bruke lakehouse-koblingen. Og for inntaksrammeverket i Azure Databricks bruker du OneLake-API-ene som støtter Azure Blog Filesystem (ABFS)-driveren til å integrere OneLake med Azure Databricks. (Du kan også bruke samme metode til å integrere OneLake med Azure Synapse Analytics ved hjelp av Apache Spark.)
Du har også noen datakilder som er i Azure SQL Database. Du må koble til disse datakildene ved hjelp av private endepunkter. I dette tilfellet bestemmer du deg for å konfigurere en virtuell nettverksdatagateway (VNet) og bruke dataflyter til å koble til Azure-dataene på en sikker måte og laste dem inn i Fabric. Med VNet-datagatewayer trenger du ikke å klargjøre og administrere infrastrukturen (som du trenger å gjøre for lokal datagateway). Det er fordi Fabric sikkert og dynamisk oppretter beholderne i Azure Virtual Network.
Hvis du utvikler eller overfører rammeverket for datainntak i Spark, kan du koble til datakilder i Azure sikkert og privat fra Fabric-notatblokker og jobber ved hjelp av administrerte private endepunkter. Administrerte private endepunkter kan opprettes i Fabric-arbeidsområdene for å koble til datakilder i Azure som har blokkert offentlig internett-tilgang. De støtter private endepunkter, for eksempel Azure SQL Database og Azure Storage. Administrerte private endepunkter klargjøres og administreres i et administrert VNet som er dedikert til et Fabric-arbeidsområde. I motsetning til vanlige Azure Virtual Networks finnes ikke administrerte VNets og administrerte private endepunkter i Azure-portalen. Det er fordi de er fullstendig administrert av Fabric, og du finner dem i innstillingene for arbeidsområdet.
Fordi du allerede har mye data lagret i Azure Data Lake Storage (ADLS) Gen2-kontoer , trenger du nå bare å koble Fabric-arbeidsbelastninger, for eksempel Spark og Power BI, til den. Takket være OneLake ADLS-snarveier kan du også enkelt koble til eksisterende data fra en stoffopplevelse, for eksempel dataintegreringssamlebånd, datateknikknotatblokker og Power BI-rapporter.
Stoffarbeidsområder som har en arbeidsområdeidentitet , har sikker tilgang til ADLS Gen2-lagringskontoer, selv når du har deaktivert det offentlige nettverket. Dette gjøres mulig ved klarert tilgang til arbeidsområdet. Det gjør det mulig for Fabric å koble til lagringskontoene på en sikker måte ved hjelp av et Microsoft-ryggradsnettverk. Det betyr at kommunikasjon ikke bruker det offentlige Internett, noe som gjør at du kan deaktivere offentlig nettverkstilgang til lagringskontoen, men likevel tillate visse Fabric-arbeidsområder å koble til dem.
Samsvar
Du vil bruke Fabric til å innta, lagre, behandle og analysere dataene dine i skyen på en sikker måte, samtidig som du opprettholder samsvar med forskriftene i bransjen og organisasjonens policyer.
Fabric er en del av Microsoft Azure Core Services, og det styres av vilkårene for Microsoft Online Services og Personvernerklæringen for Microsoft Enterprise. Selv om sertifiseringer vanligvis forekommer etter en produktlansering (Generelt tilgjengelig eller GA), integrerer Microsoft anbefalte fremgangsmåter for samsvar fra begynnelsen og gjennom hele utviklingslivssyklusen. Denne proaktive tilnærmingen sikrer et sterkt grunnlag for fremtidige sertifiseringer, selv om de følger etablerte revisjonssykluser. I enklere termer prioriterer vi å bygge samsvar i fra starten, selv når formell sertifisering kommer senere.
Fabric er kompatibel med mange bransjestandarder som ISO 27001, 27017, 27018 og 27701. Fabric er også HIPAA-kompatibel , noe som er avgjørende for personvern og sikkerhet for helsedata. Du kan se appendix A og B i Microsoft Azure Compliance Offerings for detaljert innsikt i hvilke skytjenester som er i omfang for sertifiseringene. Du kan også få tilgang til revisjonsdokumentasjonen fra Service Trust Portal (STP).
Samsvar er et delt ansvar. For å overholde lover og forskrifter skriver skytjenesteleverandører og deres kunder inn et delt ansvar for å sikre at hver av dem gjør sin del. Når du vurderer og evaluerer offentlige skytjenester, er det viktig å forstå den delte ansvarsmodellen og hvilke sikkerhetsoppgaver skyleverandøren håndterer og hvilke oppgaver du håndterer.
Datahåndtering
Fordi du har å gjøre med sensitiv pasientinformasjon, må du sørge for at alle dataene dine er tilstrekkelig beskyttet både i ro og i transitt.
Kryptering i ro gir databeskyttelse for lagrede data (i ro). Angrep mot hviledata inkluderer forsøk på å få fysisk tilgang til maskinvaren som dataene lagres på, og deretter kompromittere dataene på denne maskinvaren. Kryptering i ro er utformet for å hindre at en angriper får tilgang til de ukrypterte dataene ved å sikre at dataene krypteres når de er på disken. Kryptering i ro er et obligatorisk tiltak som kreves for å overholde noen av bransjestandardene og forskriftene, for eksempel International Organization for Standardization (ISO) og Health Insurance Portability and Accountability Act (HIPAA).
Alle Fabric-datalagre krypteres i ro ved hjelp av Microsoft-administrerte nøkler, som gir beskyttelse for kundedata og systemdata og metadata. Data beholdes aldri til permanent lagring mens de er i ukryptert tilstand. Med Microsoft-administrerte nøkler drar du nytte av krypteringen av dataene dine uten risiko eller kostnad for en egendefinert nøkkelbehandlingsløsning.
Data krypteres også i transitt. All inngående trafikk til Fabric-endepunkter fra klientsystemene håndhever minimum Transport Layer Security (TLS) 1.2. Det forhandler også TLS 1.3, når det er mulig. TLS gir sterk godkjenning, personvern for meldinger og integritet (muliggjør gjenkjenning av meldingsmanipulering, avskjæring og forfalskning), interoperabilitet, algoritmefleksibilitet og enkel distribusjon og bruk.
I tillegg til kryptering ruter nettverkstrafikken mellom Microsoft-tjenester alltid over Det globale Microsoft-nettverket, som er et av de største ryggradsnettverkene i verden.
Kundeadministrert nøkkelkryptering (CMK) og Microsoft Fabric
Med kundeadministrerte nøkler (CMK) kan du kryptere resten av dataene ved hjelp av dine egne nøkler. Som standard krypterer Microsoft Fabric data-at-rest ved hjelp av plattformadministrerte nøkler. I denne modellen er Microsoft ansvarlig for alle aspekter ved nøkkelbehandling, og data-at-rest på OneLake krypteres ved hjelp av nøklene. Fra et samsvarsperspektiv kan kunder ha et krav om å bruke CMK til å kryptere data i ro. I CMK-modellen tar kunden full kontroll over nøkkelen og bruker nøkkelen(e) til å kryptere restdata.
Hvis du har et krav om å bruke CMK til å kryptere data i ro, anbefaler vi at du bruker skylagringstjenester (ADLS Gen2, AWS S3, GCS) med CMK-kryptering aktivert og tilgang til data fra Microsoft Fabric ved hjelp av OneLake-snarveier. I dette mønsteret fortsetter dataene å ligge på en skylagringstjeneste eller en ekstern lagringsløsning der kryptering ved hvile bruk av CMK er aktivert, og du kan utføre leseoperasjoner på stedet fra Fabric samtidig som du overholder samsvaret. Når en snarvei er opprettet i Fabric, kan dataene nås av andre Fabric-opplevelser.
Det er noen vurderinger for å bruke dette mønsteret:
- Bruk mønsteret som beskrives her for data som har krav om kryptering ved bruk av CMK. Data som ikke har dette kravet, kan krypteres ved hjelp av plattformadministrerte nøkler, og disse dataene kan lagres opprinnelig på Microsoft Fabric OneLake.
- Fabric Lakehouse og KQL-databasen er de to arbeidsbelastningene i Microsoft Fabric som støtter oppretting av snarveier. I dette mønsteret der data fortsetter å ligge på en ekstern lagringstjeneste der CMK er aktivert, kan du bruke snarveier i Lakehouses- og KQL-databaser til å hente dataene inn i Microsoft Fabric for analyse, men data lagres fysisk utenfor OneLake der CMK-kryptering er aktivert.
- ADLS Gen2-snarveien støtter skriving og bruk av denne hurtigtypen, du kan også skrive data ut igjen til lagringstjenesten, og den krypteres mens du bruker CMK. Når du bruker CMK med ADLS Gen2, gjelder følgende vurderinger for Azure Key Vault (AKV) og Azure Storage .
- Hvis du bruker en tredjeparts lagringsløsning som er AWS S3-kompatibel (Cloudflare, Qumolo Core med offentlig endepunkt, Offentlig MinIO og Dell ECS med offentlig endepunkt), og det har CMK aktivert, kan mønsteret som beskrives her i dette dokumentet utvides til disse tredjeparts lagringsløsningene. Ved hjelp av Amazon S3-kompatibel snarvei kan du hente data til Fabric ved hjelp av en snarvei fra disse løsningene. I likhet med skybaserte lagringstjenester kan du lagre dataene på ekstern lagring med CMK-kryptering og utføre leseoperasjoner på stedet.
- AWS S3 støtter kryptering i ro ved hjelp av kundeadministrerte nøkler. Stoff kan utføre på stedet leser på S3 samlinger ved hjelp av S3 snarvei; men skriveoperasjoner ved hjelp av en snarvei til AWS S3 støttes ikke.
- Google Cloud Storage støtter datakryptering ved hjelp av kundeadministrerte nøkler. Stoff kan utføre på stedet leser på GCS; Skriveoperasjoner som bruker en snarvei til GCS, støttes imidlertid ikke.
- Aktiver revisjon for Microsoft Fabric for å holde oversikt over aktiviteter.
- I Microsoft Fabric støtter Power BI kundeadministrert nøkkel med Ta med egne krypteringsnøkler for Power BI-.
- Deaktiver hurtigbufringsfunksjonen for S3, GCS og S3-kompatible snarveier. ettersom de bufrede dataene beholdes på OneLake.
Datalagring
Etter hvert som du arbeider med pasientdata, har organisasjonen av samsvarsgrunner pålagt at data aldri skal forlate den geografiske grensen USA. Organisasjonens hovedoperasjoner finner sted i New York og hovedkontoret ditt i Seattle. Når du konfigurerer Power BI, har organisasjonen valgt øst-USA-området som hjemområde for leier. For operasjonene dine har du opprettet en Fabric-kapasitet i området vest i USA, som er nærmere datakildene dine. Fordi OneLake er tilgjengelig over hele verden, er du bekymret for om du kan oppfylle organisasjonens retningslinjer for datalagring mens du bruker Fabric.
I Fabric lærer du at du kan opprette multi-geo kapasiteter, som er kapasiteter som ligger i geografiske områder (geos) annet enn leier hjem område. Du tilordner Fabric-arbeidsområdene til disse kapasitetene. I dette tilfellet er databehandling og lagring (inkludert OneLake og opplevelsesspesifikk lagring) for alle elementer i arbeidsområdet plassert i multi-geo-området, mens tenantmetadataene forblir i hjemområdet. Dataene lagres og behandles bare i disse to geografiene, slik at organisasjonens krav til datalagring oppfylles.
Tilgangskontroll
Du må sørge for at bare du og de andre datateknikerne dine har full tilgang til dataene i bronse- og sølvlagene i lakehouse. Med disse lagene kan du utføre datarensing, validering, transformasjon og berikelse. Du må begrense tilgangen til dataene i gulllaget til bare autoriserte brukere, for eksempel dataanalytikere og forretningsbrukere, som kan bruke dataene til ulike analytiske formål, for eksempel rapportering og analyse.
Fabric gir en fleksibel tillatelsesmodell som gir deg mulighet til å kontrollere tilgangen til elementer og data i arbeidsområdene. Et arbeidsområde er en logisk enhet som kan sikres for gruppering av elementer i Fabric. Du bruker arbeidsområderoller til å kontrollere tilgangen til elementer i arbeidsområdene. De fire grunnleggende rollene i et arbeidsområde er:
- Administrator: Kan vise, endre, dele og administrere alt innhold i arbeidsområdet, inkludert administrasjon av tillatelser.
- Medlem: Kan vise, endre og dele alt innhold i arbeidsområdet.
- Bidragsyter: Kan vise og endre alt innhold i arbeidsområdet.
- Visningsprogram: Kan vise alt innhold i arbeidsområdet, men kan ikke endre det.
I dette scenarioet oppretter du tre arbeidsområder, ett for hvert av medaljonglagene (bronse, sølv og gull). Fordi du opprettet arbeidsområdet, blir du automatisk tilordnet administratorrollen.
Deretter legger du til en sikkerhetsgruppe i bidragsyterrollen for disse tre arbeidsområdene. Siden sikkerhetsgruppen inkluderer andre teknikere som medlemmer, kan de opprette og endre stoffelementer i disse arbeidsområdene, men de kan ikke dele noen elementer med noen andre. De kan heller ikke gi tilgang til andre brukere.
I arbeidsområdene bronse og sølv oppretter du og de andre teknikerne dine Stoffelementer for å innta data, lagre dataene og behandle dataene. Stoffelementer består av et innsjøhus, rørledninger og notatblokker. I gullarbeidsområdet oppretter du to lakehouses, flere rørledninger og notatblokker, og en Direct Lake semantisk modell, som leverer rask spørringsytelse av data som er lagret i en av lakehouses.
Deretter tar du nøye hensyn til hvordan dataanalytikere og forretningsbrukere kan få tilgang til dataene de har tilgang til. Spesielt kan de bare få tilgang til data som er relevante for deres rolle og avdeling.
Det første lakehouse inneholder de faktiske dataene og håndhever ingen datatillatelser i sql analytics-endepunktet. Det andre lakehouse inneholder snarveier til det første lakehouse, og det håndhever detaljerte datatillatelser i sql analytics-endepunktet. Den semantiske modellen kobles til det første lakehouse. Hvis du vil fremtvinge riktige datatillatelser for brukerne (slik at de bare får tilgang til data som er relevante for rollen og avdelingen), deler du ikke det første lakehouse med brukerne. I stedet deler du bare semantisk Direct Lake-modell og det andre lakehouse som håndhever datatillatelser i sql analytics-endepunktet.
Du konfigurerer den semantiske modellen til å bruke en fast identitet, og deretter implementerer du sikkerhet på radnivå (RLS) i den semantiske modellen for å fremtvinge modellregler for å styre hvilke data brukerne har tilgang til. Deretter deler du bare den semantiske modellen med dataanalytikere og forretningsbrukere fordi de ikke skal få tilgang til de andre elementene i arbeidsområdet, for eksempel datasamlebånd og notatblokker. Til slutt gir du kompileringstillatelse på semantisk modell, slik at brukerne kan opprette Power BI-rapporter. På den måten blir den semantiske modellen en delt semantisk modell og en kilde for Sine Power BI-rapporter.
Dataanalytikerne dine trenger tilgang til det andre lakehouse i gullarbeidsområdet. De kobler til SQL Analytics-endepunktet for lakehouse for å skrive SQL-spørringer og utføre analyser. Så du deler lakehouse med dem og gir bare tilgang til objekter de trenger (for eksempel tabeller, rader og kolonner med maskeringsregler) i sql-analyseendepunktet i lakehouse ved hjelp av SQL-sikkerhetsmodellen. Dataanalytikere kan nå bare få tilgang til data som er relevante for rollen og avdelingen, og de får ikke tilgang til de andre elementene i arbeidsområdet, for eksempel datasamlebånd og notatblokker.
Vanlige sikkerhetsscenarioer
Tabellen nedenfor viser vanlige sikkerhetsscenarioer og verktøyene du kan bruke til å utføre dem.
| Scenario | Verktøy | Retning |
|---|---|---|
| Jeg er en ETL-utvikler , og jeg vil laste inn store mengder data til Fabric i stor skala fra flere kildesystemer og tabeller. Kildedataene er lokale (eller andre skyer) og ligger bak brannmurer og/eller Azure-datakilder med private endepunkter. | Bruk lokal datagateway med datasamlebånd (kopier aktivitet). | Utgående |
| Jeg er en strømbruker , og jeg vil laste inn data til Fabric fra kildesystemer som jeg har tilgang til. Fordi jeg ikke er utvikler, må jeg transformere dataene ved hjelp av et grensesnitt med lav kode. Kildedataene er lokale (eller andre skyer) og er bak brannmurer. | Bruk lokal datagateway med Dataflyt Gen 2. | Utgående |
| Jeg er en strømbruker , og jeg vil laste inn data i Fabric fra kildesystemer som jeg har tilgang til. Kildedataene er i Azure bak private endepunkter, og jeg vil ikke installere og vedlikeholde lokal infrastruktur for datagateway. | Bruk en VNet-datagateway med Dataflyt Gen 2. | Utgående |
| Jeg er en utvikler som kan skrive datainntakskode ved hjelp av Spark-notatblokker. Jeg vil laste inn data i Fabric fra kildesystemer som jeg har tilgang til. Kildedataene er i Azure bak private endepunkter, og jeg vil ikke installere og vedlikeholde lokal infrastruktur for datagateway. | Bruk Fabric-notatblokker med private Azure-endepunkter. | Utgående |
| Jeg har mange eksisterende datasamlebånd i Azure Data Factory (ADF) og Synapse-datasamlebånd som kobler til datakildene mine og laster inn data i Azure. Jeg vil nå endre disse datasamlebåndene for å laste inn data i Fabric. | Bruk Lakehouse-koblingen i eksisterende rørledninger. | Utgående |
| Jeg har et rammeverk for datainntak utviklet i Spark som kobler til datakildene mine på en sikker måte og laster dem inn i Azure. Jeg kjører den på Azure Databricks og/eller Synapse Spark. Jeg vil fortsette å bruke Azure Databricks og/eller Synapse Spark til å laste inn data i Fabric. | Bruk OneLake og Azure Data Lake Storage (ADLS) Gen2 API (Azure Blob Filesystem-driver) | Utgående |
| Jeg ønsker å sikre at mine Fabric endepunkter er beskyttet fra det offentlige internett. | Som en SaaS-tjeneste er Fabric-serverdel allerede beskyttet mot offentlig internett. Hvis du vil ha mer beskyttelse, kan du bruke Microsoft Entra-policyer for betinget tilgang for Fabric og/eller aktivere private koblinger på leiernivå for Fabric og blokkere offentlig internett-tilgang. | Innkommende |
| Jeg ønsker å sikre at Fabric bare kan nås fra bedriftsnettverket og/eller fra kompatible enheter. | Bruk microsoft Entra-policyer for betinget tilgang for Fabric. | Innkommende |
| Jeg vil forsikre meg om at alle som får tilgang til Fabric, må utføre godkjenning med flere faktorer. | Bruk microsoft Entra-policyer for betinget tilgang for Fabric. | Innkommende |
| Jeg ønsker å låse ned hele Fabric-leieren fra det offentlige internettet og bare tillate tilgang fra virtuelle nettverk. | Aktiver private koblinger på leiernivå for Fabric og blokker offentlig internett-tilgang. | Innkommende |
Relatert innhold
Hvis du vil ha mer informasjon om stoffsikkerhet, kan du se følgende ressurser.
- Sikkerhet i Microsoft Fabric
- Oversikt over OneLake-sikkerhet
- Konsepter og lisenser for Microsoft Fabric
- Spørsmål? Prøv å spørre Microsoft Fabric-fellesskapet.
- Forslag? Bidra med ideer for å forbedre Microsoft Fabric.